Encore des chevaux de Troie...

Panda Anti-Virus
27 juin 2000 à 11h12
0
Rapport d’incident de virus : Oxygen3 24h-365j





Semaine du 18 au 25 juin 2000

Le rapport de cette semaine traite de trois chevaux de Troie – dont deux sont des versions de Trojan.SubSeven – et d’un virus polymorphe multivolet.


Commençons par disséquer Trojan.SubSeven.1.0. Il s’agit d’un cheval de Troie de type porte arrière (Backdoor) qui fait partie de la famille du cheval de Troie SubSeven. Il est composé de deux fichiers : un programme serveur et un programme client. Seul le programme serveur existe dans l’ordinateur infecté, le programme client étant, lui, installé sur la machine d’où part l’offensive.


Il est facile de s’apercevoir qu’un ordinateur a été infecté par Trojan.SubSeven.1.0, le symptôme est évident : son port TCP 1243 est ouvert. Dans la même veine, l’utilisateur peut faire l’objet d’une série d’action qui pourraient être considérées comme des plaisanteries, telles que l’ouverture du tiroir du CD-ROM, le mouvement du pointeur de la souris, la disparition de la barre des tâches ou du bouton Démarrer de Windows. Sous cette façade amusante, le cheval de Troie peut effectuer, en douce, d’autres fonctions bien plus dangereuses qui menacent directement l’intégrité des données confidentielles.


Hormis cette version de Trojan.SubSeven, notre rapport d’aujourd’hui traite également la version 1.7. Contrairement à la 1.0, celle-ci possède un troisième programme qui permet au cheval de Troie d’être configuré sur l’ordinateur d’où part l’attaque.


Le troisième code malveillant que nous analysons maintenant se nomme TrojanRunner.Smorph. Il s’agit d’un cheval de Troie capable de contrôler les ressources réseau TCP. Complètement autonome, il s’installe sur l’ordinateur victime sans qu’aucun signe de sa présence ne puisse être décelé. Une fois exécuté sur la machine infectée, TrojanRunner.Smorph s’auto-copie dans le dossier système sous le nom de PNPMGR.PCI. Lorsque, par la suite, il exécute ce fichier, il devient résident mémoire.


Nous terminerons ce rapport avec Win95/Inca, un virus polymorphe qui agit sous les systèmes d’exploitation Windows 95 et qui devient résident mémoire. Pour se diffuser, il utilise tout autant le secteur d’amorçage des disquettes que celui des fichiers exécutables et il est, de ce fait, considéré comme un virus multivolet. Outre ces fonctions, il insère en plus des programmes exécutables aux extensions .COM (il utilise parfois aussi des fichiers avec des extensions .EXE) qui agissent en tant que " droppers " (WIN95/INCA.DROPPER). Ces derniers se trouvent à l’intérieur de différents types de fichiers compressés (ARJ, ZIP, LHA ou RAR). Si le programme MIRC32 est utilisé pour communiquer via IRC/Chat, le virus est capable de se diffuser en s’en servant comme vecteur de transport, sans engendrer de soupçons. Le code malveillant Win95/Inca est chiffré au moyen d’une routine polymorphe, ce qui le rend encore plus difficile à détecter.
Modifié le 18/09/2018 à 11h56
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Matrix 4 officiellement annoncé, avec Keanu Reeves et Carrie-Ann Moss
PS5 : la fuite d'un brevet révèle un design plutôt original
L'astéroïde Apophis qui frôlera la Terre en 2029 est-il vraiment dangereux ?
A peine lancée aux USA, Apple annonce que sa Card serait sensible au jean et au cuir
Un chercheur français a trouvé une faille critique dans le système de vote russe
Xiaomi Mi Mix 4 : un monstre de puissance doté d'un capteur photo 108 mégapixels
Le site des impôts affecté par le piratage de 2000 boîtes mails
RGPD : un consentement « explicite et positif » bafoué à plusieurs niveaux
Amazon sous le feu des critiques pour ses nouveaux emballages non recyclables
SFR dévoile sa nouvelle Box SFR 8 et une grille tarifaire à partir de 5€ par mois

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top