Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 13 Juin 2005

Cette semaine, notre rapport sur les virus et les intrusions passera en revue sept malwares : Amplusnet, un outil de hacking, deux chevaux de Troie, Mytob.EN et Downloader.CZR, deux vers, Mytob.EP et Bobax.AO, un spyware, Smitfraud, et un virus, Smitfraud.A.

Amplusnet est un outil qui, bien que légitime et utile en tant qu'application, peut être utilisé par un utilisateur malicieux pour compromettre la confidentialité d'un utilisateur distant. Il est utilisé pour superviser et loguer l'activité d'utilisateurs sur certains sites web, enregistrer les habitudes de navigation ainsi que d'autres types d'informations confidentielles, et générer des rapports. Cette application peut être protégée par mot de passe de telle sorte qu'elle ne peut être vue dans le Gestionnaire des tâches, et est exécutée à chaque démarrage du système. Pour ce faire, elle crée un clé dans le registre du système.

Mytob.EN et Mytob.EP sont deux variantes de la famille nombreuse Mytob, qui est déjà l'une des plus grosses attaques organisées de toute l'histoire de l'Internet. Ceci étant, elles possèdent des caractéristiques très différentes : tandis que Mytob.EP agit de la même manière que les autres variantes de Mytob, se propageant en tant que pièce jointe à un email et recevant des commandes via IRC, Mytob.EN est la première variante de cette famille qui possède des caractéristique d'un cheval de Troie. En effet, elle utilise les techniques relatives à la fraude bancaire en ligne et au phishing pour se propager. Le troyen envoie des emails qui, au lieu d'intégrer le malware en tant que pièce jointe, incluent une URL avec laquelle les utilisateurs ayant reçu lesdits messages peuvent confirmer les détails de leur compte auprès d'une certaine entité. Cette URL contient en réalité une copie du troyen qui est téléchargé sur l'ordinateur lorsque les utilisateurs accèdent à cette page web. Comme d'autres variantes, ce spécimen possède également des caractéristiques backdoor et met fin aux processus appartenant aux applications antivirus.

Bobax.AO et Downloader.CZR ont lancé une attaque conjointe à la fin de la semaine dernière, dans laquelle le cheval de Troie Downloader.CZR, distribué manuellement par différents moyens, était téléchargé sur les ordinateurs infectés par le ver Bobax.AO. ce code malicieux peut être contrôlé à distance, le rendant extrêmement versatile. Les actions qu'il peut mener incluent le téléchargement et l'exécution de fichiers, le spam de type mass-mailing et même sa propre mise à jour. Ce ver se propage en utilisant les moyens de transmission suivants : le cheval de Troie décrit précédemment, un fichier attaché à un message email, ou bien l'exploitation de la vulnérabilité du processus LSASS en attaque contre des adresses IP aléatoires. De plus, il se protège en bloquant l'accès à certaines pages web, majoritairement des pages relatives aux entreprises de sécurité informatique.

Enfin, Smitfraud et Smitfraud.A ont également coordonné une attaque et ont réussi à se propager à large échelle, notamment Smitfraud.A. Le premier est un programme de type spyware qui s'installe sur l'ordinateur à l'insu de l'utilisateur et qui lorsqu'il est exécuté, change le bureau Windows en une image similaire aux classiques écrans bleus d'erreur, qui avise l'utilisateur d'exécuter une solution antispyware qui résoud le problème. Ce spyware installe préalablement la solution PSGuard, qui détectera le malware, mais l'utilisateur doit s'enregistrer pour pouvoir le désinfecter. Smitfraud.A est utilise par spyware pour infecter le fichier wininet.dll, le remplaçant par oleadm32.dll au redémarrage du système, entre autres actions. Smitfraud est un autre exemple de malware téléchargé par CoolWebSearch, et peut infecter l'ordinateur lors de la visite de pages web au contenu underground ou pour adultes.

Pour prévenir toute infection de ces malwares ou de tout autre code malicieux, Panda Software recommande vivement aux utilisateurs de maintenir leur antivirus à jour. Pour ses clients, Panda Software a déjà effectué les mises à jours correspondantes dans ses produits afin qu'ils puissent détecter et éliminer ces codes malicieux.

Pour plus d'informations sur ces menaces et sur d'autres, consultez
l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.