Rapport du 26/10/2005 sur les virus et les intrusions

Application/WeatherBug est un programme qui permet de visualiser le temps et la température qu’il fait à un endroit donné ainsi que les prévisions météorologiques pour les prochains jours. Application/WeatherBug installe une barre d’outils, détectée sous le nom de Application/Myway et crée des entrées dans le répertoire de Windows ainsi que différents fichiers.

AKeyLogger et ActiKeyLogger sont deux applications qui exécutent différentes actions sur les ordinateurs infectés, dont :

- L’enregistrement des frappes clavier des utilisateurs, utilisées ensuite pour obtenir des mots de passe ou d’autres informations confidentielles, pouvant être envoyées à l’extérieur par mail.

- Ces applications peuvent se lancer furtivement et d’une façon totalement invisible après leur installation. Un icone apparaît dans le système lorsqu’elles s’exécutent d’une façon visible.

- Elles s’installent dans la mémoire résidente.

- Elles peuvent être configurées pour se lancer automatiquement à chaque redémarrage de Windows.

- Elles créent différents fichiers dans un sous-dossier du répertoire «Programs File».

Le quatrième outil de piratage que nous étudions aujourd’hui s’appelle SvrAny.A, Il peut usurper des services à partir de la ligne de commande. Ses actions consistent à autoriser des exécutables à se comporter comme des services, à en lancer, bloquer, créer ou en supprimer certains.

Le premier ver étudié est Mytob.KN, qui se répand par divers messages électroniques. Une fois installé, il se connecte à un serveur IRC afin de recevoir des commandes à distance.

Mytob.KN stoppe des process appartenant à différents outils de sécurité, comme des logiciels antivirus et firewalls, ainsi que des process d’autres malwares. Il empêche également l’utilisateur du PC d’accéder à certaines pages web, principalement celles des éditeurs antivirus. Sur les ordinateurs sous Windows XP Service Pack 2, il met hors service le firewall intégré dans ce système d’exploitation.

Nous conclurons ce rapport avec Sdbot.FJA, un ver qui exploite les vulnérabilités LSASS, RPC DCOM, Workstation Service et Plug and Play pour se propager sur Internet.

Sdbot.FJA se connecte à différents serveurs IRC pour recevoir des commandes à distance. Il peut télécharger et exécuter des fichiers, obtenir des mots de passe Outlook et Internet Explorer stockés dans Protected Storage, lancer et stopper les services de Windows, lister et finaliser des process, etc.

Pour plus d’informations sur les menaces informatiques, consultez l’Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc…) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les technologies TruPreventTM, un véritable système global d’alertes, basé sur des sondes, distribuées stratégiquement, et qui permettent de neutraliser les nouvelles menaces, de les envoyer au plus tôt à PandaLabs et d’offrir les mises à jour complètes dans les plus brefs délais. Plus d’informations à l’adresse : http://www.pandasoftware.com/pandalabs.asp