Cette semaine, notre rapport sur les virus et les intrusions analysera deux vers, Mydoom.BH et Crowt.B, et un cheval de Troie, Downloader.BHV.
Mydoom.BH est un ver de messagerie qui peut également se propager via le programme P2P de partage de fichiers KaZaA. Lorsqu’il a pénétré un ordinateur et qu’il est exécuté, il télécharge depuis un site web une page avec un code qu’il sauvegarde dans le répertoire système de Windows sous la forme d’un fichier exécutable nommé TEMP1.EXE. Il affiche également un écran faisant référence à un antivirus pour détourner l’attention de l’utilisateur
Pour se propager via email, il se transfert à tous les contacts du carnet d’adresses d’Outlook, en utilisant son propre moteur SMTP. Le nom apparent de l’expéditeur de l’email est faux et le message inclut une pièce jointe avec le code malicieux.
En plus de l’utilisation de l’email, Mydoom.BH créer également une copie de lui-même dans le répertoire partagé de KaZaA, qu’il obtient à partir du registre Windows. Cette copie a un nom de fichier et une extension aléatoires, choisis à partir d’une liste de noms créés pour attirer l’attention des utilisateurs KaZaA.
D’autres utilisateurs de ce programme peuvent accéder à distance à ce répertoire partagé, et télécharger volontairement les fichiers créés par Mydoom.BH, pensant qu’ils sont en fait des programmes intéressants, etc. En réalité, ils téléchargent des copies du ver sur leurs ordinateurs. Lorsqu’ils lancent les fichiers téléchargés, ces ordinateurs deviennent infectés à leur tour par Mydoom.BH.
Le second ver de notre rapport, Crowt.B, possède des fonctionnalités de backdoor et se transfert par email en utilisant son propre moteur SMTP. Il obtient les adresses auxquelles il se transfert à partir d’une liste de contacts stockés sur l’ordinateur de l’utilisateur.
Il permet l’exécution de commandes distantes sur l’ordinateur compromis et l’extraction d’informations de ce dernier. Il comporte également un danger supplémentaire car il agit comme un keylogger, enregistrant les séquences de saisie clavier et dérobant les mots de passes saisis. Afin de passer inaperçu, Crowt.B injecte son code dans les autres programmes.
Nous terminerons ce rapport avec le cheval de Troie Downloader.BHV. Ce code malicieux télécharge et installe des programmes de type adware sur l’ordinateur infecté.
Downloader.BHV nécessite l’intervention d’un attaquant pour pouvoir se propager et ne peut pas se déployer automatiquement. Divers canaux de propagation sont utilisés, dont les disquettes, les CDs, les message électroniques avec pièces jointes, les téléchargements Internet, les transferts FTP de fichiers, les canaux IRC, les réseaux P2P de partage de fichiers, etc.
Lorsqu’il est exécuté, il télécharge depuis un ensemble de sites web, 5 fichiers exécutables déguisés en fichiers GIF, qu’il lance sur le système infecté. Pour éviter d’être détecté, il utilise des techniques très basiques (des chaînes de texte sont composées tandis que le code s’exécute).
Pour plus d’informations sur ces menaces et sur d’autres, consultez l’Encyclopédie des virus de Panda Software à l’adresse http://www.pandasoftware.com/virus_info/encyclopedia/
A propos du laboratoire de virus de Panda Software :
Dès réception d’un fichier susceptible d’avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l’analyse de macro, l’analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l’antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.
Pour plus d’informations :
Panda Software
Département presse
[email protected]
Tel : 01.30.06.15.15
Fax : 01.30.06.15.17
Laisser un commentaire
Vous devez vous connecter pour publier un commentaire.