Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Mardi 09 Août 2005

Cette semaine, notre rapport sur les virus et les intrusions passera en revue trois vers : Infober.A, Incef.A et Bobax.AU.

Infober.A se propage via les réseaux d'ordinateurs, faisant un inventaire des ressources partagées et s'y répliquant. Il crée quatre fichiers, dont deux se prénomment MMSOFTCPL.CPL et DEATHLOG.TXT, tandis que les noms des deux autres sont générés en effectuant des recherches au sein des fichiers .cpl, .exe et .doc sur l'ensemble des unités disques. Un des fichiers exécute le ver lorsque l'ordinateur démarre, en important les fonctions "système" à partir de mmSoftCPL.cpl et en l'exécutant.

Infober.A ouvre le port UDP 45075, agissant comme une backdoor afin de permettre l'accès distant sur l'ordinateur, et de ce fait autorisant des actions pouvant compromettre la confidentialité des données utilisateur ou empêcher le bon fonctionnement de l'ordinateur. Il crée le mutex "SQL Script” afin d'éviter que deux copies de lui-même ne s'exécutent simultanément sur le système.

Le second ver de notre rapport est Incef.A, qui se propage via IRC, à l'aide de mIRC, et le programme P2P de partage de fichiers KaZaA.

Incef.A mène plusieurs actions sur les ordinateurs infectés, dont les suivantes :

- Il altère les paramètres de KaZaA pour simplifier sa propagation. Il partage la racine de l'unité C: et un sous-répertoire du répertoire Windows. Il désactive le firewall et le filtre antivirus.

- Il modifie le fichier MIRC.INI, de telle sorte qu'il exécute un certain script.

Nous terminerons ce rapport avec Bobax.AU, un ver qui se propage via email dans un message aux caractéristiques variables, incluant une pièce jointe dont le nom peut être "BUSH", "FUNNY", "JOKE", "PICS", ou "SECRET", et l'extension .exe, .pif ou .scr. Lorsque le fichier est exécuté, Bobax.AU recherche sur l'ordinateur des adresses email pour s'y transférer. Il mène également les actions suivantes :

- Il modifie le fichier HOSTS pour empêcher l'accès à certaines pages web, notamment celles des éditeurs d'antivirus.

- Il crée plusieurs fichiers, dont l'un est une DLL, pour empêcher que le processus associé ne soit affiché dans le Gestionnaire des tâches.

Pour prévenir toute infection de ces malwares ou de tout autre code malicieux, Panda Software recommande vivement aux utilisateurs de maintenir leur antivirus à jour. Pour ses clients, Panda Software a déjà effectué les mises à jours correspondantes dans ses produits afin qu'ils puissent détecter et éliminer ces codes malicieux.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.