L’année 2006 commence comme l’année 2005 s’est terminée: sous la menace de programmes malicieux dont nous allons, avec l’aide de Panda Software, dresser une courte liste.
Bon, je vous l’accorde, commencer une nouvelle année en parlant de virus, de vers et autres spywares n’a rien de réjouissant. Ceci étant, ignorer ces attaques potentielles reviendrait à prendre quelques risques, aussi allons-nous nous attacher, chaque semaine, à faire un rapide—et aussi exhaustif que possible—tour d’horizon des dernières menaces en date.
On commence avec Banker.BSX, un cheval de Troie qui sévit en ce moment sur la messagerie instantanée de Microsoft, MSN Messenger. Comme à l’accoutumée, ce Trojan se présente sous la forme d’un message en apparence anodin, qui semble émaner d’un nouveau contact. Dans le message apparaît un lien vers un site à l’air légitime. Un clic sur le lien en question entraînera, comme d’habitude, le téléchargement d’un autre programme malicieux, baptisé Nabload.U.
Nabload.U se propagera de manière classique, via votre liste de contacts sur MSN Messenger. Il se permettra en outre d’ouvrir le port 1106 de votre ordinateur, de s’infiltrer dans la mémoire de ce dernier, et de vérifier si vous vous connectez à des sites sécurisés en langue espagnole. Toutes les données sensibles que vous entrerez alors seront envoyées vers une adresse e-mail qui change souvent.
Nous ne saurions donc trop vous conseiller d’être extrêmement vigilants si d’aventure vous surfez sur des sites hispaniques, et lorsque vous recevez des messages sur MSN Messenger en provenance de gens que vous ne connaissez pas…
Evidemment, puisqu’ils travaillent de concert, Nabload.U et Banker.BSX ont vraisemblablement la même origine, mais leur propagation semble peu rapide au moment où sont écrites ces lignes.
AKStealer.A est également un cheval de Troie, mais il est plus empoté que les deux précédents : il ne peut se propager automatiquement, et doit donc être associé à d’autres vecteurs, comme les pièces jointes d’e-mail, les transferts de fichiers FTP ou les téléchargements divers et (a)variés.
Nonobstant cette faiblesse, AKStealer.A est cependant tout aussi dangereux, car une fois installé sur votre machine, il va partir à la recherche de vos identifiants et mots de passe, notamment en ce qui concerne les réglages de mandataire (proxy) d’Internet Explorer, mais également dans Outlook, vos différents comptes Google (Gmail et Orkut), eBay, e-gold, Montster.com, Paypal, CareerBuilder.com, GMX.net, et Microsoft Passport.
Notre intrus stocke un temps les données recueillies dans la Base de Registre de Windows, puis les envoie à son site de tutelle via un script PHP. Il installe aussi un serveur proxy sur votre PC, dont il communique l’adresse IP à son correspondant, de manière à pouvoir à nouveau s’introduire sur votre machine.
Evidemment, AKStealer.A ne s’arrête pas en si bon chemin : par de judicieuses créations de nouvelles clés dans la Base de Registre de Windows, il s’arrogera la place de programme de débogage par défaut pour des applications telles que Internet Explorer, l’Explorateur Windows, le lecteur Windows Media Player, et quelques autres programmes étroitement liées à Windows.
Enfin, pour les distraits et les vacanciers, rappelons qu’une faille touchant la gestion des fichiers WMF (Windows MetaFile) sous Windows continue de faire des dégâts, et que Microsoft n’a pour l’heure publié aucun correctif digne de ce nom. Quelques solutions de contournement existent, et nous vous invitons à les mettre en pratique au plus vite…
2006 commence donc bien comme 2005 s’est achevée, mais cela ne nous empêchera pas de vous présenter nos meilleurs vœux pour cette nouvelle année.
Sortez couverts!
