11/07/2006
Le rapport de PandaLabs s´intéresse cette semaine aux vers Oscarbot.IV, Peerbot.B et Netsab.B.
Oscarbot.IV est un ver qui ouvre plusieurs ports de communication sur les ordinateurs infectés, permettant aux pirates d´accéder à distance au système. Il infiltre également le cheval de Troie Protestor.A sur le système, lequel capture des copies d´écran et dérobe des données de l´utilisateur. Oscarbot.IV se répand via America On Line Instant Messenger, en envoyant des messages à tous les contacts actifs de l´utilisateur. Lorsqu´il est exécuté, il s´installe sous le nom de "Windows Genuine Advantage Validation Notification", en se faisant passer pour un service anti-pirate de Microsoft et en s´assurant d´être exécuté à chaque démarrage de l´ordinateur.
Peerbot.B ouvre une porte dérobée pour recevoir des commandes à distance du pirate par IRC. Il peut également subtiliser des informations dans les bases de données MySQL et SQL Server, qu´il envoie ensuite par e-mail. Une fois exécuté, le ver créé plusieurs fichiers dans le système, notamment Taskdrv.exe, une copie de lui-même, et Libmysql.dll, une bibliothèque appartenant à la base de données MySQL. Peerbot.B se propage en utilisant des logiciels de messagerie et de partage de fichiers. Il créé un grand nombre de fichiers dans le dossier des fichiers partagés des programmes de peer-to-peer, sous des noms laissant entendre qu´il s´agit de versions piratées de logiciels et jeux vidéo très connus. Lorsque d´autres utilisateurs des programmes de P2P effectuent une recherche, ils peuvent ainsi trouver les fichiers infectés de la première victime parmi les résultats. Pour éviter d´être détecté, Peerbot.B stoppe une grande liste de processus en rapport avec, entre autres, des outils de sécurité, firewalls et même d´autres malwares. Il modifie également le fichier hosts pour bloquer l´accès à des pages web concernant des programmes de sécurité.
Netsad.B est un ver qui se diffuse sous la forme d´une pièce jointe, utilisant des messages du type “sharing files is the essence of living” (le partage de fichiers est l´essence de la vie). Il se sert aussi de plusieurs programmes de P2P, parmi lesquels Kazaa ou Emule, en créant des copies de lui-même dans des dossiers partagés afin d´être téléchargé par d´autres utilisateurs. Netsad.B ne peut fonctionner que si l´ordinateur dispose de Microsoft .NET framework 2.0. Lorsqu´il est exécuté, il créé une copie de lui-même, appelée winservices.cab.bak.exe dans le dossier système de Windows. Il créé également des copies de lui-même dans les autres dossiers système, portant une grande variété de noms, y compris des noms évoquant des logiciels antivirus. Pour passer inaperçu, le ver met fin à toute une série de processus relatifs à des programmes de sécurité, laissant l´ordinateur à la merci de nouvelles attaques.