|
|
|
|
|
Sommaire Sécurité |
|
Les vers Lebreat, Dyno et Opanki se créent des réseaux dormants |
De risques modérés, ces trois nouvelles menaces circulent par le biais de la messagerie et laissent derrière elles des portes ouvertes sur les systèmes infectés.
(25/07/2005) |
|
|
En
savoir plus |
|
Dossier
Virus |
Les laboratoires antivirus ont lancé des alertes sur trois nouvelles
menaces jugées de risque "moyen" en cette période estivale.
Le premier se nomme Lebreat, un ver dans la lignée de Sasser.
Tout comme ce dernier, il exploite la vulnérabilité LSASS de
Windows pour s'installer sur les plate-formes Windows. En revanche,
contrairement à ce dernier il se range dans la catégorie des
vers de messagerie.
En effet, la variante Lebreat-A se présente sous la forme d'un
courrier électronique dont l'adresse de l'expéditeur, le message
et l'objet du message varient selon une liste prédéfinie. Il
contient un fichier en pièce jointe avec pour extension : .bat,
.cpl, .exe, .scr ou .pif. Une fois installé sur le système de
l'internaute, le ver ouvre une porte dérobée sur le port 8885
et tente d'émettre une attaque en déni de service contre le
site de l'éditeur Symantec. Cela se traduit chez l'utilisateur
par un ralentissement de la connexion Internet.
Lebreat
modifie parallèlement des entrées de registres Windows et créée
un fichier dénommé xzy6.tmp dans le répertoire Windows qui contient
une liste d'adresses e-mails collectés sur le PC de la victime.
Ce ver ne s'inscrit pas dans la catégorie des mass-mailers puisqu'il
n'intègre pas son propre moteur SMTP
d'envoi. En revanche, il tente de télécharger et d'exécuter
le fichier update3.exe accessible à une URL prédéfinie et est
ainsi susceptible de muter.
La famille Lebreat peut être détecté sur le système sous le
dossier Windows où il se copie sous le nom de fichier ccapp.exe.
Une mise à jour de la faille LSASS de Microsoft et un antivirus
à jour suffisent à se débarrasser du ver.
Lebreat
se base sur l'ancienne faille de sécurité
Windows LSASS |
Autres vers de messagerie ciblant cette fois les messageries
instantanées, les familles Dynu et Opanki visent quant à elles
les applications MSN (Dynu et Opanki) et AIM (Dynu uniquement).
Dynu contient une variante de Sdbot, un programme qui se base
sur de multiples vulnérabilités systèmes pour espionner le comportement
de l'utilisateur et ouvrir des portes dérobées. Il se propage
par le carnet d'adresses MSN et AIM et invite par un lien les
amis du propriétaire de la machine infectée à se rendre sur
un site Web.
Opanki.Y possède un fonctionnement similaire à Dynu à l'exception
près qu'il déguise le fichier téléchargé en un lien vers le
fichier ITUNES.exe, souhaitant ainsi tromper l'internaute avec
le lecteur multimédia d'Apple. Si l'utilisateur télécharge et
exécute le fichier, Opanki installe quatre logiciels publicitaires
différents affichant des pops-ups et ouvre une porte dérobée
sur le système.
|
En
savoir plus |
|
Dossier
Virus |
Ces trois nouveaux virus
confirment la tendance observée depuis près d'un an chez les
créateurs de virus qui consiste à mettre en place un réseau
de machines invisible (lire l'article
du 16/05/2005). Les menaces ne sont plus désormais physiques
mais elles donnent accès aux pirates à de nouvelles ressources
pour relayer du spam, d'autres virus, des attaques en déni de
service ou pour se livrer à de l'écoute réseau ou de l'écoute
clavier. |
|
|
|
|
|
|
|