Rapport du 25/06/2007 sur les virus et les intrusions

Harrenix.A est un cheval de Troie qui atteint les ordinateurs en se faisant passer pour la bande-annonce du prochain film d'Harry Potter. Cependant, si les utilisateurs exécutent le fichier, au lieu d'afficher une vidéo, ils installent le cheval de Troie sur leur ordinateur. Pour éviter d'éveiller la suspicion des utilisateurs, un message d'erreur s'affiche, les informant que la vidéo ne peut pas s'afficher car un codec est manquant et leur conseillant de visiter le site web officiel du film.

"Quelque temps auparavant, nous avions déjà observé un cas similaire avec le film "Pirates des Caraïbes". Les cyber-criminels profitent de l'intérêt des utilisateurs pour ces films afin de les inciter à ouvrir des fichiers contenant en réalité des malwares.", explique Luis Corrons, le directeur technique de PandaLabs.

Une fois qu'il est installé sur l'ordinateur, le cheval de Troie télécharge sur l'ordinateur un numéroteur détecté par PandaLabs sous le nom de Dialer.KJD. Celui-ci est conçu pour connecter les utilisateurs à Internet via un numéro de téléphone surtaxé, à la place du numéro de connexion habituel.

Après avoir infecté un ordinateur, le ver Moaphie.A modifie la page d'accueil du navigateur Internet Explorer définie par l'utilisateur par une page avec des contenus malveillants.

Ce ver recueille des données sur les ordinateurs infectés. Il les envoie ensuite par email à son créateur en utilisant un modèle dans lequel il entre le nom de l'ordinateur et celui de l'utilisateur enregistré au moment de l'infection.

Afin de se propager, Moaphie.A place des copies de lui-même dans le répertoire racine des autres disques et dans les clés USB. Il crée également un fichier appelé autorun.inf sur ces disques afin d'exécuter les copies du ver à chaque nouvel accès.

Le ver peut également se propager par messagerie instantanée. Pour cela, toutes les dix millisecondes, il recherche des fenêtres de conversation du logiciel MSN Messenger (dans sa version anglaise). Si tel est le cas, il envoie dans la fenêtre ouverte un lien vers une page web contenant une copie du ver pour essayer d'infecter les contacts de l'utilisateur.

"Les logiciels de messagerie instantanée tels que MSN Messenger, Yahoo! Messenger ou AIM sont de plus en plus utilisés par les particuliers et dans les entreprises. Leur popularité en fait d'excellents moyens de propagation des malwares." précise Luis Corrons.

Moaphie.A se connecte à une page web, depuis laquelle il télécharge une copie de lui-même. Lorsqu'il est en exécution, le ver vérifie la présence de fenêtres ouvertes qui contiennent des chaînes de caractères correspondant à certaines solutions de sécurité afin d'éviter d'être détecté. Lorsqu'il détecte une fenêtre de cette sorte, le ver met fin à cette dernière.

Lorsqu'un utilisateur ouvre une session, le ver affiche le message d'erreur suivant : Fatal Error: kernel32.dll can't be loaded ("Erreur fatale, la bibliothèque kernel32.dll n'a pas pu être chargée").

Moaphie.A effectue d'autres actions malveillantes telles que bloquer l'invite de commande. Lorsque l'utilisateur lance l'invite de commande, un message en anglais s'affiche : "THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!!" (Le monde entier n'accepte pas les invites de commande !).

Le deuxième ver étudié dans le rapport de cette semaine est Trixcu.A. Lorsque le ver est exécuté, un message d'erreur s'affiche. Parmi les actions malveillantes qu'il effectue, Trixcu.A place des copies de lui-même sur le système et modifie la base de registre Windows. Une de ces modifications lui permet d'être exécuté automatiquement à chaque redémarrage de l'ordinateur.

Le ver modifie également le nom et l'entreprise sous lesquels le système d'exploitation est enregistré. Afin de se propager, Trixcu.A effectue des copies de lui-même sur les disques mappés de l'ordinateur.

Le cheval de Troie Suarabh.A est conçu pour enregistrer les frappes au clavier, afin de dérober les informations confidentielles saisies par l'utilisateur. Ce cheval de Troie effectue également un rapport sur les applications en exécution sur l'ordinateur.

Suarabh.A modifie les propriétés des dossiers système et les configure comme dossiers cachés ou en lecture seule. De plus, le cheval de Troie modifie plusieurs entrées de registre. Une de ces modifications désactive le menu permettant aux utilisateurs de modifier les options des dossiers. Les autres modifications empêchent les utilisateurs d'accéder à l'éditeur de la base de registre Windows afin qu'ils ne puissent pas rétablir la base de registre à son état initial. Ainsi, le cheval de Troie protège les modifications qu'il a effectuées.

Pour plus d’informations sur ces menaces, ou sur toute autre menace, consultez l’Encyclopédie de Panda Software.

Panda Software met à la disposition des utilisateurs qui souhaitent vérifier si leur ordinateur a été infecté par ces menaces ou par d'autres codes malicieux, ses analyseurs gratuits en ligne, la bêta de NanoScan ou TotalScan, à l'adresse : http://www.pandasoftware.fr/infectedornot/

A propos de PandaLabs
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, rootkits, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour analyse. Selon AvTest.org, PandaLabs est le laboratoire de virus qui offre des mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse www.pandasoftware.com/pandalabs

et sur le blog de PandaLabs :
http://blogs.pandasoftware.com/blogs/pandalabs/

Pour plus d'informations :
http://www.pandasoftware.com/virus_info