Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Vendredi 17 Juin 2005

Cette semaine, notre rapport sur les virus et les intrusions passera en revue trois malwares : le cheval de Troie Downloader.DCM, le cheval de Troie de type backdoor Dumador.BC, et l'outil de hacking Looxee. De plus, nous mentionnerons six nouvelles vulnérabilités dans Microsoft Windows, classées comme étant critiques.

Downloader.DCM est un cheval de Troie qui télécharge Dumador.BC et l'exécute. Comme la majorité des chevaux de Troie, il a besoin d'être distribué manuellement. Une fois installé sur un ordinateur, il utilise une technique sophistiquée pour se cacher des firewalls pouvant être en place sur ledit ordinateur. Il crée un thread distant associé au processus explorer.exe, de telle sorte que le firewall pense qu'Explorer est en train d'accéder à Internet, alors qu'il s'agit en réalité de Downloader.DCM. Lorsqu'il se connecte à Internet, ce thread supprime le fichier downloader et télécharge et exécute un autre fichier (le cheval de Troie de type backdoor) depuis un site web spécifique, se faisant passer pour un fichier temporaire.

Dumador.BC, le fichier téléchargé par le downloader, est un cheval de Troie de type backdoor qui ne peut pas se propager par ses propres moyens. Sa fonction consiste à autoriser le contrôle distant de l'ordinateur affecté en ouvrant des ports TCP sur l'ordinateur et en recevant des commandes de contrôle distantes. Il logue également différents détails relatifs à l'utilisateur et modifie le fichier système hosts pour empêcher l'ordinateur d'accéder aux sites web des sociétés éditrices d'antivirus.

Looxee est un outil de hacking qui supervise et logue différentes activités de l'utilisateur sur l'ordinateur affecté, comme les emails envoyés et reçus, les chats via la messagerie instantanée, les sites web visités, et il peut même récupérer des captures d'écrans... Curieusement, il possède une caractéristique qui alerte l'utilisateur si un certain mot clé est saisi. Cet outil n'est pas dangereux en tant que tel, mais il peut être utilisé à des fins malfaisantes.

Par ailleurs, une série de vulnérabilités a été signalée et documentée par Microsoft dans les bulletins MS05-025, MS05-026, MS05-027, MS05-028, MS05-029 et MS05-030. Ces vulnérabilités affectent diverses applications Microsoft et ont été jugées critiques. De ce fait, il est hautement recommandé d'appliquer les correctifs correspondants afin de mettre votre ordinateur à l'abri des malwares pouvant exploiter ces vulnérabilités. Les applications concernées sont Explorer, Windows, SMB (Service Message Block), Web Client Service, Outlook Web Access pour Exchange Server 5.5 et Outlook Express.

Pour prévenir toute infection de ces malwares ou de tout autre code malicieux, Panda Software recommande vivement aux utilisateurs de maintenir leur antivirus à jour. Pour ses clients, Panda Software a déjà effectué les mises à jours correspondantes dans ses produits afin qu'ils puissent détecter et éliminer ces codes malicieux.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.