Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 04 Juillet 2005

Cette semaine, notre rapport analysera trois chevaux de Troie, Trj/PGPCoder.B, Trj/Mitglieder.DQ et Trj/Bancos.GW, ainsi que deux vers, W32/Oscarbot.AY et W32/Codbot.AP.

Bancos.GW est un cheval de Troie qui dérobe les mots de passe et qui est programmé pour espionner les activités de navigation de l'utilisateur qu'il affecte. Si ce dernier saisit certains mots clés relatifs aux portails de banques en ligne, déjà enregistrés dans le code du malware, ou visite les sites web de certaines banques internationales, il affiche un message pop-up. Ce message demande à l'utilisateur des informations sur ses comptes bancaires, lui assurant qu'il est en protocole sécurisé SSL de la banque. Bancos.GW envoie toutes les informations collectées vers un serveur distant, auquel l'auteur de ce malware peut accéder.

La version B de PGPCoder est une mise à jour d'un malware qui détournait les fichiers, les encryptait et demandait une rançon à son propriétaire pour les rendre visibles. Ses fonctions améliorées incluent la capacité à encrypter un plus grand nombre de fichiers, ainsi qu'un nouvel algorithme de cryptage. Après avoir encrypté les fichiers, il s'efface et envoie à l'utilisateur affecté un email réclamant une certaine somme d'argent pour résoudre le problème. Ce malware ne peut pas se propager de manière autonome et de ce fait doit être distribué manuellement.

Le dernier cheval de Troie de ce rapport, Mitglieder.DQ, vise certains outils de sécurité informatique, tels que les antivirus et les firewalls, arrêtant les services associés et mettant fin à leurs processus. Il efface également du Registre les entrées avec leurs détails de configuration. Ce cheval de Troie essaie par ailleurs de télécharger un fichier nommé OSA3.GIF, pouvant être un autre type de malware (bien que ces téléchargements n'étaient pas disponibles lors de l'écriture de ce rapport). Ce malware appartient à la famille Bagle/Mitglieder. Ces derniers mois, un grand nombre de variantes de cette famille ont fait leur apparition, causant un nombre significatif d'incidents.

Les deux vers de notre rapport de cette semaine sont des bots. Ce type de malware possède des caractéristiques de backdoor et se met en mode résident sur l'ordinateur de l'utilisateur, en attente de recevoir des commandes. Les bots peuvent être utilisés pour mener des attaques coordonnées, envoyer de la publicité, du spam, etc. sachant que les réseaux de bots sont "loués" par leurs créateurs. Le premier, Oscarbot.AY, est un ver qui reçoit des commandes via un serveur IRC, qui vont du téléchargement et l'exécution de code, jusqu'à la mise à jour de son propre code ou à sa propre suppression. Ce ver se propage par le biais de l'application de messagerie instantanée AOL Instant Messenger (AIM) en envoyant à tous les contacts de l'utilisateur affecté un message incluant un lien vers une copie du ver.

Codbot.AP agit de manière similaire, mais il vérifie également sur l'ordinateur les vulnérabilités les plus connues, et peut enregistrer les saisies clavier de l'utilisateur afin de lui dérober ses mots de passe ou toute autre information confidentielle comme les détails de compte bancaire, les numéros de carte de crédit, etc. Ce ver se propage en exploitant deux des vulnérabilités Windows les plus connues, LSASS et RPC-DCOM, rendant essentielle la mise à jour du système pour résoudre ces incidents.

Pour prévenir toute infection de ces malwares ou de tout autre code malicieux, Panda Software recommande vivement aux utilisateurs de maintenir leur antivirus à jour. Pour ses clients, Panda Software a déjà effectué les mises à jours correspondantes dans ses produits afin qu'ils puissent détecter et éliminer ces codes malicieux.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.