Rapport du 16/01/2006 sur les virus et les intrusions

La première vulnérabilité que nous examinons concerne Office 2000 SP3, Office XP SP3, Office 2003 SP1 et SP2 et Exchange Server. L’origine de la menace réside dans la technique de cryptage des courriers électronique, utilisant le protocole TNEF (Transport Neutral Encapsulation Format), d’Outlook et d’Exchange Server.

La deuxième vulnérabilité de notre rapport affecte Windows 2003/XP/2000/Me/98 et résulte du mode de traitement par Windows des polices Web malformées. Un pirate peut en effet exploiter cette vulnérabilité en hébergeant une police web spécifique sur une page Internet, créée spécialement pour l’occasion et en incitant les utilisateurs à la visiter ; ou bien directement par l’envoi d’un email contenant une police de même type, destinée à infecter les ordinateurs.

La troisième et dernière menace que nous étudions aujourd’hui concerne le Graphics Rendering Engine sur les ordinateurs tournant sous Windows 2003/XP/2000. Un pirate peut exploiter cette faille de sécurité en hébergeant une image (Windows Meta File) sur un site Web créé spécifiquement et en incitant les utilisateurs à le visiter ou en envoyant directement un message électronique contenant l’image WMF.

Microsoft a publié trois bulletins de sécurité (MS06-003, MS06-002 et MS06-001) annonçant la disponibilité de patchs pour corriger ces trois vulnérabilités et invite les utilisateurs des systèmes affectés à les installer.

Le premier cheval de Troie étudié dans ce rapport est Mitglieder.HE, qui pour se propager a besoin d’être diffusé manuellement par le pirate, bien qu’il ait également la capacité de se connecter à un serveur SMTP et d’envoyer une copie de lui-même par email.

Mitglieder.HE ouvre le port 9031 sur les ordinateurs infectés et agit comme un serveur proxy. De plus, il attend de recevoir des commandes de contrôle à distance, telles que le téléchargement et l’exécution de fichiers, la connexion à un serveur SMTP, le changement de port d’accès ou sa propre mise à jour.

Le deuxième cheval de Troie étudié ici est Spymaster.A. Comme le cheval de Troie décrit ci-dessus, il ne se diffuse pas automatiquement et requiert une intervention manuelle. Il se propage habituellement par mail via un message contenant une pièce jointe appelée SERVER.EXE.

Spymaster.A enregistre les frappes clavier tapées par l’utilisateur pour recueillir les mots de passe et autres informations confidentielles ; il garde aussi un historique des pages Web visitées. En même temps, il peut visualiser les programmes en exécution, les fichiers qui ont été créés, modifiés ou supprimés par l’utilisateur. Les informations obtenues sont sauvegardées dans un fichier qu’il envoie par serveur FTP. Spymaster.A utilise également une technique de dissimulation pour se faire passer pour MSN Messenger et éviter que les utilisateurs ne repèrent sa présence.

Notre rapport se termine avec Mytob.ML, un ver qui se propage par email, via un courrier électronique contenant un lien. Une fois qu’il a infecté un ordinateur, le ver Mytob.ML se connecte à un serveur IRC et attend les commandes de contrôle à distance. Il termine également les processus des autres malwares présents sur l’ordinateur et de certains programmes de sécurité tels que les firewalls. Il empêche aussi l’accès à certaines pages Web, notamment les pages des principaux éditeurs de solutions antivirus.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malwares (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les technologies TruPreventTM, un véritable système global d’alertes, basé sur des sondes, distribuées stratégiquement, et qui permettent de neutraliser les nouvelles menaces, de les envoyer au plus tôt à PandaLabs et d’offrir les mises à jour complètes dans les plus brefs délais. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp