Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Vendredi 29 Juillet 2005

Cette semaine, notre rapport sur les virus et les intrusions analysera trois chevaux de Troie, Killfiles.AC, Killfiles.AD et Banker.AEP, un ver nommé Mytob.IJ et deux outils de hacking, Ip-Harvester et Redhand.

La caractéristique la plus significative des variantes AC et AD de Killfiles est qu'elles suppriment les fichiers ayant trait au fonctionnement du système, empêchant celui-ci de démarrer. Plus précisément, ces chevaux de Troie suppriment :

- Tous les fichiers du répertoire Windows

- Tous les fichiers dans les sous-répertoires SYSTEM32, SYSTEM, INF et SERVICEPACKFILES du répertoire Windows

- Les fichiers NTLDR, NTDETECT.COM, IO.SYS et COMMAND.COM de la racine du volume C:

Les droits d'administrateur sont nécessaires pour pouvoir supprimer ces fichiers sur les ordinateurs fonctionnant sous les systèmes Windows 2003/XP/2000/NT.

Killfiles.AC et Killfiles.AD sont souvent utilisés par d'autres chevaux de Troie pour supprimer des données sur les ordinateurs affectés. Ils affichent également, en fonction de la version de Windows, le message suivant à l'écran : FALTA NTLDR.

Le prochain cheval de Troie que nous passerons en revue dans ce rapport est Banker.AEP, qui surveille l'accès à certaines pages web, plus particulièrement des institutions financières brésiliennes. Pour ce faire, il cherche des fenêtres nommées “IErame” et s'il en trouve, il tente d'accéder au texte indiquant l'adresse web de la page. Si l'adresse coïncide avec certaines banques brésiliennes, Banker.AEP ferme la fenêtre Internet Explorer et affiche une page en langue portugaise similaire à la page web à laquelle l'utilisateur est en train d'essayer d'accéder, et demande des informations confidentielles, comme par exemple des mots de passe. Si l'utilisateur saisit ces informations, le cheval de Troie les envoie à deux adresses email.

Le ver que nous analyserons dans ce rapport est Mytob.IJ. Il utilise son propre moteur SMTP pour se transférer. Il possède également un client IRC via lequel il se connecte à un certain serveur IRC. De ce fait, il est capable de recevoir des commandes permettant d'administrer l'ordinateur de manière distante. En outre, il exploite la vulnérabilité LSASS.

Sur les ordinateurs qu'il infecte, Mytob.IJ recherche des adresses email au sein des fichiers portant certaines extensions, et des fichiers dans le répertoire ‘Internet Temporary Files'. En tout état de cause, il évite de se transférer vers les adresses contenant certains textes.

Lorsqu'un fichier contenant Mytob.IJ est exécuté pour la première fois, le ver vérifie si une copie active est déjà présente sur l'ordinateur, et si tel est le cas, il met fin à son processus. Ce ver se réplique également dans plusieurs fichiers. Un de ces fichiers, nommé hellmsn.exe, est utilisé pour envoyer les fichiers "funny_pic.scr see_this!!.scr" et "myphoto_2005.scr" via MSN Messenger.

Pour empêcher l'utilisateur de communiquer avec certains sites Internet, Mytob.IJ modifie le fichier %windir%system32driversetchosts, en y ajoutant plusieurs entrées. De ce fait, lorsqu'un programme tente de processer une requête DNS pour les sites spécifiés, une adresse invalide est renvoyée.

Nous Terminerons ce rapport avec deux outils de hacking. Le premier, Ip-Harvester, est basé sur Messenger Service, une fonctionnalité de Windows XP et 2000. Ip-Harvester envoie des messages publicitaires à des ordinateurs connectés à Internet. Ces messages apparaissent sous forme de pop-ups d'origine inconnue car aucune IP n'est montrée.

Le second outil de hacking est Redhand. Il enregistre le nom des programmes utilisés ainsi que leur durée d'exécution. Il enregistre également les saisies clavier et peut surveiller l'utilisation de l'ordinateur par différents utilisateurs.

Pour prévenir toute infection de ces malwares ou de tout autre code malicieux, Panda Software recommande vivement aux utilisateurs de maintenir leur antivirus à jour. Pour ses clients, Panda Software a déjà effectué les mises à jours correspondantes dans ses produits afin qu'ils puissent détecter et éliminer ces codes malicieux.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.