Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 22 Août 2005

Cette semaine le rapport de Panda Software étudiera un cheval de Troie, Mitglieder.EK, un outil de piratage (hacking tool), ModemSpy et cinq vers, Zotob.A, Zotob.B, Zotob.D, IRCBot.KC et IRCBot.KD. A l'exception de cet outil de piratage, qui n'est pas un code malveillant, tous ces spécimens de malware ont été détectés et neutralisés par les Technologies TruPrevent avant même d'avoir été préalablement identifiés.

Mitglieder.EK est un cheval de Troie dont l'objectif est de mettre fin à tous les processus relatifs aux applications antivirus ou pare-feu (firewall), comme à leurs systèmes de mise à jour, en effaçant, modifiant ou créant des clés dans la base de registre. Il crée également lui-même une clé de registre pour s'assurer, à chaque fois que l'ordinateur contaminé redémarre, d'être lancé à son tour. Par ailleurs, il essaie de télécharger un fichier dénommé OSA4.GIF, qui tente de se faire passer pour une image alors qu'il s'agit d'un fichier exécutable. Comme tous les chevaux de Troie, il ne peut se propager par ses propres moyens et par conséquent doit se diffuser manuellement par emails, programmes de P2P...

Zotob.A et Zotob.B sont deux vers qui fonctionnent dans la même logique. Ils exploitent, par débordement de mémoire tampon (buffer overflow), une faille de sécurité du service Plug and Play de Windows, annoncée par Microsoft dans le rapport MS05-039, et qui affecte Windows 2000, Windows XP, et Windows 2003 Server. Ces vers se propagent en exploitant cette vulnérabilité, générant des adresses IP aléatoires auxquelles ils essaient de se connecter par le port 445, tout en vérifiant que l'ordinateur en question dispose également de cette vulnérabilité. Si tel est le cas, ils installent alors un serveur FTP sur la machine contaminée et essaient de télécharger une copie d'eux-mêmes via le port 33333. Lorsqu'ils atteignent l'ordinateur contaminé, ils entreprennent deux actions : ils bloquent l'accès aux sites web des éditeurs d'antivirus et ouvrent une porte dérobée (backdoor) sur la machine en question afin de recevoir de nouvelles lignes de commandes via IRC, qui notamment permettent de télécharger, d'exécuter ou bien d'effacer des fichiers.

Zotob.D, IRCBot.KC et IRCBot.KD sont trois vers qui présentent un fonctionnement similaire. Comme les vers précédents, ils essaient de se diffuser par l'intermédiaire de la vulnérabilité du service Plug and Play. Ces vers génèrent également des adresses IP aléatoires via le port 445 pour rechercher des systèmes d'exploitation vulnérables. Une fois trouvés, ils envoient l'instruction de télécharger une copie du vers par TFTP. Ensuite les actions entreprises varient d'un vers à l'autre : Zotob.D efface les différents programmes de type adware ou spyware, tout comme les variantes A, B et C des précédents vers. IRCBot.KD essaie de mettre fin à tous les processus liés aux versions précédentes de Zotob et IRCBot, ainsi qu'à ceux d'autres malwares. Ils partagent néanmoins la caractéristique d'ouvrir une porte dérobée (backdoor) par laquelle ils reçoivent des instructions via une connexion à certains canaux IRC.

En conclusion, ModemSpy est un outil de piratage informatique. Bien que ce soit une application légale, son utilisation peut être détournée entre les mains de hackers. Ce logiciel permet à un hacker d'enregistrer des conversations téléphoniques, de les écouter ou de les envoyer par email, d'identifier les interlocuteurs ou même les messages enregistrés, en utilisant tout simplement un microphone. De plus, il contient une fonction qui lui permet de passer totalement inaperçu aux yeux des utilisateurs grâce à son mode "discrétion".

Afin de se prémunir de ces malwares ou de tout autre code malveillant, Panda Software recommande de maintenir les logiciels antivirus à jour. Les clients de Panda Software peuvent d'ores et déjà accéder aux mises à jour qui permettent de détecter et de désinfecter ces codes malveillants.

Pour plus d'informations sur toutes menaces Internet, consultez l'Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.