Rapport du 10/01/06 sur les virus et les intrusions

WMFMaker est un programme utilisé pour créer des images WMF (Windows MetaFile) qui exploitent une faille critique dans le moteur Graphics Rendering Engine. La vulnérabilité réside dans la prise en charge de Windows 2003/XP/2000/Me/98 des fichiers WMF (Windows Meta File) et par conséquent, toutes les applications utilisant ce format sont susceptibles d’être affectées, par exemple Internet Explorer et Microsoft Outlook. WMFMaker peut être utilisé pour créer des images contenant toute sorte de code malicieux (cheval de Troie, ver ou tout autre malware) dans l’ordinateur touché par cette faille.

WMFMaker est conçu pour fonctionner depuis la ligne de commande, en incluant le chemin d’accès à l’outil et au fichier exécutable qui va être inclus dans l’image WMF et se lancer si la vulnérabilité est exploitée. Ce faisant, un fichier avec une extension .wmf est généré avec un nom variable, allant de evil.wmf au nom de l’exécutable inclus dans celui-ci.

Mytob.LX ouvre alors une porte dérobée pour se connecter à un serveur IRC et recevoir des commandes de contrôle. Ce ver stoppe également différents processus actifs dont des processus relatifs à des solutions antivirus. Il modifie le fichier qui l’héberge pour empêcher l’utilisateur d’accéder à des sites web d’éditeurs de solutions de sécurité.

Les images malicieuses WMF créées par WMFMaker peuvent être distribuées de différentes façons, par exemple, en les hébergeant dans une page web et en persuadant des utilisateurs de les ouvrir. Si la victime utilise Internet Explorer, le code sera activé automatiquement lorsqu’il accèdera à la page web. Cependant, s’il utilise un autre navigateur, l’utilisateur sera averti que le fichier va être téléchargé.

Sous la pression des utilisateurs et les recommandations des éditeurs antivirus et des spécialistes de la sécurité, Microsoft a finalement anticipé la publication de son patch pour corriger cette vulnérabilité, qui devait initialement sortir aujourd’hui, en même temps que ses autres correctifs. Entre-temps on a pu déplorer l’infection de très nombreuses machines par cheval de Troie notamment.

La seconde menace étudiée dans notre rapport de cette semaine est Gaobot.LTL, un ver qui se propage par les moyens suivants : Internet en utilisant les vulnérabilités LSASS, RPC DCOM, WebDAV et UPnP, les réseaux utilisant des logiciels de peer-to-peer (P2P) d’échanges de fichiers, AOL Instant Messenger (AIM) et IRC.

Gaobot.LTL se connecte à plusieurs serveurs IRC pour recevoir des commandes à distance (afin de voler les mots de passe présents sur l’ordinateur, lancer des attaques de déni de service, scanner des adresses IP, etc.). Il empêche également les utilisateurs d’accéder aux sites Internet des éditeurs de solutions de sécurité informatique, il est par conséquent possible que les programmes antivirus ne puissent pas se mettre à jour, laissant l’ordinateur vulnérable face à d’autres programmes malveillants.

Le rapport se termine avec Mytob.MF, un ver permettant des envois en masse de courriers électroniques et qui atteint les ordinateurs par un message à caractéristiques variables contenant un fichier joint nommé Abuse_Seport.zip. Ce ver utilise des techniques d’ingénierie sociale pour se propager vers le plus grand nombre d’ordinateurs possible. Plus précisément, le message porteur de ce ver se propage en prenant la forme d’un email provenant d’un service de réclamations accusant les destinataires de mener des activités illégales depuis leurs ordinateurs.

Lorsque l’on décompresse et ouvre le fichier Abuse_Seport.zip, Mytob.MF s’installe sur l’ordinateur et mène diverses actions comme la recherche d’adresses emails dans différents types de fichiers puis l’envoi d’une copie de lui-même à ces mêmes adresses. Il interrompt les processus des différents programmes de sécurité chargés dans la mémoire et empêche l’utilisateur d’accéder à certaines pages, notamment les sites Internet des éditeurs d’antivirus.

Pour plus d’informations sur ces menaces, consultez l’Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les technologies TruPreventTM, un véritable système global d’alertes, basé sur des sondes, distribuées stratégiquement, et qui permettent de neutraliser les nouvelles menaces, de les envoyer au plus tôt à PandaLabs et d’offrir les mises à jour complètes dans les plus brefs délais. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp