Header Header Header
Header ISS Software
Header
  Pack Service Pack Securite Pack Web Pack Systeme Pack Client Pack Editeur Pack Contact  
Header Header Header
Header Header Header
 
  Rapport du 13/02/2007 sur les virus et les intrusions.
Rapport du 13/02/2007 sur les virus et les intrusions. Mardi 13 Fevrier 2007 à 14h02

Rapport hebdomadaire Panda Software

sur les virus et les intrusions

 

Le rapport s'intéresse cette semaine aux vers Nurech.A, Nuwar.D et Hati.A et au cheval de Troie WindowsDisabler.A.
 
Nurech.A et Nuwar.D utilisent la même méthode de propagation. Ces deux codes malicieux se dissimulent dans des emails exploitant le thème de la Saint Valentin. L'objet de ces emails est, par exemple, "Together You and I" (Ensemble toi et moi) pour Nurech.A ou "5 reasons I love you" (5 raisons de t'aimer) pour Nuwar.D. Le ver Nurech.A ou Nuwar.D est contenu dans la pièce jointe de ces emails malveillants. Il s'agit d'un fichier exécutable portant un nom tel que Flash Postcard.exe ou greeting postcard.exe.
 
Nurech.A est conçu pour terminer les processus de certaines solutions de sécurité et pour rechercher des adresses email sur l'ordinateur infecté afin de se propager sur d'autres ordinateurs. Ce ver utilise des fonctionnalités rootkit pour dissimuler ses processus et ne pas se faire détecter par les logiciels de sécurité. Étant donné la rapide propagation de ce ver qui a déjà infecté des centaines d'ordinateurs, PandaLabs a déclaré l'état d'alerte virale orange.
 
Bien que la première détection de Nuwar.D remonte déjà à plusieurs jours, nous le mentionnons dans le rapport de cette semaine car il est toujours très actif. De plus, étant donné le thème exploité par ce malware, nous recommandons aux utilisateurs de rester vigilants à l'approche de la Saint Valentin. Nuwar.D est un ver conçu pour télécharger depuis Internet plusieurs types de malware, y compris une mise à jour de lui-même, puis les exécuter sur l'ordinateur infecté.
 
Nuwar.D se propage également par les réseaux de peer-to-peer. Le ver vérifie si les ports de l'ordinateur habituellement utilisés pour la connexion à des serveurs de partage de fichiers (P2P) sont ouverts ou non. Si tel est le cas, Nuwar.D effectue une copie de lui-même qu'il renomme et place dans les répertoires partagés. Ainsi, lorsque des utilisateurs du réseau P2P recherchent un fichier portant le nom choisi par le ver, ils téléchargent involontairement le malware.
 
Hati.A est un code malicieux conçu pour nuire aux utilisateurs des ordinateurs qu'il infecte. Le ver s'exécute à chaque démarrage de Windows et désactive plusieurs fonctions, notamment les options Dossiers de la barre d'outils de l'Explorateur Windows et le menu contextuel affiché lorsque l'utilisateur fait un clic droit dans certains programmes. Le ver se copie sur le système et essaie de dissimuler sa présence en rendant son icône invisible et en se faisant passer pour un fichier Windows légitime. Il est cependant possible de reconnaître le ver grâce à un message qui s'affiche lorsqu'il est exécuté. Le ver effectue également des copies de lui-même sur les disques mappés qu’il trouve.
"Ce type de ver s'inscrit dans la nouvelle dynamique des malwares qui permet aux pirates d’obtenir frauduleusement des gains financiers. Ces codes malicieux sont très souvent de simples tests. Les pirates observent la rapidité à laquelle le malware se propage afin de vérifier si ses fonctions sont opérationnelles et optimiser la propagation du malware. Une fois qu'ils connaissent la combinaison qui permet la propagation la plus rapide possible, les pirates implémentent des fonctionnalités malveillantes sur les vers afin de dérober l'argent des utilisateurs." explique Luis Corrons, le directeur technique de PandaLabs.
 
Le cheval de Troie WindowsDisabler.A est un code malicieux conçu pour provoquer des erreurs sur différentes versions des systèmes d'exploitation Windows. Il désactive des fonctions de l'Explorateur Windows telles que "Rechercher" ou "Exécuter". Il bloque l'exécution de certaines commandes du gestionnaire de tâches et empêche l'utilisation de la console d'administration de Microsoft et d'autres utilitaires de configuration. Le cheval de Troie effectue des copies de lui-même sur le système et est exécuté à chaque démarrage de Windows. WindowsDisabler.A atteint les ordinateurs par email ou par téléchargement de fichier depuis Internet.

 

Pour plus d’informations sur les produits Panda Software merci de nous contacter au +33 (0) 4 68 25 85 48 ou par mail : infos@iss-software.fr

Valid HTML 4.01 Transitional  CSS Valide !  WAI-A Valide  Accesskey