Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 24 Janvier 2005

Dans notre rapport de cette semaine, nous analyserons trois vers, Bropia.A, Zar.A et Mydoom.AE, ainsi que Gaobot.batch.

Bropia.A se propage via MSN Messenger. Pour ce faire, il cherche au niveau de l'application une instance de la classe 'IMWindowClass' et s'il en trouve une, il se transfert vers l'extérieur sous l'un des noms suivants : Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif ou love_me.pif.

Dès qu'il est exécuté, Bropia.A recherche, dans %systemdir%, des fichiers portant les noms suivants : adaware.exe, VB6.EXE, lexplore.exe et Win32.exe. S'ils n'existent pas, il crée un fichier contenant une copie d'une variante de Gaobot. Bropia.A génère également plusieurs fichiers vides dans le chemin %systemdir% et les ouvre pour empêcher les processus taskmgr.exe et cmd.exe de s'exécuter. Par ailleurs, Bropia.A désactive la combinaison de touches CTRL+ALT+SUPPR, et peut également désactiver le bouton droit de la souris.

Zar.A se propage via email dans un message qui fait référence aux tsunamis qui ont frappé l'Asie en décembre 2004. Le sujet ainsi que le corps du message invitent à venir en aide aux victimes, et la pièce jointe se nomme TSUNAMI.EXE. Lorsque ce fichier est exécuté, l'ordinateur est infecté par Zar.A, qui, en utilisant MAPI, se transfert vers toutes les adresses de l'annuaire Outlook.

Zar.A crée trois fichiers et une entrée dans le registre Windows afin de s'assurer qu'il sera exécuté à chaque démarrage de l'ordinateur. Ce ver tente également de lancer une attaque par déni de service contre le site w w w.hacksector.de.

Le prochain ver que nous allons passer en revue aujourd'hui est Mydoom.AE, qui se propage dans un email aux caractéristiques variables, et via les programmes P2P de partage de fichiers.

Lorsqu'il a infecté un ordinateur, Mydoom.AE mène les actions suivantes :

- Il ouvre le Bloc-notes et affiche un texte composé de caractères aléatoires.

- Il altère le fichier HOSTS pour empêcher les utilisateurs de pouvoir accéder aux pages Web de certaines sociétés éditrices d'antivirus. Il met également fin aux processus appartenant à certains programmes antivirus, laissant ainsi l'ordinateur vulnérable face aux attaques d'autres malwares.

- Il met fin aux processus appartenant à des malwares.

- Il tente de télécharger un fichier sur Internet.

Nous terminerons ce rapport en mentionnant Gaobot.batch, un fichier de process batch effaçant le fichier original Gaobot lorsque celui-ci a été installé sur l'ordinateur.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.