Rapport du 22/08/06 sur les virus et les intrusions

Oskarbot.KD est le premier code malveillant qui exploite la vulnérabilité Microsoft MS06-040 pour infecter les systèmes. Selon les informations fournies par PandaLabs, Oscarbot.KD recherche les ordinateurs possédant cette vulnérabilité. Lorsqu'il détecte un ordinateur vulnérable, le ver cause un dépassement de mémoire tampon sur le système et exécute le code nécessaire pour télécharger une copie de lui-même sur l'ordinateur dans un fichier du nom de wgareg.exe. Cependant, Oscarbot.KD peut aussi se répandre via le service de messagerie instantanée d'AOL et au moyen de lecteurs partagés.

Une fois installé sur l'ordinateur, le ver ouvre le port 18067 et se connecte à des serveurs IRC. Cela permet à un pirate de communiquer à distance avec Oscarbot.KD pour télécharger et exécuter toutes sortes de logiciels malveillants sur l'ordinateur infecté, de lancer des attaques contre d'autres ordinateurs, etc.

De plus, Oscarbot.KD édite un ensemble de clés de registre de Windows afin de désactiver le firewall inclus dans certaines versions du système d'exploitation.

Comme beaucoup de chevaux de Troie, Nabload.JC ne peut pas se répandre par ses propres moyens : il est distribué par des pirates. Les vecteurs de propagation sont divers : disquette, CD, courrier électronique avec une pièce jointe… Nabload.JC est conçu pour télécharger le code malicieux décrit ci après, Banker.EEA.

Banker.EEA est un cheval de Troie qui modifie la page d'identification de la banque allemande Postbank qui s'affiche dans le navigateur Internet de l'utilisateur. En raison de la modification apportée par le cheval de Troie, l'utilisateur doit donner son numéro TAN (Transaction Authorized Number), en plus de son mot de passe et de son code secret PIN. Une fois qu'il a obtenu ces informations, le malware les envoie à un serveur afin que les pirates puissent les récupérer et les utiliser à des fins frauduleuses.

Il faut souligner que bien que Banker.EEA soit programmé spécialement pour attaquer les clients de Postbank, il recueille également les informations entrées dans les formulaires sur d'autres sites Web (banques ou messagerie électronique, par exemple).

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour les analyser. Selon Av.Test.org, PandaLabs est le laboratoire de virus qui offre les mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp.