|
En
savoir plus |
|
Dossier
Virus |
Deux alertes successives sont apparues dans la journée du jeudi
3 février, concernant les vers Bropia.F et Bobax.H. Tous deux
cherchent à tromper la vigilance de l'internaute en piochant
dans les listes de contacts privées pour transmettre des images
a priori anodines. Les éditeurs de solution antivirus évaluent
le risque de propagation des deux vers au niveau "moyen" et
la dangerosité à "haute" pour le ver Bropia.F et "moyenne" pour
Bobax.H.
La
nouvelle variante de Bropia se transmet par le système de
messagerie instantanée MSN Messenger de Microsoft et contamine
uniquement les environnements Windows des versions 95, 98,
ME, NT, 2000 et XP. Il se présente sous la forme d'un fichier
image de 184 Ko et porte un nom au hasard dont notamment :
Bedroom-thongs.pif, Hot.pif, Naked_drunk.pif, Underware. Pif,
LOL.scr, LMAO.pif, New_webcam.pif, ROFL.pif et Webcam.pif.
Dès qu'il est exécuté, le fichier se copie dans le dossier
racine sous différents noms et dans le dossier système Windows
sous le nom msnus.exe.
Il crée ensuite une nouvelle image nommée sexy.jpg qu'il
dépose sur le répertoire racine et surveille l'état des utilisateurs
MSN avant de s'envoyer à nouveau. Bropia dépose également
le ver Rbot-VH dans le fichier système Windows. C'est ce ver
de réseau qui assure à Bropia une plus longue durée de vie.
Il exploite de multiples vulnérabilités Windows - Dcom-Rpc,
LSASS, WebDav et UPNP - et cible les bases de données SQL
à faible mots de passe. Il désactive l'antivirus et s'installe
dans le registre de l'ordinateur.
Rbot-VH
ouvre une porte dérobée sur la machine infectée. |
Rbot-VH ouvre une porte dérobée sur la machine infectée et
se connecte sur les canaux IRC pour recevoir des commandes
à distance. Il donne à son auteur la possibilité de lancer
une attaque en déni de service à distance, renifler le clavier
du poste infecté, transmettre les informations issues d'une
webcam, dérober des numéros de licences logicielles, contrôler
des ports, lire le contenu de paquets IP, démarrer un serveur
FTP, web ou proxy, télécharger et exécuter des fichiers, lancer
un Shell distant. Les correctifs concernant les vulnérabilités
Microsoft sont disponibles sur le site du groupe.
Le ver Bobax.H appartient à la catégorie des virus spammeur.
Il se transmet donc par la messagerie électronique sous la
forme d'un e-mail incluant une pièce jointe à nom aléatoire
pris entre : Cool, pics1, funny.1, bush.1, joke.1 et secret.2
avec les extensions Zip, Exe, Pif ou Scr. Le texte du message
est également variable. Bobax.H s'appuie sur la vulnérabilité
LSASS présente sur les systèmes d'exploitations Microsoft
non mis à jour à la manière de Sasser (lire l'article
du 04/05/2004).
|
En
savoir plus |
|
Dossier
Virus |
Lorsqu'il est exécuté, Bobax.H crée dans le dossier Temp,
un fichier Dll au nom aléatoire qui, chargée en mémoire, copie
le composant exécutable dans le répertoire système de Windows
et modifie les entrées de registre. Bobax.H désactive les
antivirus sur la machine et scanne l'ensemble des fichiers
d'extensions HTM, TXT et DBX à la recherche d'adresses électroniques.
Il subtilise aussi les contacts présents dans Outlook et s'envoie
automatiquement à ces adresses en falsifiant le nom de l'expéditeur.
Le ver présente au destinataire le fichier joint comme des
photos de Saddam Hussein ou d'Oussama Ben Laden.
|