Rapport du 28/11/2005 sur les virus et les intrusions

Cette semaine, Sober.AH a infecté des millions de messages électroniques. En fait, le ver est devenu une des menaces les plus fréquemment détectées par Panda ActiveScan, la solution en ligne gratuite de Panda Software. Les raisons de cette énorme prolifération résident dans l’utilisation de techniques d’ingénierie sociale. Ce procédé a pour but d’attirer l’attention des utilisateurs et de les duper en les incitant à exécuter le fichier infecté. Sober.AH envoie des messages faisant référence à des vidéos de Paris Hilton et de Nicole Richie ou d’autres prétendant être des alertes du FBI ou de la CIA dénonçant les accès à des sites Internet illégaux.

Sober.AH se diffuse via des messages électroniques comportant des caractéristiques variables (sujet, texte, …) et un fichier compressé en attachement. Quand les utilisateurs lancent le fichier, le ver infecte l’ordinateur et affiche un faux message d’erreur. Si l’adresse comprend l’extension de domaine .de (Allemagne), .ch (Suisse), .at (Australie) ou .li (Liechtenstein), l’email apparaît alors en allemand. Dans tous les autres cas, le texte est en anglais.

Sober.AH stoppe plusieurs processus, dont ceux de certains outils de sécurité, et dans ce cas affiche le message "Aucun virus, cheval de Troie ou Spyware trouvé ! Etat OK". Il crée également différents fichiers, dont SERVICES.EXE, CSRSS.EXE et SMSS.EXE, qui sont tous des copies de ce ver. Quand ces deux derniers s’exécutent, les processus associés apparaissent comme appartenant au programme SERVICES.EXE et donc comme des processus légitimes de Windows, afin de ne pas susciter de suspicion de la part des utilisateurs avertis qui vérifieraient la liste des processus actifs.

L’autre menace étudiée aujourd’hui est Mitglieder.GB, un cheval de Troie qui a commencé à se diffuser rapidement et qui rattrape Sober.AH dans le classement des menaces les plus fréquemment détectées par Panda ActiveScan.

Mitglieder.GB ne peut pas se propager par ses propres moyens mais ne peut être diffusé que par intervention manuelle. Les échantillons reçus ont été envoyés par messages électroniques comportant des caractéristiques variables et un fichier compressé en attachement. Quand ce cheval de Troie est lancé, il ouvre le lecteur Windows par défaut et affiche le logo Windows. Une fois installé sur l’ordinateur, Mitglieder.GB essaie de télécharger un fichier toutes les cinq heures via un script PHP, ainsi que différentes pages web.

Le second ver Mops.A se propage via Yahoo Messenger et AOL Instant Messenger en s’infiltrant dans des messages comportant un lien. Si un utilisateur clique sur ce lien, un fichier RAR auto extractible est téléchargé. Celui-ci contient plusieurs fichiers appartenant à Mops.A, à Sdbot.FAR et à une barre d’outils pour Internet Explorer.

Nous terminons ce rapport avec SpyMon, un "programme espion potentiellement indésirable" qui pourrait permettre d’exécuter certaines commandes à distance sur des ordinateurs et autorise d’autres actions indésirables comme l’enregistrement des frappes clavier, I’accès aux processus actifs et plus généralement l’espionnage en temps réel de l’activité d’un utilisateur.

Pour plus d’informations sur cette menace, consultez l’Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les technologies TruPreventTM, un véritable système global d’alertes, basé sur des sondes, distribuées stratégiquement, et qui permettent de neutraliser les nouvelles menaces, de les envoyer au plus tôt à PandaLabs et d’offrir les mises à jour complètes dans les plus brefs délais. Plus d’informations à l’adresse : www.pandasoftware.com/pandalabs.asp.