Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 25 Avril 2005

Cette semaine, notre rapport sur les virus et les intrusions passera en revue de nouvelles menaces qui viennent d'émerger : deux variantes du ver Mytob, une variante du cheval de Troie Mitglieder et une nouvelle version du cheval de Troie Bancos.

Les nouvelles variantes de Mytob, Mytob.BC et Mytob.BD, ouvrent des backdoors sur les ordinateurs affectés. Cette action permet à la variante BC de se connecter à un serveur web et à la variante BD de se connecter à un serveur IRC, où elles attendent des commandes d'un utilisateur malicieux. De plus, elles modifient le fichier système HOSTS de telle sorte que l'utilisateur ne puisse pas accéder au site web de certaines sociétés éditrices d'antivirus. Ces vers se propagent via email, au travers des réseaux protégés par des mots de passe faibles et en exploitant la vulnérabilité LSASS. Elles téléchargent également d'autres malwares, tel que le ver Faribot.A.

Le cheval de Troie Bancos.FC a également fait son apparition cette semaine. Ce code malicieux se met en mémoire résidente et possède des fonctionnalités de keylogger. Bancos.FC attend qu'une connexion modem RTC s'établisse (seul ce type de connexion est affecté). Lorsque c'est le cas, il vérifie que les sites web visités correspondent aux adresses d'organismes bancaires inclus dans son code. S'il trouve une correspondance, il collecte les informations saisies au clavier et les envoie vers un serveur Internet. Bancos.FC ne peut pas se propager par ses propres moyens, une intervention externe lui étant nécessaire pour y parvenir.

Enfin, Mitglieder.CG est un cheval de Troie qui a pour vocation de désactiver certains outils de sécurité (antivirus et firewalls), pouvant être installés sur les ordinateurs qu'il affecte. Pour ce faire, il peut effacer des fichiers et des entrées du registre ou mettre fin à des processus en mémoire. Par ailleurs, il modifie le fichier système HOSTS de telle sorte que l'utilisateur ne puisse pas accéder au site web de certaines sociétés éditrices d'antivirus.

Mitglieder.CG semble avoir été envoyé de manière massive, soit manuellement soit via des ordinateurs zombis, et tente de télécharger d'autres malwares à partir de différents sites web.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.