[ALERTE] Un vers se propage sur le réseau Skype et sa VoIP
Par Marc Blanchard [Virus Docteur], mardi 11 septembre 2007 à 19:27 :: Pour rester 'online' :: #12 :: rss :: PDF
ALERTE Un vers se propage sur le réseau Skype et sa VoIP
Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.
Arrivée du malware
Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.
Activation du malware :
L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR. L'extension SCR, selon les operating systems est cachée.
Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.
Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.
Méthode d'infection :
Des que le code est exécuté, il copie ces fichiers dans le répertoire \Windows\System32 :
winlgcvers.exe mshtmldat32.exe wndrivs32.exe sdrivew32.exe
Il patche les clefs de registres :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Deux clefs sont crées :
HKEY_CURRENT_USER\Software\RMX
HKEY_LOCAL_MACHINE\SOFTWARE\RMX
Le vers télécharge son code sur les sites suivants :
cpa-site.com lookingat.us www.freewebs.com www.gamesforum.com www.kale45.php0h.com 4444mb.com zopa.110mb.com mylawsite.net attorney-site.com ragezone.com blog.co.uk kupralana77.110mb.com members.lycos.co.uk ragai.myartsonline.com bedclip.com alladultmale.com
Technologie de retrovirus :
Afin de ne pas être détecté, et lui permettant de changer son propre code malicieux à volonté, le vers patche le fichier HOSTS tous les sites des serveurs de mises à jour des antivirus les plus connus.
Nota : Ce fichier doit être, en théorie, vide de nom de domaines.
Recommandation :
Forcez les mises à jour des bases antivirales.
Si l'antivirus refuse de se mettre à jour :
- Ouvrez notepad puis accédez au fichier HOSTS situé dans c:\windows\system32\drivers\etc
- effacez les noms de domaines inscrits dans ce fichier
Voici pour exemple un fichier hosts sain :
- Relancez la mise a jour de votre antivirus
Commentaires
Aucun commentaire pour le moment.
Ajouter un commentaire