Publié le 26-02-2007 à 22:35:58 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal

Pub : 100 DVD vierges déjà pour 22,90 EUR

Le rapport virale s'intéresse cette semaine au cheval de Troie Burglar.A et aux vers USBToy.A et Naiba.A.

Burglar.A est un cheval de Troie qui peut porter atteinte aux utilisateurs. Il se propage dans des emails annonçant que le premier ministre australien a subi une crise cardiaque ou un autre problème de santé. L'objet de ces emails est, entre autres, "le premier ministre a survécu à une crise cardiaque" ou "la vie du premier ministre est en danger".

Burglar.A utilise deux méthodes d'infection. La première consiste à insérer dans l'email un lien sur lequel les utilisateurs sont invités à cliquer. Ce faisant, ils sont dirigés sur un site web qui télécharge le cheval de Troie sur leur ordinateur.

Avec la deuxième méthode, le cheval de Troie est inclus dans la pièce jointe de l'email (un fichier exécutable). Lorsque ce fichier est ouvert, Burglar.A s'installe sur l'ordinateur. Une fois que le cheval de Troie a infecté le système, il envoie à son créateur des informations sur l'ordinateur : adresse IP, localisation, pays, latitude et longitude, etc. Le cheval de Troie utilise le programme Google Maps pour présenter ces informations. Ainsi, lorsque le cyber-escroc affiche la carte d'une ville avec ce logiciel, il peut visualiser l'emplacement des ordinateurs infectés. Le cheval de Troie télécharge ensuite plusieurs malwares sur l'ordinateur. Le premier d'entre eux est le cheval de Troie Keylog.LN. Ce code malicieux est conçu pour capturer les frappes entrées par l'utilisateur afin de récupérer ses mots de passe. Burglar.A télécharge également Banker.CLJ, un cheval de Troie qui empêche le chargement des pages web de certaines banques et les remplace par des pages spécialement conçues pour dérober les informations confidentielles de l'utilisateur.
 

Burglar.A télécharge un autre cheval de Troie, FileStealer.A. Celui-ci installe un serveur web sur l'ordinateur infecté. Le cyber-criminel peut alors prendre le contrôle à distance de l'ordinateur en accédant au serveur via la page web.
 
Enfin, Burglar.A télécharge un dernier cheval de Troie, Sters.P. Ce malware vise à empêcher les utilisateurs et les programmes de sécurité d'accéder aux sites web de mise à jour des éditeurs de solutions antivirus.  
"Cette attaque sous plusieurs fronts a un seul objectif : les gains financiers. Pour cela, les cyber-criminels essaient d'obtenir les mots de passe des utilisateurs permettant d'accéder, par exemple, à des services bancaires en ligne. Ils déjouent la protection des utilisateurs en les empêchant d'accéder à des pages web en rapport avec la sécurité et leur solution antivirus. Les ordinateurs infectés sont contrôlés à distance, probablement pour servir de plateforme de propagation d'autres malwares", explique Luis Corrons, le directeur technique de PandaLabs. 

Le ver USBToy.A utilise les périphériques USB pour se propager et infecter les ordinateurs. Lorsqu'un de ces appareils (clé USB, lecteur mp3, etc.) est connecté à un ordinateur infecté par USBToy.A, le ver effectue une copie de lui-même sur l'appareil dans un fichier caché. Ensuite, lorsque le périphérique infecté est connecté à un autre ordinateur, il contamine ce dernier. USBToy.A s'exécute à chaque démarrage de l'ordinateur et affiche un message en caractères chinois sur le bureau de Windows. Le ver utilise l'application de Windows "SetFileAttributesA" pour dissimuler sa présence et rendre sa détection plus difficile.

Le ver Naiba.A se propage également au moyen de périphériques USB. Il effectue des copies de lui-même et un fichier autorun.exe sur les disques mappés ou physiques des ordinateurs. Ainsi, le fichier est exécuté à chaque fois qu'un disque est infecté.

Naiba.A stoppe les processus de certaines solutions de sécurité et modifie les entrées de registre Windows. Ces modifications visent à dissimuler sa présence sur l'ordinateur et à empêcher le service Cryptsvc d'informer les utilisateurs que des modifications sont effectuées. 

Le ver mène plusieurs actions ennuyeuses. Par exemple, il empêche d'utiliser le Bloc-notes et d'afficher les fichiers cachés avec l'explorateur Windows. (Panda Software)

Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !

Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.

DailyMotion HS: Fait trop chaud

Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.

Interpol, nouveau membre du FIRST

La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.

Fête nationale à la sauce guerre électronique

Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.

Nouvelles arrestations chez wawa mania

Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.

Sécurité et mobilité

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

Interoute Internet Barometer

Un widget vous permet de suive en temps réel les attaques informatiques en cours.

Usenet coupable de violation de la propriété intellectuelle

Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.

La version bêta de BitDefender 2010 désormais disponible en français

BitDefender a le plaisir d´annoncer pour la première fois la disponibilité en langue française de la version bêta de sa solution de sécurité BitDefender Total Security 2010.

Les cybercriminels utilisent Twitter pour infecter les internautes

Les pirates créent des comptes sur Twitter puis publient des milliers de commentaires sur PhishTube Broadcast pour apparaître parmi les thèmes les plus populaires.

91 691 malwares détéctés en mai

Le nombre de nouveaux malware au mois de mai a atteint le chiffre de 91 691.

OneCare 2, l´antivirus gratuit de Microsoft, enfin presque !

75.000 internautes sont en train de tester le nouveau cadeau de Microsoft, Microsoft Security Essentials.

Scanneur de sites de paiement en ligne

Découverte de scammeurs imitant des sites de paiement en ligne pour obtenir des informations personnelles de leurs victimes. Des malwares furtifs redirigent les navigateurs Internet vers de faux sites Internet.

Les Chevaux de Troie continuent à dominer le top 10 des e-menaces en mai

La technique d´infection utilisant le code d'exécution automatique des programmes : autorun.inf se place en tête du classement.

Distributeurs de billets piégés par un virus

La société Trustlabs SpiderLabs indique avoir découvert, dans des distributeurs basés dans les pays de l´Est, un virus voleur de données bancaires.

Attention danger, sites infectés

Exclusif : Une intrusion pirate met en danger les visiteurs du site Internet de l´institut Prélude Beauté. Pendant ce temps, Apericube n´est toujours pas corrigé !

Réagissez à ce contenu