Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Vendredi 15 Avril 2005

Cette semaine, notre rapport sur les virus et les intrusions signalera l'existence de 5 vulnérabilités dans différents produits Microsoft ainsi que de nouvelles variantes des vers Mytob, Gaobot et Kelvir.

Les cinq vulnérabilités en question ont été qualifiées de 'critiques' et affectent non seulement les systèmes d'exploitation Windows, mais également d'autres applications comme Internet Explorer, Exchange Server, MSN Messenger, Word, Works et Office. Si les correctifs, actuellement disponibles, qui fixent ces failles ne sont pas appliqués, un attaquant peut prendre le contrôle à distance des systèmes affectés.

Concernant les codes malicieux, nous devons signaler la montée progressive des vers Mytob qui ne cessent d'émerger. Les vers Mytob se connectent à un serveur IRC et se mettent en attente de commandes de contrôle à distance pour mener des actions sur l'ordinateur affecté, telles qu'effacer, télécharger ou exécuter des fichiers. Certaines variantes empêchent l'utilisateur de pouvoir accéder aux sites web d'éditeurs antivirus et de sociétés de sécurité. De plus, elles se propagent via email, par Internet en exploitant la vulnérabilité LSASS, et au travers de réseaux protégés par des mots de passé faibles. Ceci étant, les technologies de détection proactive TruPreventTM ont bloqué toutes ces variantes du ver Mytob sans avoir eu besoin d'en avoir préalablement connaissance. De ce fait, les utilisateurs ayant ces technologies installées sur leurs systèmes ont été protégés depuis le tout début de l'apparition de cette vague.

L'apparition de Gaobot.EYP mérite également d'être signalée. Il s'agit d'un ver qui ouvre une backdoor, autorisant ainsi un attaquant distant à prendre le contrôle des ordinateurs affectés. Ce dernier peut alors y mener de multiples actions dont l'exécution de commandes, le téléchargement et l'exécution de fichiers, l'interception de saisies clavier, la récupération d'informations sur les caractéristiques de l'ordinateur, le lancement d'attaques distribuées par déni de service, etc.

Gaobot.EYP met fin aux processus appurtenant à différents outils de sécurité, tels que les programmes antivirus et firewall, laissant l'ordinateur vulnérable face aux attaques d'autres malwares. Par ailleurs, il met également fin aux processus appartenant à d'autres vers.

Gaobot.EYP utilise diverses méthodes pour se propager :
- Il se recopie sur les ressources réseau partagées auxquelles il réussit à accéder.
- Il exploite les vulnerabilities suivantes pour se propager via Internet : LSASS, RPC DCOM, WINS buffer overflow in the workstation service.
- Il peut pénétrer les ordinateurs hébergeant un SQL Server dont le mot de passe du compte administrateur est à blanc.

Nous terminerons ce rapport avec Kelvir.L.worm, un ver qui se propage via MSN Messenger en envoyant un message à tous les contacts avec le texte "its you!", qui pointent vers une URL appartenant au domaine hydr0.net.

Si l'utilisateur clique sur ce lien, un fichier compressé auto-exécutable, détecté sous le nom Trj/MultiDropper.ZL, est téléchargé et exécuté. Ce fichier contient les fichiers "uncanny.exe" et "advbot.exe", qui sont respectivement des copies de Kelvir.L.worm et de Gaobot.EYX.worm.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.