Rapport du 23/01/2006 sur les virus et les intrusions

La semaine dernière, Tearec.A a frappé les ordinateurs du monde entier, devenant la menace la plus fréquemment détectée par Panda ActiveScan, notre solution gratuite en ligne.

Tearec.A est un ver qui se répand à travers les réseaux et par email. Le sujet du message, le texte et le nom de la pièce jointe peuvent varier ; ils sont choisis aléatoirement parmi une longue liste. Cependant, tous ces messages ont un point en commun : leur caractère érotique pour tromper le destinataire. Si l’utilisateur ouvre la pièce jointe, le ver utilise son propre serveur SMTP pour envoyer une copie de lui-même par mail. Il effectue ensuite les actions suivantes sur l’ordinateur infecté :

- S’il détecte qu’un des programmes antivirus spécifiés dans son code est installé sur l’ordinateur, il termine et bloque l’application et affiche le message suivant dans la barre des tâches : "Update Please wait". Si aucun antivirus n’est repéré, le ver ouvre un fichier compressé vide, SAMPLE.ZIP.

- Le ver tente de supprimer les fichiers appartenant à différents programmes antivirus, à des logiciels de P2P, ainsi qu’à d’autres applications Internet, pour les empêcher de fonctionner.

- Afin d’obtenir des mots de passe, Tearec.A surveille le trafic du réseau, notamment les connexions en rapport avec les programmes antivirus et les services de messagerie.

La deuxième menace que nous étudions aujourd’hui est Mytob.MM, un ver qui se répand par email dans un message contenant une pièce jointe au format .ZIP.

Une fois installé sur l’ordinateur, Mytob.MM se connecte à un serveur IRC pour recevoir les commandes de contrôle à distance sur la machine infectée. Il stoppe les processus de certaines applications de sécurité, telles que les programmes antivirus et les firewalls. Il empêche également les utilisateurs d’accéder à certaines pages Web, et plus particulièrement les pages des éditeurs de sécurité informatique. De plus, Mytob.MM stoppe également les processus d’autres malwares.

Notre rapport se termine par l’étude du cheval de Troie Banbra.BQT. Celui-ci nécessite l’intervention de tiers pour se propager (emails, téléchargements sur Internet, transferts de fichiers par FTP, etc.). Une fois installé sur l’ordinateur, Banbra.BQT surveille l’activité de l’utilisateur sur Internet afin de subtiliser les mots de passe, notamment lorsqu’il visite la page Web de certaines banques. Il envoie ensuite ces informations à une adresse email.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malwares (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les technologies TruPreventTM, un véritable système global d’alertes, basé sur des sondes, distribuées stratégiquement, et qui permettent de neutraliser les nouvelles menaces, de les envoyer au plus tôt à PandaLabs et d’offrir les mises à jour complètes dans les plus brefs délais. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp