Header Header Header
Header ISS Software
Header
  Pack Service Pack Securite Pack Web Pack Systeme Pack Client Pack Editeur Pack Contact  
Header Header Header
Header Header Header
 
  Rapport du 17/04/2007 sur les virus et les intrusions
Rapport du 17/04/2007 sur les virus et les intrusions Mardi 17 Avril 2007 à 13h03

Rapport hebdomadaire Panda Software
sur les virus et les intrusions

Demander un devis

 

Le rapport de PandaLabs s'intéresse cette semaine aux chevaux de Troie Cimuz.EL et Gogo.A, aux vers UsbStorm.A et Nurech.Z ainsi qu'aux cinq nouveaux bulletins de sécurité publiés par Microsoft.
 
Cimuz.EL a représenté jusqu'à 57% des détections de malwares reçues à PandaLabs. Ce malware est conçu pour dérober toutes sortes d'informations sur les ordinateurs infectés. Cimuz.EL opère en deux temps. L'ordinateur est d'abord infecté par la première partie du code du cheval de Troie, qui lui permettra de télécharger la seconde partie du code pour effectuer des actions malveillantes.
 
Cimuz.EL recueille des informations sur l'ordinateur infecté : adresse IP, logiciels installés, mots de passe des comptes de messagerie, etc. De plus, il injecte une DLL dans le navigateur Internet Explorer afin d'enregistrer l'activité des utilisateurs sur Internet. De cette façon, Cimuz.EL récupère toutes les données saisies par les utilisateurs dans les formulaires en ligne. Enfin, le cheval de Troie envoie régulièrement ces informations à son créateur, via un serveur Web.
 
Gogo.A, le deuxième cheval de Troie étudié dans le rapport, est un nouveau code malicieux conçu pour dérober les données saisies par les utilisateurs lorsqu'ils naviguent sur Internet. Pour cela, il s'installe comme un plug-in du navigateur Internet Explorer qui enregistre l'activité des utilisateurs sur le Web. Lorsque les utilisateurs entrent certains mots-clés, Gogo.A se met en marche et enregistre les frappes saisies.
 
Gogo.A envoie ensuite les informations dérobées à son créateur via une page Web. Ce cheval de Troie est d'autant plus dangereux qu'il est doté de fonctionnalités rootkit qui lui permettent de cacher ses processus et de rendre sa détection plus difficile.
 
"Ces deux chevaux de Troie visent à dérober des mots de passe, un objectif qui s'inscrit dans la dynamique actuelle des malwares. Les cyber-criminels se servent de telles informations pour accéder aux comptes bancaires des utilisateurs ou obtenir des données confidentielles. Les chevaux de Troie sont un des moyens les plus utilisés car ils ont l'avantage d'être silencieux, contrairement aux attaques de phishing par exemple", explique Luis Corrons, le directeur technique de PandaLabs.
UsbStorm.A est un ver qui se propage en effectuant des copies de lui-même sur des supports amovibles tels que les clés USB. Lorsqu'un disque est connecté à un ordinateur infecté, le ver est activé et infecte ce disque. UsbStorm.A devient alors résident en mémoire, en attente de nouveaux disques à contaminer.
 
UsbStorm.A reste sur l'ordinateur et essaie de se mettre à jour en téléchargeant de nouvelles versions de lui-même depuis plusieurs pages Web.
 
Nurech.Z est un ver qui se propage par email dans des messages alertant de la propagation massive d'un malware. Ces emails ont des objets tels que "Worm Alert!", "Spyware Alert!", "Virus Alert!", etc. Le nom d'expéditeur qui s'affiche est généralement "Customer Support" (Service client), afin de faire croire au destinataire que l'email provient d'une source sure.
 


Le ver se cache dans un fichier .zip protégé par un mot de passe qui est joint au message. Cette pièce jointe est censée être un patch permettant de neutraliser le malware à l'origine de la fausse alerte virale. Le mot de passe ne s'affiche pas au format texte mais dans un fichier .gif, afin de rendre la détection du ver plus difficile.

"Pour ne pas éveiller les soupçons des utilisateurs, le créateur du malware explique dans l'email que le correctif a été compressé pour le protéger contre les actions du ver. Le but du pirate est de convaincre les utilisateurs d'ouvrir le fichier contenant le ver", explique Luis Corrons.

 
Nurech.Z est conçu pour terminer les processus de solutions de sécurité et des applications servant à surveiller, administrer et restaurer le système.
Le ver recherche des adresses emails sur l'ordinateur afin d'envoyer des emails infectés. De plus, Nurech.Z est doté de fonctionnalités rootkit qui lui permettent de cacher ses processus et rendre sa détection plus difficile ainsi que contenir et dissimuler les processus servant à rechercher les adresses email, créer le fichier .gif avec le mot de passe et envoyer du spam.
 
Enfin, nous vous présentons dans ce rapport les bulletins de sécurité publiés ce mois-ci par Microsoft. Cinq de ces bulletins ont été classés "critiques" et un "important".
 
Le premier bulletin critique corrige une vulnérabilité du moteur GDI (Graphics Rendering Engine) et le deuxième deux vulnérabilités dans Microsoft Content Management Server. La troisième mise à jour corrige une vulnérabilité au niveau du service UPnP (Universal Plug-and-Play) sur les systèmes Windows XP tandis que la quatrième concerne une faille de l'Agent Microsoft affectant les dernières versions de Windows, à l'exception de Vista. Le cinquième correctif résout une vulnérabilité dans le sous-système CSRSS (Client-Server Run-time Subsystem) qui concerne les dernières versions de Windows, y compris Vista (32 et 64 bits).
 
Le dernier patch, classé "important", corrige une vulnérabilité du noyau Windows. Ces failles de sécurité peuvent permettre à des pirates d'exécuter des commandes arbitraires avec des privilèges élevés ou de prendre le contrôle à distance des ordinateurs.
 
Les bulletins de sécurité correspondants peuvent être téléchargés à l'adresse : http://www.microsoft.com/france/technet/security/bulletin/ms07-apr.mspx
 

Valid HTML 4.01 Transitional  CSS Valide !  WAI-A Valide  Accesskey