Publié le 10-05-2007 à 14:03:32 dans le thème Tous thèmes

Pays : International - Auteur : Damien Bancal

Pub : Jouez à Seafight sur Bigpoint.fr et devenez le roi de l´océan!

Trois chevaux de Troie - Banker.HIK, Wsnpoem.AW et Dadlam.A. - en analyse cette semaine.

 
Le premier malware étudié cette semaine est Banker.HIK, un cheval de Troie bancaire. De plus en plus répandu, ce type de cheval de Troie est spécialement conçu pour dérober des informations financières. Banker.HIK vise principalement les banques brésiliennes, notamment Banco do Brasil et CEF. Il opère en affichant de faux écrans dans lesquels les utilisateurs sont invités à entrer leurs informations bancaires, que le cheval de Troie peut alors subtiliser.

 
Banker.HIK surveille également le trafic généré sur certains pages Web, afin d'obtenir davantage d'informations confidentielles. Le cheval de Troie effectue une copie de lui-même dans le dossier "Démarrer" de Windows, afin qu'il soit exécuté à chaque démarrage de l'ordinateur.

 
Une des particularités de Banker.HIK est qu'il affiche un message d'erreur ("Socket Error # 11004"), ce qui permet de l'identifier plus facilement.

 
Le deuxième cheval de Troie, Wnspoem.AW, dérobe également des mots de passe. Il supprime tous les cookies présents sur l'ordinateur, afin que l'utilisateur entre de nouveau ses identifiants pour accéder à certains sites Web.

 
Wnspoem.AW effectue des modifications dans la base de registre et le dossier de démarrage de Windows pour qu'il soit exécuté à chaque fois que l'ordinateur démarre. Le cheval de Troie crée le mutex "__SYSTEM__64AD0625__", un processus en mémoire servant à empêcher l'exécution simultanée de deux copies.


Dadlam.A est le dernier malware étudié dans le rapport de cette semaine. Ce cheval de Troie enregistreur de frappes se cache dans un fichier avec une icône de fichier vidéo. Une fois exécuté, une vidéo pornographique s'affiche, afin de distraire l'attention de l'utilisateur. Dadlam.A modifie le fichier boot.ini et crée une tâche qui programme un redémarrage de l'ordinateur à six heures.

 
Dadlam.A représente un risque car il télécharge deux autres codes malicieux sur l'ordinateur. Le premier, IRCbot.ASM, sert de porte dérobée. Il analyse tous les ports de l'ordinateur pour déterminer par lesquels il est plus facile de s'introduire. Le second, Downloader.OBW, télécharge d'autres types de malwares sur l'ordinateur infecté.

 
Dadlam.A ne peut pas se propager par ses propres moyens mais il utilise une grande variété de combines pour pénétrer dans les ordinateurs : téléchargement par un autre code malicieux, téléchargement depuis Internet, etc.

 
"La sexualité est un des thèmes de prédilection des créateurs de malwares. Comme la pornographie connaît un grand succès sur Internet, les pirates se servent de ce type de contenus pour mieux tromper les utilisateurs et propager plus facilement leurs créations.", indique Luis Corrons, le directeur technique de PandaLabs.

Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !

Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.

DailyMotion HS: Fait trop chaud

Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.

Interpol, nouveau membre du FIRST

La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.

Fête nationale à la sauce guerre électronique

Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.

Nouvelles arrestations chez wawa mania

Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.

Sécurité et mobilité

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

Interoute Internet Barometer

Un widget vous permet de suive en temps réel les attaques informatiques en cours.

Usenet coupable de violation de la propriété intellectuelle

Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.

Gagner de l'argent avec son blog

Bloglebuzz est une régie qui va vous permettre de gagner de l'argent simplement avec votre blog

Vacances linguistiques avec www.all-vacation-exchange.com

Le site gratuit multilingue All Vacation Exchange à vocation européenne est une plateforme de petites annonces destinées aux familles qui souhaitent organiser directement entre elles des échanges linguistiques pour leurs enfants.

Un outil de sécurité piégé par des pirates

Exclusif : WinAUTOPWN est un logiciel qui compile un certains nombre d´exploits Windows. Les sites dédiés à ce logiciel semblent avoir été eux même compromis.

Un musée de l´espionnage interdit aux visiteurs

La Chine vient d´ouvrir les portes de son musée de l´espionnage. Petit bémol, les étrangers y sont interdits de visite.

Étrange logo sur le site du Ministère de l´Intérieur

Le site Internet officiel du Ministère de l´Intérieur fait tout un fromage avec sa page dédiée à la vidéo protection.

Des images pour adultes sur le site d'une Prefecture Française !

Exclusif : La Préfécture de l'Yonne propose sur son espace web officiel un programme sportif qui risque de finir dans le journal du Hard !

Chrome aurait grignote du cote du code source de Microsoft

Google aurait désassemblé le code source de Windows Vista afin de faire fonctionner son navigateur Internet Chrome.

Le cheval de Troie avait des plumes

La police bosniaque arrête un dangereux cheval de Troie agissant dans une prison du pays. Le trojan avait des plumes !

Réagissez à ce contenu