Le rapport de PandaLabs s'intéresse cette semaine à l'attaque combinée de Spamta.VK et SpamtaLoad.DT, au cheval de Troie Ldpinch.AAI, au ver Grum.A ainsi qu'au dernier bulletin de sécurité publié par Microsoft. |
| |
La semaine dernière, Spamta.VK et SpamtaLoad.DT ont mené une attaque combinée, suscitant l'attention de PandaLabs. Spamta.VK est un ver conçu pour se connecter à plusieurs serveurs afin d'envoyer des emails en masse. Ces emails comprennent une pièce jointe, généralement un fichier exécutable, contenant une copie du cheval de Troie SpamtaLoad.DT. Quand il infecte un ordinateur, SpamtaLoad.DT télécharge à son tour une copie du ver Spamta.VK, recommençant ainsi le cycle d'infection. |
| |
"Les attaques combinées permettent une propagation plus rapide et efficace des codes malicieux. Dans ce cas, les fonctionnalités du ver sont utilisées pour répandre le cheval de Troie sur les ordinateurs. Cette attaque a représenté jusqu'à 80% des infections de malware rapportées à PandaLabs.", indique Luis Corrons, le directeur technique de PandaLabs, |
| |
SpamtaLoad.DT affiche un message d'erreur lorsqu'il est exécuté. Le cheval de Troie se cache dans un fichier avec l'icône d'un fichier texte. Le ver Spamta.VK télécharge plusieurs fichiers malicieux depuis Internet et se connecte à des serveurs pour envoyer des emails. |
| |
Ldpinch.AAI est un cheval de Troie conçu pour dérober les mots de passe de plusieurs programmes : clients de messagerie, navigateurs, clients FTP, etc. Pour cela, le cheval de Troie lit les fichiers de configuration et les entrées de registre de ces programmes. |
| |
Ldpinch.AAI subtilise également des informations sur les connexions Internet configurées sur l'ordinateur compromis et sur les processus actifs. Toutes ces données sont ensuite envoyées à l'auteur du malware via un formulaire Web. |
| |
Pour effectuer ces actions, le cheval de Troie Ldpinch.AAI empêche le firewall de fonctionner correctement. |
| |
Le ver Grum.A se cache dans des emails proposant le téléchargement d'une fausse version bêta d'Internet Explorer 7. Le corps des emails infectés est constitué d'une grande image qui prétend permettre le téléchargement de la version bêta du navigateur. Cependant, en cliquant sur l'image, les utilisateurs téléchargent en fait le ver sur leur ordinateur.
Une fois lancé, Grum.A infecte des fichiers exécutables (.exe) et effectue des copies de ces fichiers avec le même nom et l'extension ".rgn" pour qu'il soit plus difficile de les supprimer du système. Après cela, le code malicieux se supprime de lui-même. |
| |
Le ver Grum.A est capable de cacher ses processus au moyen de techniques rootkit. Cela le rend plus difficile à détecter par les solutions de sécurité. Pour dissimuler davantage sa présence, le ver intercepte plusieurs DLL du système et se copie sur d'autres DLL (system.dll, ntdll.dll, kernel32.dll, etc.). |
| |
Grum.A est également conçu pour ouvrir une porte dérobée sur les systèmes infectés. Par conséquent, un pirate peut accéder à l'ordinateur et le contrôler à distance. De plus, le ver se connecte à un site web pour se mettre à jour. |
| |
Cette semaine, Microsoft a publié un bulletin de sécurité pour corriger sept vulnérabilités, dont une vulnérabilité critique dans la gestion des curseurs animés Windows (fichiers .ani). Cette faille de sécurité, actuellement exploitée par des pirates, affecte Windows Vista, Windows XP, Windows Server 2003 et Windows 2000. |
| |
La vulnérabilité peut être exploitée via des pages spécialement conçues. Les pirates doivent cependant convaincre les Internautes de consulter la page permettant d'exploiter la faille de leur système. Lorsque l'attaque réussit, les cyber-criminels prennent le contrôle de l'ordinateur à distance avec les mêmes droits que l'utilisateur enregistré, ce qui est particulièrement dangereux si celui-ci dispose des droits administrateurs. Dans ce cas, les pirates obtiennent le contrôle total de l'ordinateur infecté. Pour plus d’informations sur les produits Panda Software. Merci de nous contacter au 08 70 44 56 64 ou par mail : panda@micro-securite.com |
ACCUEIL 
Rapport du 11/04/2007 sur les virus et les intrusions
Demander un devis
Demander un devis
Nous avons changés de numéros de téléphone.
...
RECHERCHER UNE NEWS