Rapport du 02/10/06 sur les virus et les intrusions

La semaine dernière, PandaLabs a découvert l'envoi en masse de messages de spam avec des pièces jointes infectées par le ver Spamta.CY. L'objet des emails contenant le ver est variable, il est choisi au hasard parmi une liste de possibilités. Dans le corps du message, lorsqu'il y en a un, les utilisateurs sont alertés que des emails seraient envoyés depuis leur ordinateur à cause de l'infection d'un malware.

Le nom de la pièce jointe est également variable (doc.dat.exe, body.zip, test.elm.exe…). Ce fichier contient le ver Spamta.CY. Si l'utilisateur l'exécute, le Bloc-notes Windows s'ouvre et une suite de caractères incohérents s'affiche. En même temps, le ver recherche des adresses email sur le système et envoie une copie de lui-même à ces adresses en utilisant son propre moteur SMTP.

Moins de 24 heures après l'apparition de Spamta.CY, PandaLabs avait déjà détecté 12 nouvelles variantes de ce ver. Le créateur de ces vers cherche probablement à propager le plus grand nombre possible de variantes afin d'augmenter ses chances d'infecter les ordinateurs.

Les nouvelles variétés de Spamta détectées sont très similaires et visent à être envoyées rapidement par email. Cependant, le pirate peut très bien effectuer des modifications sur les nouvelles variantes pour introduire de nouvelles charges malveillantes, une pratique courante des cyber-criminels.

Nous étudions maintenant la vulnérabilité Microsoft MS06-055, classée critique. Elle concerne l'implémentation du format VML (Vector Markup Language) et touche les ordinateurs équipés de Windows 2003/XP et les versions 5.01 et 6 d'Internet Explorer sur les ordinateurs sous Windows 2000. Le langage VML repose sur le format XML et est utilisé par des applications pour l'échange, l'édition et la distribution de graphiques vectoriels.

L'exploitation de cette vulnérabilité permet au pirate de prendre le contrôle à distance de l'ordinateur infecté, avec les mêmes privilèges que l'utilisateur connecté. Par conséquent, si l'utilisateur a les droits administrateur, le pirate peut obtenir le contrôle total du système. Jusqu'à présent, les pirates ont exploité cette vulnérabilité au moyen de pages Web malicieuses spécialement conçues pour cet effet.

Il est conseillé aux utilisateurs de Windows 2003/XP/2000 de télécharger et d'installer le patch de sécurité de Microsoft qui permet de résoudre ce problème.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

A propos de PandaLabs
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour les analyser. Selon Av.Test.org, PandaLabs est le laboratoire de virus qui offre les mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp