KaZaA: encore un virus! et virus microsoft
Un nouveau virus, nommé Duload, a commencé à se propager à travers le réseau d'échange de fichiers KaZaA.
Ce vers informatique est une pièce jointe, de format Windows, pe.exe, écrite en langage Visual Basic.
Il existe actuellement deux variantes de celui-ci en circulation, chacune ayant une taille différente: Worm.P2P.Duload.a, qui fait 18 432 octets et Worm.P2P.Duload.b, qui fait 7680 octets à cause de sa compression avec l'utilitaire UPX.
Si la pièce jointe est accidentellement ouverte, Duload se reproduit au répertoire système de Windows sous le nom SystemConfig.exe et modifie le registre du système de façon à ce que ce fichier soit chargé automatiquement à chaque lancement de Windows.
Par la suite, le vers Duload crée un sous-répertoire dans le répertoire Media de Windows et se recopie dans ce répertoire sous 39 noms différents. Parmi ceux-ci, notons:
Pamela Anderson And Tommy Lee Home Video.exe
Alicia Silverstone Payboy Nude.exe
Kama Sutra Tetris.exe
Soldier Of Fortune 2 Mutiplayer Serial Hack.exe
The Sims Game Crack.exe
Warcraft 3 Battle.net Crack.exe
Par la suite, Duload modifie à nouveau le registre système afin de rendre le
répertoire Media accessible à tous les autres usagers du réseau
KaZaA.
Une des versions modifiées du vers - Worm.P2P.Duload.a - télécharge aussi, à partir d'un site Internet, plusieurs programmes de type cheval de Troie, conçu pour établir le contrôle à distance des ordinateurs infectés.
Un virus de type «cheval de Troie» a commencé à circuler. Le courriel malicieux est camouflé de façon à sembler provenir de Microsoft et traiter du logiciel Kaspersky Anti-Virus.
Loin d'être un envoi de Microsoft, le courriel en question contient le programme malicieux TrojanDownloader.Win32.Apher. Plusieurs cas d'infection ont d'ailleurs déjà été rapportés.
L'envoi est en fait l'oeuvre d'un expéditeur anonyme utilisant un service de courriel d'accès public. Les messages ont une adresse usurpée, indiquant l'expéditeur comme étant info@microsoft.com.
Le message infecté a les caractéristiques suivantes:
Objet: Protect your NetWare with Kaspersky Anti-Virus
Pièces jointes: AAprices.exe Si le fichier exécutable joint au courriel est lancé, il initie une connexion à un site Web externe. De ce site, un utilitaire permettant le contrôle du virus Backdoor.Death.25 est téléchargé sur la machine infectée.
Ce programme permet, entre autres, au pirate de contrôler clandestinement l'ordinateur infecté, de voir et envoyer les informations confidentielles qu'il pourrait contenir, ainsi que de créer, copier et effacer des fichiers.