Rapport du 18/09/06 sur les virus et les intrusions

PandaLabs a détecté une attaque massive de phishing ciblant les utilisateurs des services en ligne de la banque Barclays, avec plus de 70 variantes d'emails frauduleux répertoriées. L'ampleur de cette attaque a augmenté le nombre d'emails de phishing détectés par PandaLabs de 30% en seulement quelques heures.

Les messages falsifiés reçus par les utilisateurs sont conçus pour ressembler à des emails authentiques du service client de la banque Barclays. L'objet du message est choisi au hasard, parmi lesquels Barclays bank official update, Barclays bank – Security update, Please Read ou Verify your data with Barclays bank. Le corps du message imite le style et l'image de l'entreprise, informant les clients que leur banque met à jour son logiciel de sécurité et qu'ils doivent suivre le lien inclus dans l'email pour confirmer leurs coordonnées bancaires.

Lorsque les utilisateurs cliquent sur le lien, ils accèdent à un formulaire semblable à ceux utilisés par la banque Barclays dans lequel il leur est demandé d'entrer leur numéro de compte, leur numéro de carte de crédit ou leur mot de passe.

Spamta.X est un ver de messagerie qui envoie des messages avec en objet Error, Good Day ou Mail Delivery System, entre autres. Le texte du message peut être le suivant : Mail transaction failed. Partial message is available.

Le ver se cache dans la pièce jointe de ces messages, avec une icône de fichier .txt. Le nom et la double extension de la pièce jointe sont choisis au hasard dans une liste.

Si l'utilisateur exécute ce fichier, le Bloc-notes de Windows s'ouvre et affiche une suite de caractères incohérents. Plusieurs fichiers sont créés dans le système et des entrées de registre sont ajoutées.

Une fois installé sur l'ordinateur, Spamta.X modifie le fichier hosts afin d’empêcher les utilisateurs d'accéder à des sites Web relatifs à la sécurité informatique. Pour se propager, le ver cherche des fichiers qui comportent des extensions spécifiques, à la recherche d'adresses pour se dupliquer et s’envoyer par ses propres moyens.

Enfin, nous étudions trois vulnérabilités des produits Microsoft : MS06-052, MS06-053 et MS06-054. La première de celles-ci, MS06-052 est une vulnérabilité critique qui peut permettre à un pirate de prendre le contrôle de l'ordinateur à distance. MS06-053 est une vulnérabilité dans le service d'indexage de Microsoft Windows. La vulnérabilité jugée la plus critique est toutefois MS06-054. Elle affecte Microsoft Office, notamment le logiciel Publisher. Cette faille de sécurité a été classé sensible car elle permet la création de fichiers Publisher malveillants qui, lorsqu’ils sont ouverts, peuvent exécuter du code malveillant sur le système.

Pour aider autant d’utilisateurs que possible à maintenir leurs systèmes à l’abri des virus, Panda Software propose gratuitement Panda ActiveScan à l’adresse http://www.pandasoftware.fr/activescan/activescan.html.

Les Webmasters qui souhaitent inclure ActiveScan sur leurs sites Web peuvent obtenir gratuitement le code HTML en visitant la page http://www.pandasoftware.com/partners/webmasters/.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

A propos de PandaLabs
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour les analyser. Selon Av.Test.org, PandaLabs est le laboratoire de virus qui offre les mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp