Rapport du 04/09/06 sur les virus et les intrusions

Clagge.B est un cheval de Troie downloader qui devient résidant en mémoire. Ce malware procède à des modifications de la base de registre Windows lui permettant contourner la surveillance du firewall afin d'exécuter du code malveillant. Une fois ces modifications effectuées, il se connecte à une certaine adresse sur Internet depuis laquelle il télécharge un fichier du nom de suhoy341.exe. Ce fichier correspond au cheval de Troie Trj/Banker.CZI, conçu pour dérober des informations bancaires.

Comme la plupart des chevaux de Troie, Clagge.B ne peut pas se répandre de lui-même, il faut l'intervention d'un utilisateur malveillant qui le distribue manuellement. Ce cheval de Troie peut être inclus dans des fichiers téléchargés depuis Internet, des réseaux de peer-to-peer, dans des pièces jointes d'e-mails, etc.

Le deuxième cheval de Troie étudié cette semaine, Rizalof.HT, crée un serveur proxy anonyme sur les ordinateurs affectés afin de les utiliser pour envoyer du spam. Pour y parvenir, lorsqu'il est exécuté, le cheval de Troie se connecte à un serveur depuis lequel il télécharge d'autres composants puis les installe sur l'ordinateur. Un de ces éléments sert à envoyer du spam. De plus, il tente de mettre fin à des processus de mise à jour et des programmes de sécurité Windows.

Enfin, le dernier malware, Zcodec, est un logiciel espion inclus dans un logiciel prétendant installer les codecs nécessaires à la lecture d'un format de fichier multimédia. Une fois que Zcodec s'est introduit sur le système, il installe un rootkit (programme destiné à cacher des processus, fichiers ou entrées de registre) afin que l'utilisateur ne sache pas que certains fichiers sont exécutés. Par la suite, Zcodec installe deux fichiers exécutables. Le premier fichier modifie la configuration du DNS de l'ordinateur compromis de façon à ce que l'utilisateur soit dirigé vers une autre page lorsqu'il clique sur les résultats d'une recherche sur Google ou un autre moteur de recherche. Les créateurs du malware recourent à cette manœuvre pour générer des profits en détournant les systèmes de pay-per-click (paiement par clic) ou pour dérober des informations confidentielles en redirigeant l'utilisateur vers des pages spécialement conçues à cet effet.

Le deuxième fichier exécutable peut mener l'une ou l'autre des actions suivantes. Dans certains cas, il installe le cheval de Troie Ruins.MB, conçu pour télécharger d'autres programmes malveillants sur le système. Dans d'autres cas, le fichier propose continuellement à l'utilisateur d'installer un jeu de casino en ligne. Même s'il refuse, une icône est créée sur le bureau et lance l'installation si l'utilisateur clique dessus.

Pour aider autant d’utilisateurs que possible à maintenir leurs systèmes à l’abri des virus, Panda Software propose gratuitement Panda ActiveScan à l’adresse http://www.pandasoftware.fr/activescan/activescan.html.

Les Webmasters qui souhaitent inclure ActiveScan sur leurs sites Web peuvent obtenir gratuitement le code HTML en visitant la page http://www.pandasoftware.com/partners/webmasters/.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour les analyser. Selon Av.Test.org, PandaLabs est le laboratoire de virus qui offre les mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp

Pour plus d'informations : http://www.pandasoftware.com/virus_info