Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 17 Janvier 2005

Cette semaine, notre rapport passera en revue trois vulnérabilités, deux chevaux de Troie, WmvDownloader.A et WmvDownloader.B, et deux vers, Lasco.A et Gaobot.CKP.

Nous démarrerons ce rapport en examinant trois problèmes de sécurité, pour lesquels Microsoft a publié cette semaine les patchs correspondants.

- Une Vulnérabilité dans l'aide HTML de Windows, qui permet à des hackers de prendre le contrôle d'un ordinateur avec les mêmes privilèges que l'utilisateur ayant démarré la session. Elle peut être exploitée par la création de pages Web spécifiques et affecte les ordinateurs fonctionnant sous Windows 2003/XP/2000/NT/Me/98.

- Un problème de sécurité dans le format des icônes et du curseur Windows. Un utilisateur peut l'exploiter pour prendre le contrôle d'un ordinateur en hébergeant une icône ou un curseur spécifiquement conçu sur une page Web malicieuse ou dans un email au format HTML. Ce problème affecte les ordinateurs fonctionnant sous Windows 2003/XP/2000/NT/Me/98.

- Une vulnérabilité dans le service Index Server, qui permet l'exécution de code à distance et l'augmentation des privilèges. Elle affecte les ordinateurs fonctionnant sous Windows XP sans le Service Pack 2, et sous Windows 2003.

WmvDownloader.A et WmvDownloader.B sont deux chevaux de Troie qui se propagent via les réseaux P2P sous la forme de fichiers vidéo avec l'extension ".wmv".

Pour se propager, WmvDownloader.A et WmvDownloader.B utilisent Digital Rights Management (DRM) de Windows Media, une technologie qui demande un numéro de licence valide lorsqu'un fichier Windows Media protégé est exécuté. Si un utilisateur vient à exécuter un fichier vidéo infecté avec WmvDownloader.A ou WmvDownloader.B, ces chevaux de Troie simulent le téléchargement de la licence correspondante à partir de certaines pages Web. En tout état de cause, leur réelle action est de rediriger les utilisateurs vers d'autres adresses à partir desquelles des applications malicieuses, comme des adwares, des numéroteurs ou des spywares, sont téléchargées.

Le premier ver que nous allons analyser aujourd'hui est Lasco.A, qui se propage sur les téléphones mobiles fonctionnant sous le système d'exploitation Symbian. Bien qu'initialement conçu pour affecter la série 60 des téléphones Nokia, il peut également toucher d'autres appareils utilisant le même système.

Lasco.A utilise les modes de propagation suivants :

1. Via Bluetooth (technologie permettant la connexion sans fil entre des appareils sur des courtes distances).

Une fois exécuté, Lasco.A lance la recherche d'autres appareils connectés en Bluetooth et s'il en trouve un, il transmet une copie de lui-même dans un fichier nommé VELASCO.SIS. Lorsque l'appareil vers lequel il a envoyé un fichier est hors de portée Bluetooth, Lasco.A en cherche d'autres à infecter.

2. En insérant son code dans tous les fichiers SIS sur l'appareil affecté. Lorsque ces fichiers sont distribués et s'exécutent sur de nouveaux appareils, ces derniers sont alors infectés par Lasco.A.

Pour pouvoir se propager, Lasco.A a besoin d'une intervention des utilisateurs, puisqu'ils reçoivent un message annonçant qu'il a été reçu. Si les utilisateurs acceptent ce message, le ver s'installe sur l'appareil.

Nous terminerons ce rapport avec Gaobot.CKP, un ver qui se propage en faisant des copies de lui-même sur les ressources partagées d'un réseau et qui exploite les vulnérabilités LSASS, RPC DCOM et WebDAV. Il peut également pénétrer les ordinateurs sur lesquels tourne SQL Server, dont le mot de passe du compte administrateur système est à blanc, et les ordinateurs sur lesquels tourne DameWare Mini Remote Control. Enfin, Gaobot.CKP accède aux ordinateurs affectés par les malwares suivants : Bagle.A, Mydoom.A, Optix, NetDevil, Kuang et SubSeven.

Gaobot.CKP laisse les attaquants prendre le contrôle à distance de l'ordinateur qu'il affecte, leur permettant d'exécuter des commandes, de télécharger et d'exécuter des fichiers, intercepter des séquences clavier et mener des attaques par déni de service distribuées.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.