Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 27 Juin 2005

W32.Codbot.AL est un ver qui a été détecté un nombre de fois significatif depuis son apparition. Selon les données recueillies par l'analyseur en ligne Panda ActiveScan, il fait partie du top 5 des menaces les plus actives de la semaine.

Ce malware se propage en utilisant des vulnérabilités connues dans les processus SQL Server LSASS et RPC-DCOM. Afin de s'installer sur l'ordinateur, il s'enregistre en tant que processus système, de telle sorte qu'il est exécuté à chaque démarrage de l'ordinateur. Lorsqu'il s'exécute, il se connecte à divers serveurs IRC et attend des commandes. Il peut recevoir tout type de commande comme par exemple des commandes permettant d'obtenir des informations sur l'ordinateur, autoriser le keylogging ou les services FTP, ou même télécharger et exécuter d'autres types de malwares. Ce ver a été bloqué par les Technologies TruPrevent, avant même que la signature ne soit disponible.

Le second ver de notre rapport, W32.Semapi.A, se propage via email dans un message aux caractéristiques variables, inclus dans une pièce jointe dont le nom et l'extension sont également variables. Lorsqu'il est installé sur l'ordinateur, il copie plusieurs fichiers sur le disque dur et crée une série d'entrées dans le Registre pour s'assurer qu'il sera exécuté à chaque démarrage du système. Il recherche ensuite sur l'ordinateur affecté des adresses email dans les fichiers portant certaines extensions et se transfert à toutes les adresses qu'il trouve. Ce ver est facile à identifier car lorsqu'il est exécuté, il affiche une boîte de dialogue informant l'utilisateur que le fichier ‘semapi.dll' ne peut pas être trouvé.

Nous terminerons ce rapport avec un nouveau membre de la famille Mytob, et plus précisément la variante GV. Ce ver ouvre une backdoor et se propage via email (se transférant à toutes les adresses trouvées sur l'ordinateur affecté avec une adresse d'expéditeur usurpée) et au travers des ressources partagées protégées par des mots de passe faibles. En outre, il met fin à certains processus de l'ordinateur affecté, pour la plupart appartenant aux applications antivirus, et empêche l'accès aux sites web des sociétés de sécurité informatique. De fait, il laisse l'ordinateur vulnérable, pouvant subir l'infection d'autres types de malwares.

Pour prévenir toute infection de ces malwares ou de tout autre code malicieux, Panda Software recommande vivement aux utilisateurs de maintenir leur antivirus à jour. Pour ses clients, Panda Software a déjà effectué les mises à jours correspondantes dans ses produits afin qu'ils puissent détecter et éliminer ces codes malicieux.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les 24 heures.