Rapport du 20/02/2006 sur les virus et les intrusions

Le 14 février, Microsoft a publié sept mises à jour de Windows et Office, parmi lesquelles deux sont considérées comme critiques. La première mise à jour, MS06-004, vise à corriger une faille critique du moteur de rendu graphique sur les ordinateurs fonctionnant sous Windows 2003/XP/2000/Me/98. Cette faille, généralement exploitée au moyen d’une image au format WMF, permet l’exécution de code arbitraire à distance sur les systèmes vulnérables.

La deuxième mise à jour critique, MS06-005, corrige les problèmes rencontrés sur Windows Media Player pour les ordinateurs fonctionnant sous Windows 2003/XP/2000/Me/98. Cette deuxième faille permet également l’exécution de code arbitraire à distance sur les ordinateurs vulnérables.

L’exploitation de ces vulnérabilités permet aussi aux pirates de prendre le contrôle à distance des ordinateurs affectés, avec les mêmes privilèges que l’utilisateur connecté. Si l’utilisateur dispose des droits d’administration, le pirate peut obtenir le contrôle total du système, ce qui expose l’ordinateur à de grands risques de sécurité.

En parallèle, Microsoft a également publié cinq autres mises à jour, qui ne sont pas jugées critiques.

Le premier code malicieux étudié aujourd’hui est Bagle.GZ. Ce ver installe le cheval de Troie Downloader.HRV sur l’ordinateur affecté, lequel accède à plusieurs pages Web pour afficher de la publicité.

Pour se propager, Bagle.GZ envoie une copie de lui-même dans un email qui tente d’attirer l’attention en utilisant le thème des Jeux Olympiques d’hiver qui ont lieu à Turin jusqu’au 26 février. Lorsque l’utilisateur ouvre la pièce jointe au message, le ver enregistre des copies de lui-même dans les dossiers systèmes de l’ordinateur tandis qu’une fenêtre s’ouvre signalant une prétendue erreur du système pour dissimuler son action.

De son côté, le cheval de Troie Banbra.BTM est utilisé pour voler les mots de passe des utilisateurs de Net Empresa, un service de la banque brésilienne Bradesco. En plus des mots de passe, le cheval de Troie dérobe également les certificats numériques (fichiers avec une extension CRT) et les clés (fichiers contenant l’extension KEY) dont se servent les utilisateurs pour accéder à leur compte courant depuis leur ordinateur.

Le mode de propagation de Banbra.BTM consiste à envoyer des emails en masse prétendant provenir d’un employé de Brandesco Net Empresa et incitant les utilisateurs à télécharger le code. Grâce à l’action de PandaLabs, le cheval de Troie a pu être désactivé et le site Web qui hébergeait le code malicieux a été fermé.

Enfin, nous étudions maintenant un ver appelé OSX/Oomp.A. Ce code malveillant a été développé pour les systèmes d’exploitation MacOS/X. Il remplace certains logiciels par une copie de lui-même incluant le programme original dans ses ressources.

Lorsque l’on essaie de charger un de ces logiciels, le code malicieux se lance puis tente d’exécuter le programme original. Cependant, en raison d’erreurs de programmation du ver, le programme original n’est pas lancé correctement. Ce ver se propage par messagerie instantanée dans un fichier nommé "latestpics.tgz".

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malwares (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les technologies TruPreventTM, un véritable système global d’alertes, basé sur des sondes, distribuées stratégiquement, et qui permettent de neutraliser les nouvelles menaces, de les envoyer au plus tôt à PandaLabs et d’offrir les mises à jour complètes dans les plus brefs délais. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp