Rapport du 20/11/06 sur les virus et les intrusions

Les bulletins MS06-067 à MS06-071 corrigent plusieurs vulnérabilités critiques, dont une mise à jour cumulative d'Internet Explorer (MS06-067), une faille de sécurité de Macromedia Flash Player (MS06-069) et une faille de Microsoft XML Core Services (MS06-071). Le bulletin MS06-066 a été classé "important" car il corrige des vulnérabilités dans le Service Clients pour Netware.

Microsoft vient de mettre ces mises à jour de sécurité à la disposition de ses clients. Il est fortement conseillé de les installer dès que possible, car plusieurs de ces vulnérabilités peuvent compromettre la sécurité de l'ordinateur en permettant l'exécution de code à distance.

De son côté, le ver TelnetOn.A crée un compte administrateur sur l'ordinateur infecté, afin de prendre le contrôle total du système ciblé via le service Telnet. Une des principales actions du ver est de fermer les processus de plusieurs logiciels de sécurité, par exemple l'antivirus ou le firewall de l'ordinateur. Il termine également les processus d'autres codes malicieux.

Une fois installé sur l'ordinateur, TelnetOn.A empêche l'accès à certains sites Web, notamment les sites Web d'éditeurs de solutions de sécurité. Ce ver se propage par des programmes de peer-to-peer (eMule, KaZaA et Morpheus), le logiciel mIRC et par email.

Enfin, le deuxième et dernier malware étudié dans ce rapport est le cheval de Troie Briz.S, spécialisé dans le vol de mots de passe. Il se compose de plusieurs éléments qui sont téléchargés depuis Internet. Briz.S est conçu spécialement pour dérober des informations confidentielles sur les ordinateurs qu'il infecte, notamment l'adresse IP et les données entrées par les utilisateurs dans les formulaires sur Internet Explorer : nom d'utilisateur et mot de passe utilisés pour l'accès à un compte de messagerie, à des services bancaires ou encore à d'autres services en ligne.

Ce cheval de Troie empêche l'ordinateur d'accéder à des sites Web d'éditeurs de solutions antivirus. L'ordinateur infecté est ensuite utilisé par les pirates comme passerelle leur permettant de se connecter anonymement à des services HTTP, FTP, SMTP et Telnet.

Briz.S nécessite l’intervention d'un pirate pour se propager. Il peut atteindre les ordinateurs de plusieurs façons : CD-ROM, pièce jointe d'email, téléchargement sur Internet ou canal IRC.

Panda Software met à la disposition des utilisateurs qui souhaitent vérifier si leur ordinateur a été infecté par ces menaces ou par d'autres codes malicieux, sa solution gratuite en ligne, Panda ActiveScan, à l'adresse : http://www.pandasoftware.fr/activescan/activescan.html.

Les utilisateurs peuvent, grâce à cet antivirus gratuit, effectuer une analyse complète de leur ordinateur lorsqu'ils soupçonnent une infection.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

A propos de PandaLabs
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour les analyser. Selon Av.Test.org, PandaLabs est le laboratoire de virus qui offre les mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp