Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 10 Janvier 2005

Cette semaine, dans notre rapport sur les virus et les intrusions, nous passerons en revue Winxor.A, Breacuk.E et Asan.A.

Winxor.A est le premier code malicieux conçu pour exploiter une vulnérabilité du service WINS, qui permet l'exécution d'un code arbitraire sur des serveurs Windows 2003/XP/2000/NT/Me/98/95. Winxor.A peut également affecter des ordinateurs fonctionnant sous Windows 2003/XP/2000/NT/Me/98/95.

Winxor.A se connecte à un serveur IRC et attend des commandes de contrôle (telles que le téléchargement de fichiers ou l'exécution de programmes). Lorsque le créateur de ce code malicieux le spécifie, Winxor.A scanne des adresses IP afin de trouver des ports ouverts. Si ces derniers appartiennent à des serveurs affectés par la faille de sécurité en question, il installe un serveur FTP au niveau du port 36010 et l'utilise pour se transférer sur ces ordinateurs.

Quand il a atteint un ordinateur, Winxor.A mène les actions suivantes :

- Il crée deux fichiers : CCEVTMNGR.EXE, qui est une copie de lui-même, et CCSETMNGR.EXE, qui est un composant qui recherche des ordinateurs distants affectés par la vulnérabilité dans le service WINS afin de tenter de l'exploiter.

- Il crée plusieurs entrées dans le registre Windows afin de s'assurer d'être exécuté à chaque démarrage de l'ordinateur et de s'enregistrer en tant que service Windows.

Breacuk.E est un ver qui se propage via l'application P2P de partage de fichiers KaZaA. Pour y parvenir, il suit la routine suivante :

- Il crée un répertoire nommé "SOFTWARE KINGS AND QUEENS" dans le répertoire de Windows et le partage en utilisant KaZaA.

- Dans ce répertoire, il crée de multiples copies de lui-même sous des noms très attractifs, de telle sorte que les utilisateurs les téléchargent, en pensant qu'il s'agit de jeux ou d'autres applications. Quoi qu'il en soit, lorsque le fichier téléchargé est exécuté, l'ordinateur est infecté par Breacuk.E.

Breacuk.E supprime des fichiers avec certaines extensions, dont les .EXE, .DLL, .OCX et .BMP, empêchant ainsi le bon fonctionnement de certaines applications. De plus, ce code malicieux cause des problèmes en rallumant l'ordinateur affecté.

Nous finirons ce rapport avec Asan.A, un ver qui affecte les serveurs ayant une version installée vulnérable du programme phpBB, et ayant déjà été attaqués par le ver que Panda Software détecte sous le nom PHP/Santy.A.worm. Dans ce cas, il retire la vulnérabilité du serveur, bien que cette opération puisse engendrer la perte de certaines fonctionnalités.

Pour plus d'informations sur ces malwares et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse : http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.