Le rapport de PandaLabs s'intéresse cette semaine au cheval de Troie Artesimda, à Rinbot.Q, un ver qui exploite plusieurs vulnérabilités pour se propager, ainsi qu'à la nouvelle attaque combinée de deux membres de la famille Spamta. |
| |
Cette attaque est menée par le ver Spamta.WF et le cheval de Troie SpamtaLoad.DW. Lorsque le cheval de Troie infecte un ordinateur, il télécharge le ver. Celui-ci alors recueille des adresses emails sur l'ordinateur et leur envoie un courrier électronique contenant le cheval de Troie. Le processus d'infection peut ainsi se répéter. |
| |
Le sujet et le corps des emails contenant SpamtaLoad.DW sont variables. L'objet est par exemple : "Error", "Good day", "Hello", etc. Le cheval de Troie est caché dans un fichier au nom variable ("body", "data", "doc", etc.) et peut comporter diverses extensions (.msg, .txt, etc.). |
|
SpamtaLoad.DW s'installe sur l'ordinateur avec l'icône d'un fichier texte, bien qu'il s'agisse en fait d'un fichier exécutable. Cette manipulation vise à inciter les utilisateurs à ouvrir le document et exécuter involontairement le cheval de Troie. Pour distraire leur attention, SpamtaLoad.DW affiche un message d'erreur lorsqu'il est exécuté. |
| |
Rinbot.Q exploite deux vulnérabilités des systèmes Windows, la première affectant les serveurs DNS et la seconde le processus LSASS (Local Security Authority Subsystem). Ce ver comporte des fonctionnalités qui lui permettent de télécharger d'autres malwares sur l'ordinateur infecté. Lorsqu'il est exécuté, Rinbot.Q vérifie si certains programmes de contrôle du réseau sont installés sur le système. Si tel est le cas, il les supprime. Le ver termine également les processus de plusieurs outils anti-rootkits pour rendre sa détection plus difficile. |
| |
Rinbot.Q peut aussi se propager via les disques partagés des réseaux. De plus, il effectue des modifications de la base de registre Windows pour s'assurer d'être exécuté à chaque démarrage de l'ordinateur. |
| |
Artesimda est un cheval de Troie particulièrement dangereux. Une fois exécuté, il crée un compte Windows avec un nom d'utilisateur ("Adminestrator") et un mot de passe. Il dérobe toutes sortes d'informations sur les ordinateurs qu'il infecte : mots de passe des programmes et des comptes de messagerie, matériel et logiciels installés, adresse IP, adresses email, ...
Le cheval de Troie permet également au pirate de prendre le contrôle des ordinateurs infectés. Pour cela, il exécute un outil d'administration à distance sur les ordinateurs. "Comme le pirate connaît déjà l'adresse IP de l'ordinateur et a son propre mot de passe sur le poste, il peut accéder à l'ordinateur et modifier ou dérober toutes les informations qu'il souhaite", explique Luis Corrons, le directeur technique de PandaLabs. |
| |
Artesimda peut surveiller l'activité des utilisateurs sur Internet et obtenir toutes les informations saisies dans les formulaires Web : identifiants pour accéder aux comptes bancaires, mots de passe de comptes de messagerie, de blog, etc. Toutes ces données sont ensuite envoyées à l'auteur du malware via un serveur Web. |
| |
Le code malicieux effectue également quelques modifications dans la base de registre Windows afin de désactiver le firewall Windows XP et de se lancer à chaque démarrage du système. Le cheval de Troie utilise des technologies rootkit pour rendre sa détection plus difficile. |
| |
"Les créateurs de malwares souhaitent exploiter chaque infection au maximum. Pour cette raison, ils intègrent plusieurs fonctionnalités au sein d'un même malware. Ils augmentent ainsi leurs chances d'obtenir des informations confidentielles des utilisateurs," explique Luis Corrons. |
ACCUEIL 
Rapport du 23/04/2007 sur les virus et les intrusions
Demander un devis
Demander un devis
Nous avons changés de numéros de téléphone.
...
RECHERCHER UNE NEWS