Rapport du 11/09/06 sur les virus et les intrusions

Goldun.LC est un type de cheval de Troie qui dérobe des mots de passe. Il subtilise les informations d'identification des comptes e-gold des utilisateurs infectés. Pour cela, Goldun.LC s'installe sous la forme d'un BHO (Browser Helper Object) pour le navigateur Internet Explorer.

Ensuite, à chaque fois qu'Internet Explorer est ouvert, le cheval de Troie est activé et enregistre les frappes entrées par l'utilisateur, obtenant ainsi le login et mot de passe du compte e-gold de l'utilisateur, s'il en a un. Par la suite, le malware envoie les informations qu'il a dérobées à un autre ordinateur, par un port TCP.

Comme la plupart des chevaux de Troie, Goldun.LC ne peut pas se propager de lui-même. Selon les informations fournies par PandaLabs, il atteint généralement les utilisateurs par e-mail dans une pièce jointe avec une icône de fichier .bmp.

Lootseek.JJ est un ver qui se connecte à un serveur IRC pour recevoir à distance les commandes d'un pirate. Parmi ses actions, le ver télécharge et exécute le cheval de Troie Rizalof, conçu pour utiliser les ordinateurs affectés pour envoyer du spam.

Lootseek.JJ peut se répandre parmi les réseaux d'ordinateurs, en faisant des copies de lui-même dans les espaces de disque partagés auxquels il parvient à accéder.

Enfin, Banbra.DCY est un cheval de Troie qui recourt à une nouvelle méthode d'extorsion d'informations confidentielles : la capture vidéo. Banbra.DCY est spécialisé dans l'attaque des utilisateurs de certaines banques brésiliennes qui utilisent des "claviers virtuels" pour l'ouverture d'une session (les clients entrent leur mot de passe en cliquant avec la souris sur l'image d'un clavier qui apparaît à l'écran).

Lorsque les utilisateurs se connectent au site Web de ces banques en ligne, le cheval de Troie effectue une capture vidéo de la zone de l'écran située autour du curseur de la souris et l'enregistre dans un fichier au format .avi. Ces fichiers sont ensuite discrètement envoyés au pirate qui peut alors utiliser ces données pour toutes sortes de fraudes en ligne.

Pour aider autant d’utilisateurs que possible à maintenir leurs systèmes à l’abri des virus, Panda Software propose gratuitement Panda ActiveScan à l’adresse http://www.pandasoftware.fr/activescan/activescan.html.

Les Webmasters qui souhaitent inclure ActiveScan sur leurs sites Web peuvent obtenir gratuitement le code HTML en visitant la page http://www.pandasoftware.com/partners/webmasters/.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

A propos de PandaLabs
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour les analyser. Selon Av.Test.org, PandaLabs est le laboratoire de virus qui offre les mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp