Spamnet.A est un cheval de Troie qui s'exécute lorsque l'on entre sur certaines pages web. Une fois installé sur un ordinateur, il commence à télécharger et exécuter différents malwares, qu'il utilise afin d'obtenir de l'ordinateur infecté les adresses emails qu'il envoie à l'extérieur via FTP. L'ordinateur en question sert également à envoyer du spam.
Parmi les spécimens de malwares que Spamnet.A télécharge se trouve Galapoper.C. C'est un cheval de Troie qui se connecte à plusieurs pages web qui hébergent un script PHP – afin de télécharger un fichier contenant des commandes de contrôle à distance (telles que télécharger et exécuter d'autres fichiers de lui-même, voire ses dernières mises à jour). Galapoper.C envoie alors des messages de spam variables et constitués des informations collectées sur plusieurs serveurs.
Trois des problèmes de sécurité que nous avons résumés ci-après pourrait permettre l'exécution d'un code arbitraire sur les systèmes infectés et ont été classifiés comme "critiques".
- Les vulnérabilités critiques affectant les versions 5.01, 5.5 et 6 d'Internet Explorer des ordinateurs sous Windows 2003/XP/2000/Me/98 pourraient permettre à un hacker de prendre totalement le contrôle du système.
- La vulnérabilité "Plug and Play" pourrait permettre l'exécution d'un code à distance et une escalade des privilèges. Elle concerne tous les systèmes Windows 2000 SP4, Windows XP SP1 et SP2, Windows XP Professional x64 Edition, Windows Server 2003 et Windows Server 2003 SP1.
- la vulnérabilité (TAPI) d'interfaçage de programmation des applications de téléphonie pourrait autoriser l'exécution d'un code à distance. Elle affecte tous les systèmes suivants : Windows 2000 SP4, Windows XP SP1 et SP2, Windows XP Professional x64 Edition, Windows Server 2003 (SP1 et x64 Edition), Windows 98, Windows 98 Second Edition et Windows Me.
- La vulnérabilité du Protocole Bureau à Distance (Remote Desktop Protocol) permettrait un déni de services des ordinateurs sous Windows 2003/XP/2000.
- les vulnérabilités du Kerberos pourraient permettre un déni de service, la divulgation d'informations, et l'usurpation de l'identité des ordinateurs sous Windows 2003/XP/2000.
- La vulnérabilité du service de Mise en file d'attente pour l'impression autoriserait l'exécution d'un code à distance sur les systèmes Windows 2003/XP/2000.
Microsoft a révélé ces problèmes de sécurité dans six rapports -MS05-038 à MS05-043- qui incluent également le détail des mises à jour qu'il est conseillé d'appliquer.
Les deux vers que nous analysons à présent Gaobot.JKK et Gaobot.JKO, présentent les caractéristiques communes suivantes :
- Ils utilisent les deux mêmes formes de propagation : ils réalisent des copies d'eux-mêmes sur les ressources de réseaux partagés et par Internet, en exploitant plusieurs vulnérabilités (LSASS, RPC DCOM, Workstation Service, WebDAV, etc.).
- Ils se connectent aux serveurs IRC pour recevoir les commandes de contrôle à distance qu'ils exécutent localement sur la machine infectée.
- Ils mettent fin aux programmes en cours appartenant à la catégorie des logiciels de sécurité, tels que les pare feux ou les applications antivirus.
- Pour mieux se propager sur d'autres systèmes, ils installent leur propre serveur FTP et TFTP sur les machines infectées.
Nous terminerons ce rapport en mentionnant les variantes A, B, C, D et E du vers Damon. Ces vers sont des épreuves concepts qui infectent la console Microsoft Shell (MSH) – aussi connue sous le nom de Monad.
Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/
A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.