Notre lettre Oxygen3 24h-365d d’aujourd’hui est consacrée à " Serbian Badman " en raison de la large couverture médiatique dont il a récemment fait l’objet. En effet, ce code malveillant est très particulier puisque sa seule et unique mission consiste à se connecter à un serveur Web et à télécharger un second cheval de Troie nommé SubSeven.
Serbian Badman a été distribué sous le nom de " QuickFlick.mpg.exe " depuis divers groupes de discussion pour adultes, en tant que clip vidéo érotique. Afin de tromper l’utilisateur – et de masquer le fait qu’il s’agissait d’un exécutable – le nom du fichier possédait les lettres " .mpg " (faisant référence au format MPEG) et son icône était celle qui représente les vidéos dans ce format sous Windows.
Lorsque que l’utilisateur télécharge ledit fichier du forum et essaie de le visualiser (en double-cliquant dessus), Serbian Badman s’exécute et tente de se connecter au site
http://www.lomag.net/~ryan1918/MySissy.mpg.exe.
De là, il télécharge et exécute le fichier auquel cette adresse réfère, qui n’est autre que le célèbre cheval de Troie de porte arrière (backdoor) " SubSeven ". Une fois sa mission accomplie, qui consiste donc au téléchargement et à l’installation du cheval de Troie, Serbian Badman arrête d’opérer, et laisse le champ libre à SubSeven.
SubSeven, dont plusieurs différentes variantes sont hélas fort connues, appartient à la famille des chevaux de Troie de type porte arrière, tel le célèbre BackOrifice, qui permettent de contrôler à distance les systèmes infectés. Outre ces actions relativement communes à la plupart des chevaux de Troie de ce type, SubSeven enregistre aussi des sons (si l’ordinateur victime est équipé d’un microphone et d’une carte son) et réalise des enregistrements vidéos
WebCam et QuickCam. Entre autres opérations, SubSeven agit aussi sur les fonctions
ICQ Spy et keylogger (enregistrement de clés), met à jour le programme serveur via une adresse URL, modifie le Registre Windows et change les paramètres de configuration de Windows.
Oxygen3 24h-365d recommande vivement aux utilisateurs de n’exécuter aucun fichier attaché provenant d’une source inconnue, ni de fichiers non sollicités même si ces derniers sont envoyés par quelqu’un de connu et de digne de foi. Il est également conseillé d’être extrêmement vigilant avec les fichiers venant d’utilisateurs de forums ou d’autres sources non fiables, telles que groupes de discussion ou certains sites Web, ces derniers étant fréquemment utilisés pour distribuer chevaux de Troie et programmes backdoors.
Réalisé en collaboration avec Panda Software
Publicité
( les afficher maintenant )