Rapport hebdomadaire Panda Software sur les virus et les intrusions. Le rapport de PandaLabs s’intéresse cette semaine à trois chevaux de Troie : Banker.HIK, Wsnpoem.AW et Dadlam.A. |
| |
Le premier malware étudié cette semaine est Banker.HIK, un cheval de Troie bancaire. De plus en plus répandu, ce type de cheval de Troie est spécialement conçu pour dérober des informations financières. Banker.HIK vise principalement les banques brésiliennes, notamment Banco do Brasil et CEF. Il opère en affichant de faux écrans dans lesquels les utilisateurs sont invités à entrer leurs informations bancaires, que le cheval de Troie peut alors subtiliser. |
| |
Banker.HIK surveille également le trafic généré sur certains pages Web, afin d'obtenir davantage d'informations confidentielles. Le cheval de Troie effectue une copie de lui-même dans le dossier "Démarrer" de Windows, afin qu'il soit exécuté à chaque démarrage de l'ordinateur. |
| |
Une des particularités de Banker.HIK est qu'il affiche un message d'erreur ("Socket Error # 11004"), ce qui permet de l'identifier plus facilement. |
| |
Le deuxième cheval de Troie, Wnspoem.AW, dérobe également des mots de passe. Il supprime tous les cookies présents sur l'ordinateur, afin que l'utilisateur entre de nouveau ses identifiants pour accéder à certains sites Web. |
| |
Wnspoem.AW effectue des modifications dans la base de registre et le dossier de démarrage de Windows pour qu’il soit exécuté à chaque fois que l'ordinateur démarre. Le cheval de Troie crée le mutex "__SYSTEM__64AD0625__", un processus en mémoire servant à empêcher l'exécution simultanée de deux copies. |
|
Dadlam.A est le dernier malware étudié dans le rapport de cette semaine. Ce cheval de Troie enregistreur de frappes se cache dans un fichier avec une icône de fichier vidéo. Une fois exécuté, une vidéo pornographique s'affiche, afin de distraire l'attention de l'utilisateur. Dadlam.A modifie le fichier boot.ini et crée une tâche qui programme un redémarrage de l'ordinateur à six heures. |
| |
Dadlam.A représente un risque car il télécharge deux autres codes malicieux sur l'ordinateur. Le premier, IRCbot.ASM, sert de porte dérobée. Il analyse tous les ports de l'ordinateur pour déterminer par lesquels il est plus facile de s’introduire. Le second, Downloader.OBW, télécharge d'autres types de malwares sur l'ordinateur infecté. |
| |
Dadlam.A ne peut pas se propager par ses propres moyens mais il utilise une grande variété de combines pour pénétrer dans les ordinateurs : téléchargement par un autre code malicieux, téléchargement depuis Internet, etc. |
| |
"La sexualité est un des thèmes de prédilection des créateurs de malwares. Comme la pornographie connaît un grand succès sur Internet, les pirates se servent de ce type de contenus pour mieux tromper les utilisateurs et propager plus facilement leurs créations.", indique Luis Corrons, le directeur technique de PandaLabs.   
Pour plus d’informations et/ou devis sur les produits Panda Software. Merci de nous contacter au 08 70 44 56 64 ou par mail : panda@micro-securite.com |
ACCUEIL 
Rapport du 09/05/2007 sur les virus et les intrusions.
Demander un devis
Demander un devis
Nous avons changés de numéros de téléphone.
...
RECHERCHER UNE NEWS