Header Header Header
Header ISS Software
Header
  Pack Service Pack Securite Pack Web Pack Systeme Pack Client Pack Editeur Pack Contact  
Header Header Header
Header Header Header
 
  Rapport hebdomadaire du 19 02 2007 de Panda Software sur les virus et les intrusions
Rapport hebdomadaire du 19 02 2007 de Panda Software sur les virus et les intrusions Lundi 19 Fevrier 2007 à 10h17
Rapport hebdomadaire Panda Software sur les virus et les intrusions
Cette semaine, le rapport de PandaLabs s'intéresse aux vers Nurech.B et Atomix.C et aux bulletins de sécurité publiés par Microsoft pour corriger les vulnérabilités de plusieurs programmes.

Nurech.B est la deuxième variante des vers de la famille Nurech détectée quelques jours plus tôt. Comme Nurech.A, ce nouveau ver a profité de la période de la Saint Valentin pour se propager dans des emails exploitant le thème de l'amour. L'objet de ces emails est, entre autres, "Happy Valentine's Day" (Joyeuse Saint Valentin) ou "Valentines Day Dance" (Bal de la Saint Valentin).

Le fichier contenant Nurech.B est variable, mais il s'agit toujours d'un fichier exécutable qui se fait passer pour une carte de vœux. Le nom du fichier peut être Greeting Postcard.exe, Postcard.exe, etc. Le champ expéditeur est également variable, bien que ce soit toujours un prénom de femme.

Nurech.B est doté de fonctionnalités rootkit qui lui servent à cacher ses processus et à rendre sa détection plus difficile. De plus, ce ver crée des copies de lui-même sur le système et désactive les fonctions de plusieurs logiciels de sécurité. Il ne faut pas oublier que la précédente variante, Nurech.A, s'était répandue si rapidement que PandaLabs avait été amené à déclarer l'état d'alerte virale de niveau orange. Nous conseillons donc aux utilisateurs d'être particulièrement vigilants face à cette nouvelle menace.

"Cette situation illustre parfaitement la nouvelle dynamique des malwares. Les cyber-escrocs préfèrent lancer en permanence de nouvelles variantes d'un même malware plutôt que d'essayer d’infecter tous les ordinateurs avec une seule variante. Ils agissent ainsi afin d'éviter d'attirer l'attention des utilisateurs qui pourraient alors mieux se protéger. Cela nuirait à leur objectif, qui est d'obtenir des gains financiers." explique Luis Corrons, le directeur technique de PandaLabs.

Le deuxième ver étudié dans le rapport de cette semaine est Atomix.C. Lorsque ce ver est exécuté, un message d'erreur s'affiche, ce qui permet de l'identifier plus facilement. Cependant, pour éviter d'être détecté, ce code malicieux a inventé un système ingénieux : après ce message d'erreur, il affiche un autre message informant les utilisateurs qu'ils ont été infectés par un virus et leur conseillant de télécharger depuis un site web un nettoyeur gratuit contre ce virus. Si les utilisateurs acceptent le téléchargement, ils installent en réalité une mise à jour du ver sur leur ordinateur.

Afin de se propager, Atomix.C insère des liens de téléchargement dans les fenêtres de conversation ouvertes du logiciel de messagerie instantanée MSN Messenger. Le ver profite donc d'une conversation légitime et de la confiance instaurée entre les utilisateurs pour insérer un lien permettant de télécharger le malware. Afin de mieux tromper les utilisateurs, Atomix.C insère le lien avec un message du type "télécharge cette carte postale" ou "regarde ce lien".

"Avec ce ver, les cyber-escrocs montent d'un cran dans l'ingénierie sociale, en appliquant ces techniques à la messagerie instantanée. Ils n'hésitent pas à exploiter les technologies qui leur permettent d'infecter le plus grand nombre d'ordinateurs. La grande popularité des logiciels de messagerie instantanée tels que MSN Messenger en fait un moyen privilégié par les pirates pour parvenir facilement et rapidement à leurs objectifs." explique Luis Corrons.

Enfin, nous vous présentons dans ce rapport les bulletins de sécurité publiés ce mois-ci par Microsoft. Les 12 correctifs publiés visent à corriger 20 vulnérabilités, dont une seule concerne le nouveau système d'exploitation Windows Vista. Cette vulnérabilité réside dans le moteur de protection contre les logiciels malveillants et peut être exploitée pour exécuter du code à distance.

Les plus affectés ce mois-ci sont les utilisateurs d'Office 2000 avec cinq vulnérabilités critiques corrigées dans Word 2000 avec le bulletin MS07-014. Deux autres mises à jour ont été publiées pour résoudre des vulnérabilités d'Office. La première concerne PowerPoint et la deuxième Excel. Toutes deux ont été classées critiques pour Office 2000 et importantes pour les autres versions.

Le bulletin MS07-016 est également classé critique. Il s'agit d'une mise à jour de sécurité cumulative, c'est-à-dire une série de patchs qui remplacent des mises à jour de sécurité précédentes. Cette nouvelle mise à jour résout trois failles de sécurité d'Internet Explorer 5.01, 6 et 7

Deux autres bulletins sont classés critiques. Le premier affecte Data Access Components et corrige une vulnérabilité qui pourrait être utilisée pour télécharger des malwares sur les ordinateurs. Cette vulnérabilité est particulièrement dangereuse car des exploits ont déjà été publiés sur plusieurs sites web. Le dernier bulletin de sécurité critique concerne le contrôle ActiveX de l'aide HTML.

Les six autres bulletins ont été classés importants. Deux d'entre eux fixent des vulnérabilités qui pourraient être exploitées par des pirates pour permettre une élévation de privilèges et la prise de contrôle de l'ordinateur. L'une concerne le shell Windows et l'autre le service d'acquisition d'image Windows.

Les autres vulnérabilités importantes qui ont été corrigées permettent l'exécution de code arbitraire. Elles affectent Step-by-Step Interactive Training (le logiciel inclus dans les cours proposés par Microsoft Press), le composant OLE Dialog, Microsoft MFC et Microsoft RichEdit.

Ces bulletins peuvent être téléchargés à l'adresse : http://www.microsoft.com/athome/security/update/bulletins/200702.mspx
Pour plus d’informations sur les produits Panda Software et/ou sur les virus merci de nous contacter au +33 (0) 4 68 25 85 48 ou par mail : infos@iss-software.fr

Valid HTML 4.01 Transitional  CSS Valide !  WAI-A Valide  Accesskey