Le rapport de PandaLabs s'intéresse cette semaine au cheval de Troie ReverseClick.A, à l'adware VideoCach, au programme potentiellement indésirable XPCSpy et au ver Piggi.B. Le laboratoire antimalware de Panda Software a remarqué cette semaine une augmentation du nombre de malwares avec des fonctionnalités rootkit.

Il est très facile de reconnaître un ordinateur infecté par ReverseClick.A. Dès que le code malicieux est exécuté, la Corbeille disparaît et les touches de la souris sont inversées. Ensuite, au redémarrage de l'ordinateur, ReverseClick.A supprime toutes les icônes du Bureau et ouvre le Bloc-Notes.

ReverseClick.A nécessite l'intervention d'un pirate pour se répandre sur les ordinateurs. Les vecteurs de propagation sont variés : disquette, CD-ROM infecté, pièce jointe d'email, téléchargement sur Internet, transfert de fichier par FTP, canal IRC, réseau d'échange de fichiers P2P…

VideoCach est un adware conçu pour promouvoir illégalement certains logiciels de sécurité. Cet adware a la particularité d'utiliser des technologies rootkit.

VideoCach crée des raccourcis sur le bureau et affiche de fausses alertes d'infection. Il ouvre une fenêtre avec Internet Explorer sur laquelle les utilisateurs sont avertis qu'un malware est installé sur leur ordinateur. L'adware inclut des liens vers des pages web ou les utilisateurs peuvent télécharger des solutions de sécurité douteuses. Une fois exécutés, ces outils analysent l'ordinateur et rendent des résultats peu fiables. Ensuite, l'utilisateur est invité à acheter les solutions dont l'adware fait la promotion.

XPCSpy utilise lui-aussi des technologies rootkit pour se dissimuler. Ce programme potentiellement indésirable (PUP) est conçu pour espionner l'activité des utilisateurs des ordinateurs sur lesquels il s'installe. Il compromet la confidentialité des utilisateurs en effectuant des captures d'écran, en enregistrant les frappes entrées et en archivant les pages web visitées, les emails envoyés et les conversations effectuées avec des logiciels de messagerie instantanée.

Doté de fonctionnalités rootkit, XPCSpys ne montre aucun signe visible d'infection sur les ordinateurs compromis. Il cache ses processus en exécution et les dossiers où sont stockés les composants du programme et les rapports. Ainsi, ce code malicieux est plus difficile à déceler.

Le dernier malware étudié dans ce rapport est Piggi.B, un ver qui utilise également des fonctionnalités rootkit pour dissimuler ses actions. Ce ver se propage dans des emails avec de fausses adresses d'expédition qui utilisent certains noms de domaine d’éditeurs de solutions de sécurité.

Piggi.B place une copie de lui-même nommée iexplore.exe dans le dossier Programs Files et déplace le fichier original (le fichier exécutable du navigateur Internet Explorer) dans un sous-dossier du répertoire système Windows. Ainsi, à chaque fois que l'utilisateur essaie d'exécuter Internet Explorer, il exécute d'abord Piggi.B puis le navigateur web.

Les données dans ce rapport indiquent une augmentation croissante de l'utilisation des rootkits par les créateurs de malwares. Selon Luis Corrons, le directeur technique de PandaLabs, "les utilisateurs doivent se protéger contre ces codes malicieux qui dissimulent leurs actions afin de rendre leur détection plus difficile. Nous leur conseillons de renforcer leur solution antivirus traditionnelle avec des technologies de protection proactives."

Pour aider autant d’utilisateurs que possible à maintenir leurs systèmes à l’abri des virus, Panda Software propose gratuitement Panda ActiveScan à l’adresse :
http://www.micro-securite.com/panda_software.php.

Ils peuvent également utiliser la bêta de NanoScan, un analyseur en ligne qui détecte les malwares actifs en une minute.