Rapport du 20/05/2005 sur les virus et les intrusions

Par Panda Software le Vendredi 20 Mai 2005

Notre rapport de cette semaine sur les virus et les intrusions passera en revue les vers Gaobot.GLV et Oscarbot.F, ainsi que le cheval de Troie Sober.W.

Sober.W est un cheval de Troie dont l'unique but semblerait être la diffusion massive de messages au contenu relatif à un mouvement d'extrême droite en Allemagne, faisant allusion à la seconde guerre mondiale et à son 60ème anniversaire. Comme à l'accoutumée pour ce type de malware, il ne peut pas se propager seul mais nécessite une distribution manuelle ou via d'autres canaux. Une fois installé, Sober.W commence à collecter sur l'ordinateur infecté des adresses email et leur envoie un des 30 mails inclus dans son code, et ce de manière aléatoire. Ce cheval de Troie édite plusieurs clés du registre Windows pour s'assurer qu'il sera exécuté à chaque démarrage du système. Il a été conçu de telle sorte qu'il arrêtera d'envoyer du spam le 23 mai, puis tentera de télécharger des fichiers depuis une liste d'URL encapsulées dans son code.

Oscarbot.F est un ver ayant des caractéristiques de backdoor, conçu pour se propager via AOL Instant Messenger (AIM), en envoyant des messages à toutes les adresses de la Liste de contacts. Ces messages incluent une URL qui, lorsqu'elle cliquée, télécharge une copie du ver ou d'autres sortes de malwares sur l'ordinateur affecté. Comme à l'accoutumée avec les bots, une fois installé sur le système cible, Oscarbot.F se connecte à une serveur IRC, en attente de commandes d'un utilisateur distant pour télécharger et exécuter des fichiers, se propager via AIM, etc. Enfin, ce ver édite certaines clés du registre pour s'assurer qu'il sera exécuté à chaque démarrage du système.

Le but principal de Gaobot.GLV est de mettre fin aux processus appartenant à plusieurs outils de sécurité tels que les programmes antivirus et les firewalls, empêchant ainsi les utilisateurs d'accéder à plusieurs sites web, appartenant notamment à des sociétés de sécurité informatique (en modifiant le fichier HOSTS sur l'ordinateur affecté), et d'installer un serveur TFTP. Gaobot.GLV possède également un outil conçu pour cacher ses actions sur l'ordinateur affecté, qui cependant ne fonctionne pas correctement sur les systèmes Window XP.

Gaobot.GLV se propage à la fois via Internet et les ressources réseaux partagées. Dans le premier cas, il tente d'exploiter les vulnérabilités "LSASS", "RPC DCOM", "WINS", "Workstation Service Buffer Overrun" et "Buffer Overrun in SQL Server 2000 Resolution Service" ainsi que d'accéder aux ordinateurs faisant tourner un serveur SQL avec mots de passe à blanc. Dans le cas des ressources réseaux partagées, Gaobot.GLV tente de profiter de noms d'utilisateurs ou de mots de passe faibles (des mots de passe typiquement faciles à deviner). En cas de réussite, Gaobot.GLV se réplique dans les ressources partagées.

Pour prévenir toute infection de ce malware ou de tout autre code malicieux, Panda Software recommande vivement aux utilisateurs de maintenir leur antivirus à jour. Pour ses clients, Panda Software a déjà effectué les mises à jours correspondantes dans ses produits afin qu'ils puissent détecter et éliminer ces codes malicieux.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.