Rapport du 11/06/2007 sur les virus et les intrusions

BankFake.F est un cheval de Troie redoutable qui cible neuf banques. Ce malware se propage par plusieurs moyens : email, téléchargement de fichier infecté sur Internet, etc. Il parvient sur les ordinateurs sous la forme d'un fichier avec une icône représentant deux petites tortues.

Lorsqu'il est exécuté, le cheval de Troie accède à une page Web et affiche une photo. Pendant ce temps, il se connecte à deux autres adresses pour télécharger des fichiers compressés avec le programme UPX.

Le cheval de Troie BankFake.F est conçu pour dérober les mots de passe d'accès à des services bancaires en ligne. Pour cela, lorsque l'utilisateur entre l'adresse d'une des banques visées, BankFake.F ferme le navigateur et exécute une application correspondant à la banque en question. Cette application affiche une image du site Web de la banque.

Une fois que l'utilisateur a entré ses données confidentielles, celles-ci sont enregistrées dans un fichier .bsp ou .cop. Périodiquement, le malware établit des connexions à un serveur FTP pour envoyer à son créateur les informations compilées.

En plus des mots de passe bancaires, BankFake.F subtilise également les mots de passe de comptes Hotmail. Pour cela, il affiche un message d'erreur invitant l'utilisateur à entrer de nouveau ses identifiants. Cependant, cette page n'appartient pas au service Hotmail mais au cheval de Troie qui dérobe ainsi ces informations confidentielles.

Grogotix.A est un ver qui effectue six copies de lui-même sur les systèmes qu'il infecte. À chaque fois que l'utilisateur ouvre un dossier, le ver crée une copie de lui-même avec le même nom de dossier et se copie également dans le dossier parent. De plus, à chaque fois qu'un fichier est exécuté, le ver crée une copie de lui-même portant le même nom que ce fichier.

Grogotix.A modifie le fichier host, auquel il ajoute un texte dans lequel l'auteur (probablement le créateur du ver) dit détester son campus. Les modifications effectuées au fichier host empêchent l'utilisateur d'accéder à certaines pages web, notamment les pages des éditeurs de solutions de sécurité. Ces modifications sont détectées par Panda Software sous le nom de Qhost.gen.

Le ver crée et modifie plusieurs entrées de registre. Il s'assure ainsi de toujours être exécuté à chaque démarrage de l'ordinateur et fait disparaître plusieurs options du menu Démarrer (Rechercher, Exécuter, Fermer la session et Arrêter).

Grogotix.A est conçu pour bloquer l'exécution de plusieurs programmes. Il cache aussi les dossiers de certaines solutions de sécurité.

Le ver essaie d'accéder à un réseau IRC et de se connecter à plusieurs serveurs. S'il y parvient, Grogotix.A se sert de la connexion pour transmettre des informations sur l'ordinateur infecté à son créateur. Il envoie également des messages privés aléatoires aux utilisateurs du réseau, avec un lien pour télécharger le malware. Les textes de ces messages sont par exemple :

- $nick, free picture indonesia sex double klik url:
- aloo $nick mo liat artis majalah playboy indo?, double klik url:
- Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url:
- 8 aloo $nick mo liat artis-artis indonesia nude, double klik url:

Cependant, les actions malveillantes de Grogotix.A ne s'arrêtent pas là. Le ver télécharge également une page Web sur le système, avec un nom comportant cinq caractères choisis au hasard, qui essaie d'utiliser un script pour télécharger un fichier malicieux.

Cette semaine, PandaLabs a découvert les deux premières variantes du ver MSNHideOptions. Alors que le code original essaie de passer inaperçu, ces deux nouvelles variantes semblent chercher à se faire remarquer. Lorsqu'elles sont exécutées sur l'ordinateur, elles affichent plusieurs messages en espagnol, notamment des messages insultants.

Les deux vers effectuent d'autres actions malveillantes. Entre autres, ils créent un fichier appelé "Mis contactos" (Mes contacts), dans lequel ils stockent toutes les adresses des contacts électroniques des utilisateurs. Ils cachent également plusieurs fonctions du menu Démarrer de Windows telles que Rechercher, Exécuter ou Aide et support.

Les variantes de MSNHideOptions se propagent par email ou par MSN Messenger. Les vers envoient un message aux contacts de l'utilisateur, dans lequel ils sont invités à cliquer sur un lien censé contenir les photos d'une personne.

Panda Software met à la disposition des utilisateurs qui souhaitent vérifier si leur ordinateur a été infecté par ces menaces ou par d'autres codes malicieux, ses analyseurs gratuits en ligne, la bêta de NanoScan ou TotalScan, à l'adresse : http://www.pandasoftware.fr/infectedornot/

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

A propos de PandaLabs
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, rootkits, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour analyse. Selon AvTest.org, PandaLabs est le laboratoire de virus qui offre des mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse www.pandasoftware.com/pandalabs

et sur le blog de PandaLabs : http://blogs.pandasoftware.com/blogs/pandalabs/

Pour plus d'informations :
http://www.pandasoftware.com/virus_info