Serbian Badman et Subseven

Panda Software
15 juin 2000 à 17h16
0
Notre lettre Oxygen3 24h-365d d’aujourd’hui est consacrée à " Serbian Badman " en raison de la large couverture médiatique dont il a récemment fait l’objet. En effet, ce code malveillant est très particulier puisque sa seule et unique mission consiste à se connecter à un serveur Web et à télécharger un second cheval de Troie nommé SubSeven.

Serbian Badman a été distribué sous le nom de " QuickFlick.mpg.exe " depuis divers groupes de discussion pour adultes, en tant que clip vidéo érotique. Afin de tromper l’utilisateur – et de masquer le fait qu’il s’agissait d’un exécutable – le nom du fichier possédait les lettres " .mpg " (faisant référence au format MPEG) et son icône était celle qui représente les vidéos dans ce format sous Windows.

Lorsque que l’utilisateur télécharge ledit fichier du forum et essaie de le visualiser (en double-cliquant dessus), Serbian Badman s’exécute et tente de se connecter au site http://www.lomag.net/~ryan1918/MySissy.mpg.exe.

De là, il télécharge et exécute le fichier auquel cette adresse réfère, qui n’est autre que le célèbre cheval de Troie de porte arrière (backdoor) " SubSeven ". Une fois sa mission accomplie, qui consiste donc au téléchargement et à l’installation du cheval de Troie, Serbian Badman arrête d’opérer, et laisse le champ libre à SubSeven.

SubSeven, dont plusieurs différentes variantes sont hélas fort connues, appartient à la famille des chevaux de Troie de type porte arrière, tel le célèbre BackOrifice, qui permettent de contrôler à distance les systèmes infectés. Outre ces actions relativement communes à la plupart des chevaux de Troie de ce type, SubSeven enregistre aussi des sons (si l’ordinateur victime est équipé d’un microphone et d’une carte son) et réalise des enregistrements vidéos WebCam et QuickCam. Entre autres opérations, SubSeven agit aussi sur les fonctions ICQ Spy et keylogger (enregistrement de clés), met à jour le programme serveur via une adresse URL, modifie le Registre Windows et change les paramètres de configuration de Windows.

Oxygen3 24h-365d recommande vivement aux utilisateurs de n’exécuter aucun fichier attaché provenant d’une source inconnue, ni de fichiers non sollicités même si ces derniers sont envoyés par quelqu’un de connu et de digne de foi. Il est également conseillé d’être extrêmement vigilant avec les fichiers venant d’utilisateurs de forums ou d’autres sources non fiables, telles que groupes de discussion ou certains sites Web, ces derniers étant fréquemment utilisés pour distribuer chevaux de Troie et programmes backdoors.

Réalisé en collaboration avec Panda Software
Modifié le 18/09/2018 à 11h55
0
0
Partager l'article :

Les actualités récentes les plus commentées

L'attaque d'un hôpital par ransomware pourrait tourner en homicide après la mort d'une patiente allemande
Clubic évolue (en douceur)
Allongé et endormi
Cyberpunk 2077 : CD Projekt RED dévoile les configurations PC requises
Microsoft Flight Simulator dévoile son plan de vol pour les futurs développements
Déjà en rupture de stock, les NVIDIA RTX 3080 se vendent à prix d'or sur eBay
PS5 : des jeux jusqu'à 79,99 €, soit 10 € de plus que sur l'ancienne génération ?!
La fin du pétrole ? Pour BP, la demande ne fera que baisser à partir de 2020
Étouffé par les sanctions américaines, Huawei également lâché par les fondeurs chinois
Xbox All Access : les tarifs français officialisés par Microsoft
scroll top