Actualité
Analyse de virus à la mode sur Internet
Publié le 14-03-2007 à 17:55:03 dans le thème Virus - Antivirus
Pays : International - Auteur : Damien Bancal
Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr
Découverte des chevaux de Troie ShotOne et Yabarasu, des vers de la famille Rinbot et le virus Expiro.A.
ShotOne cause plusieurs problèmes sur les ordinateurs infectés. En modifiant la base de registre Windows, il bloque les mises à jour Windows et l'accès au menu "Fichier" dans Internet Explorer et l'Explorateur Windows. Il cache également les propriétés de "Mes documents" et "Poste de travail".
Entre autres effets nuisibles, ShotOne désactive le menu contextuel de la barre des tâches et le bouton "Démarrer", cache les icônes de la zone de notification et empêche l'accès aux options "Exécuter" et "Rechercher" du menu "Démarrer".
Ce cheval de Troie s'exécute à chaque démarrage du système. Une fois lancé, il affiche une multitude de fenêtres, ce qui empêche d'utiliser l'ordinateur. De plus, il redémarre les ordinateurs infectés toutes les trois heures. PandaLabs a créé une vidéo qui présente certains des effets de ce malware. Elle est disponible à l'adresse : http://www.pandasoftware.com/img/enc/ShotOne.wmv
Le deuxième cheval de Troie étudié dans ce rapport est Yabarasu. Il se lance à chaque démarrage du système. Yabarasu effectue des copies de lui-même sur les systèmes infectés. Afin de tromper les utilisateurs, il cache toutes les extensions des fichiers et l'infobulle (la bulle qui affiche des informations lorsque vous placez le curseur sur un fichier, sous Windows). Yabarasu cache des dossiers du disque C: et les remplace par une copie de lui-même avec le même nom et la même icône que le dossier original. Lorsque l'utilisateur ouvre un de ces fichiers, il exécute en fait le cheval de Troie.
ShotOne et Yabarasu parviennent tous deux sur les ordinateurs via des emails, des téléchargements de fichiers, des périphériques de stockage infectés, etc.
Cette semaine, PandaLabs a détecté l'émergence de plusieurs variantes de vers de la famille Rinbot : Rinbot.B, Rinbot.F, Rinbot.G et Rinbot.H. Ces vers se propagent en effectuant des copies d'eux-mêmes sur les disques mappés et les ressources réseaux partagées. Ils se copient également sur les périphériques USB (lecteurs mp3, clés USB, etc.) qui sont connectés à l'ordinateur.
Certaines variantes exploitent des vulnérabilités pour se répandre. Rinbot.B, par exemple, profite des vulnérabilités RPC DCOM et LSASS. Des patchs de sécurité sont disponibles depuis plusieurs années pour corriger ces vulnérabilités.
Rinbot.G exploite une faille de SQL Server pour s'authentifier en tant qu'utilisateur. Une fois parvenu sur l'ordinateur, le ver effectue une copie de lui-même via TFTP. Puis il s'exécute sur le système.
Rinbot.H exploite lui-aussi une vulnérabilité pour se propager. Il recherche des serveurs vulnérables à la faille de sécurité MS01-032, corrigée par un patch Microsoft du même nom.
Les vers Rinbot sont conçus pour ouvrir un port sur l'ordinateur et se connecter à un serveur IRC. Le pirate peut ainsi prendre le contrôle à distance de l'ordinateur.
De plus, le ver télécharge le cheval de Troie Spammer.ZV depuis Internet afin d'envoyer du spam aux adresses trouvées sur les ordinateurs infectés. Enfin, il modifie les paramètres de sécurité du poste et les permissions d'Internet Explorer, ce qui diminue le niveau de protection de l'ordinateur.
Un des aspects intéressants du code de Rinbot.B est qu'il inclut la transcription d'une prétendue interview donnée à CNN par les créateurs de cette famille de vers dans laquelle ils expliquent leurs motivations. Vous pouvez la lire ici. "Cette situation est caractéristique de la nouvelle dynamique des malwares. Les créateurs de codes malicieux augmentent leurs chances d'infecter les ordinateurs en lançant de nombreuses variantes presque simultanément. Cela attire moins l'attention des utilisateurs que les épidémies massives, ils sont donc moins sur leurs gardes.", explique Luis Corrons, le directeur de PandaLabs.
