Lebreat.A, Lebreat.B et Lebreat.C sont trois vers de messagerie aux caractéristiques variables qui peuvent également se propager via Internet, en exploitant la vulnérabilité LSASS.
Les variantes A, B et C de Lebreat mènent sur les ordinateurs infectés une série d'actions incluant les suivantes :
- Téléchargement d'autres malwares
- Lancement d'attaques par déni de service vers certains sites Web
- Désactivation de plusieurs utilitaires Windows, tels que le Gestionnaire des tâches et le firewall sous Windows XP
- Création d'un mutex pour s'assurer qu'une seule copie du code malicieux est active
Le premier outil de hacking que nous analyserons aujourd'hui est RemoteLogger, qui peut être installé de manière distante en envoyant un petit installeur sur l'ordinateur cible et en incitant l'utilisateur à l'exécuter. Une fois installé, il enregistre les frappes clavier et peut être utilisé pour collecter des données personnelles, comme les mots de passe, avec le danger que cela représente pour la confidentialité de l'utilisateur. Cet outil peut également surveiller différents utilisateurs du même PC.
Les informations compilées par RemoteLogger peuvent être envoyées par email ou uploadées sur un certain serveur FTP.
AFXFireWall.A filtre les paquets SYN (SYNchronize). Quand un paquet SYN est envoyé vers un port TCP non autorisé, AFXFireWall.A répond avec un paquet RST, fermant automatiquement la connexion. L'archive de cet outil de hacking peut être normalement trouvé dans un fichier nommé FIREWALL.ZIP.
Nous terminerons ce rapport avec E-Eliminator, un adware installé sur les ordinateurs lorsque les utilisateurs visitent certaines pages Web au contenu pour adultes ou illicite. Lorsqu'il a infecté un ordinateur, il affiche dans le navigateur une page annonçant que tout ce que l'utilisateur a fait en ligne a été enregistré. Pour résoudre la situation, cette page recommande à l'utilisateur d'accéder à un certain logiciel.
Pour renforcer le sentiment d'insécurité, et par conséquent encourager l'utilisateur à acheter le logiciel recommandé, E-Eliminator change la page de démarrage d'Internet Explorer. Cet adware change également la page de recherche.
Pour prévenir toute infection de ces malwares ou de tout autre code malicieux, Panda Software recommande vivement aux utilisateurs de maintenir leur antivirus à jour. Pour ses clients, Panda Software a déjà effectué les mises à jours correspondantes dans ses produits afin qu'ils puissent détecter et éliminer ces codes malicieux.
Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/
A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.