Rapport du 23/10/06 sur les virus et les intrusions

Sinowal.CR est conçu pour dérober des informations confidentielles sur les ordinateurs qu'il infecte, par exemple les mots de passe et autres données personnelles de l'espace de stockage protégé, et les mots de passe de clients de messagerie tels que Ak-Mail, Eudora et The Bat.

Le cheval de Troie recueille également d'autres informations sur l'ordinateur compromis, notamment son adresse IP, son nom, sa localisation géographique, les ports ouverts, etc. puis les envoie ensuite à des serveurs via Internet.

Comme la plupart des chevaux de Troie, il n'est pas capable de se répandre par ses propres moyens et a besoin pour cela de l'intervention d'un pirate. Les vecteurs de propagation sont variés : disquette, CD-ROM infecté, pièce jointe d'email, téléchargement sur Internet, transfert de fichier par FTP, canal IRC, réseau d'échange de fichiers P2P, …

Briz.R est un cheval de Troie particulièrement dangereux qui permet aux cyber-escrocs de prendre le contrôle à distance des ordinateurs infectés et de rediriger les utilisateurs vers de fausses pages Web pour leur dérober des informations confidentielles. L'origine de Briz.R remonte à une arnaque détectée et démantelée par PandaLabs plusieurs mois auparavant qui consistait en la création et la vente de versions personnalisées du cheval de Troie.

L'attaque de Briz.R commence par l'installation d'un fichier du nom d'iexplore.exe, qui sert à détecter la présence d'une connexion Internet. Si tel est le cas, il télécharge un autre fichier, ieschedule.exe, pour enregistrer les paramètres du cheval de Troie, tels que le port utilisé pour l'envoi des données recueillies.

Un autre composant est ensuite téléchargé, ieserver.exe. Il va créer un serveur Web sur l'ordinateur. Ce serveur Web sert à rediriger les utilisateurs vers des pages Web falsifiées spécialement conçues pour dérober des informations confidentielles lorsqu'ils tentent d'accéder à certains sites Web, particulièrement des services financiers en ligne. Si l'utilisateur entre alors ses données confidentielles, le cheval de Troie les récupère et les envoie aux cyber-escrocs. Le serveur Web permet également aux pirates de prendre le contrôle à distance de l'ordinateur en installant un logiciel programmé en PHP, phpRemoteView.

De plus, Briz.R modifie le fichier hosts afin d'empêcher l'accès à un grand nombre de sites Web en rapport avec la sécurité informatique.

Sohanat.U est un ver qui se répand par des logiciels de messagerie instantanée, tels que Yahoo Messenger, AIM et Windows Live Messenger. Il envoie des messages du type "Téléchargez gratuitement des MP3" avec un lien de téléchargement qui déclenchera une copie du ver sur l'ordinateur.

Une fois l'ordinateur infecté, le ver désactive les processus de certains logiciels de sécurité. Il modifie également la page d'accueil d'Internet Explorer.

De plus, Sohanat.U désactive le gestionnaire des tâches de Windows et le programme regedit.exe pour empêcher les utilisateurs de le supprimer de l'ordinateur.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

A propos de PandaLabs
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour les analyser. Selon Av.Test.org, PandaLabs est le laboratoire de virus qui offre les mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp

Pour plus d'informations :
http://www.pandasoftware.com/virus_info