Le dernier malware étudié dans le rapport de cette semaine est le virus Expiro.A. Il infecte les fichiers exécutables du dossier Program Files et de ses sous-dossiers. Il infecte également le répertoire avec une copie du virus. Lorsque l'utilisateur ouvre un des fichiers infectés, le virus est exécuté en même temps que le fichier. Afin de tromper les utilisateurs, il ne montre aucun signe visible d'infection.
Expiro.A termine ses processus lorsqu'il suspecte qu'une solution antivirus est en train de les analyser. Plusieurs sections de ce code malicieux sont cryptées afin de rendre sa détection plus difficile.
Pour éviter ce genre de problèmes, n'hesitez pas à acquerir un antivirus, un firewall via notre logithéque sécurisée, en partenariat avec la société télécharger : http://logitheque.zataz.com
Derniers contenus
Un virus exploite Facebook et MySpace
Un code malicieux du nom de BoFace utilise les comptes personnels de MySpace et FaceBook pour s´inviter dans les ordinateurs des amateurs de réseaux sociaux.
Un million de CD et DVD piratés saisis
Grosse prise dans le monde de la copie de film. Environ un million de DVD et de CD piratés ont été saisis par des policiers dans le sud-ouest de Sydney.
Dans la boule de cristale de Fortinet
Les prédictions des menaces informatiques et les solutions pour les entreprises en 2009.
Carte bancaire piratée: Fakacarda fermé
Un important site dédié à la fraude à la carte bancaire fermé. Il réapparait sous un notre nom quelques heures plus tard.
Une semaine d´avance pour les résultats des votes prud'homales
Élections prud´homales : les résultats du vote électronique disponibles pour le Ministère une semaine avant la fin du scrutin. La faible participation fait courir des risques au secret du vote.
Projet de loi contre le phishing
La sénatrice Jacqueline Panis propose de punir d´un an de prison et de 15.000 euros d´amende le français qui aurait l´idée de se lancer dans le phishing.
Un faux plugin Firefox pour voler les mots de passe
Détection d´une nouvelle méthode de vol des mots de passe sur Internet. Une application de détournement de mot de passe, masquée en plugin pour Firefox, filtre les informations de connexion des utilisateurs.
L´académie de Nancy-Metz ne protége pas ses adresses électroniques
Plusieurs centaines d´adresses électroniques en accès libre sur le site de l´académie de Nancy-Metz.
Sur le même thème : Virus - Antivirus
Un virus exploite Facebook et MySpace
Un code malicieux du nom de BoFace utilise les comptes personnels de MySpace et FaceBook pour s´inviter dans les ordinateurs des amateurs de réseaux sociaux.
Un faux plugin Firefox pour voler les mots de passe
Détection d´une nouvelle méthode de vol des mots de passe sur Internet. Une application de détournement de mot de passe, masquée en plugin pour Firefox, filtre les informations de connexion des utilisateurs.
Le virus qui fait frémir ma grand-mère
Sinowal, un cheval de Troie qui aurait déjà pillé plus de 300.000 données bancaires sur Internet en deux ans. Seulement ?
La régie CibleClick plombée par des pirates
La régie publicitaire cibleclick, aujourd´hui membre du réseau AdLINK, exploitée par des pirates informatiques.
Kaspersky KIS Licence illimitée
Des pirates informatiques diffusent une méthode qui permet de passer outre la sécurité mise en place par l'éditeur Kaspersky pour contrer les copieurs de ses antivirus.
L'antivirus de Microsoft est mort
Microsoft annonce la fin de sa solution de sécurité informatique, Windows Live OneCare. Une version gratuite est attendue avec la sortie de Windows Seven. Une protection gratuite baptisée Morro.
AVG defonce un programme indispensable à Windows
Comment mettre en boule des utilisateurs d´un ordinateur. Faites de manière à ce que leur antivirus efface une composant indispensable à leur OS. Une mesaventure qui a touché les AVGistes.
F-Secure Mobile Security
F-Secure lance la nouvelle version de sa solution de sécurité innovante pour Smartphones en intégrant une fonction avancée d’antivol comprenant le verrouillage et la suppression à distance des données, en cas de perte ou de vol du mobile.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
- Chasseur de backdoor : découverte de l´outil ...
- Orange bloque The Pirate Bay ? Non !
- Clés USB: le Père-Noël est une ordure ?
- Warez: quand le stro amene en prison
- Arrestations dans le warez français
- Riposte graduée : Albanel délire
- Wizzgo vs NouvelObs : Deux poids deux mesures
- Trois nouvelles taxes pour l'Internet França...
- États généraux : les masques tombent
- Piege Paypal via un hébergeur français
- Nokia N97 - Le plein de détails
- La manette PS360
- Le WPA aurait été cassé par un chercheur !
- Un ver attaque des profils Facebook & Mys...
- Windows Vista: le SP2 disponible en avril?
- Le chat hub USB 4 ports
- Record of Agarest War - Sony n’assume pas ?
- Olympe Network, état des lieux un an plus tar...
- Mixtape pour iPod
- Le clavier en chocolat
- Exclu : La Corée, l'autre dragon de la contr...
- Lille aux pirates, épisode II
- Présidentielle : web, boulettes et piratages
- Actualité e-juridique
- Houra.fr ouvert au phishing
- Problème de sécurité pour le site ALAPAGE.COM
- Prudence, phishing possible
- Loi et Internet
- Victime de fraude en ligne ? Comment agir !
- Entreprise, prudence
Derniers communiqués de presse
Dans la boule de cristale de Fortinet
Les prédictions des menaces informatiques et les solutions pour les entreprises en 2009.
États généraux : les masques tombent
Le syndicat national des journalistes communique : Les patrons de presse piaffent de plus en plus devant la cheminée où ils ont déposé leurs gros sabots.
Un microcontrôleur pour cartes d´identité sécurisées
Le ST23YR80, un microcontrôleur équipé d'une technologies de cryptographie et d´une capacité de mémoire accrue pour le stockage des données biométriques.
Hama annonce la sortie d’une toute nouvelle gamme d’accessoires : les cadres photo numériques
Hama, leader mondial de l´accessoire spécialisé dans les domaines de la photo, de la vidéo, de l´audio, du multimédia et des télécommunications, présente ses nouveaux cadres photos numériques.
Stars-buzz.com
Decembre: Calendrier Aubade
Il faut vivre avec son temps, et le temps, ça tombe bien, on aime quand celui-ci veut bien s’arrêter un peu. La page du mois décembre du calendrier Aubade va nous y aider. [Voir les autres mois ?]
Exclusif : Britney Spears de nouveau piratée
Exclusif : Le prochain album de la lolita de la pop, Britney Spears, déjà sur Internet. Circus est attendu dans les boutiques le 2 décembre prochain.Le nouvel album de Britney Spears est très attendu, c’est le moins que l’on puisse dire. Circus, le p’tit nom de cette nouvelle galette musicale, sera commercialisé à partir du [...]
Un pirate informatique annonce la mort de Miley Cyrus
La jeune artiste américaine Miley Cyrus est morte. Un pirate informatique annonce ce faux décés sur la page officielle Youtube de la chanteuse.Mauvais goût pour les uns, blagounette pour les autres. Un pirate informatique a trouvé le moyen d’accéder au compte de connexion à la page Youtube de la jeune artiste américaine Miley Cyrus. Le pirate [...]
Mickael Vendetta, un buzz marketing
L´internaute français le plus ridiculisé de l’Internet, Mickael Vendetta, n´est rien d´autre qu´un buzz marketing pour une webtv française. Pour ceux qui ont râté les aventures pitoresques de Mickael Vendetta, petit rappel. Ce jeune français annonce être le beau gosse que la terre recherche. Le Brad Pitt à la française. La nouvelle coqueluche des médias depuis [...]
