Publié le: 31/08/2004 @ 15:40:47: Par sbuysse Dans "Virus"
VirusShruggle.1318 ne peut pas se propager automatiquement par ses propres moyens, mais transmet son infection à d’autres fichiers. Il infecte les ordinateurs lorsque les fichiers contaminés sont distribués. Ces fichiers peuvent atteindre les ordinateurs par les moyens habituels utilisés par les virus (disquettes, emails avec pièces jointes, téléchargements Internet, transferts de fichiers via FTP, canaux IRC, réseaux P2P de partage de fichiers, etc.).

Shruggle.1318 infecte les fichiers PE (Portable Executable) et DLL Windows 64 bits sur les systèmes AMD64.

Sasser.G, le premier ver de ce rapport, se propage via Internet et attaque les ordinateurs distants en exploitant la vulnérabilité LSASS. Pour ce faire, il envoie des requêtes ICMP vers des adresses IP aléatoires via le port TCP 445.

Sasser.G se propage automatiquement uniquement sur les ordinateurs fonctionnant sous Windows XP/2000, et fonctionne sur le reste des systèmes d’exploitation Windows si le fichier transportant le ver est exécuté par un utilisateur malicieux. Enfin, il est important de préciser que Sasser.G exploite la vulnérabilité LSASS, causant un débordement de mémoire tampon au niveau du programme LSASS.EXE, et redémarre l’ordinateur.

Gaobot.AIR est un ver qui crée une trappe et utilise toute une panoplie de moyens de propagation, tels que ceux mentionnés plus haut.

- Il exploite les vulnérabilités LSASS, RPC DCOM et WebDAV pour se propager via Internet.
- Il fait une copie de lui-même sur les ressources réseau partagées auxquelles il réussit à accéder.
- Il peut pénétrer les ordinateurs sur lesquels fonctionne SQL Server et dont le mot de passe administrateur est laissé à blanc.
- Il peut pénétrer les ordinateurs sur lesquels est installé le programme DameWare Mini Remote Control et sur les ordinateurs affectés par les chevaux de Troie de type backdoor suivants : Optix, NetDevil, Kuang et SubSeven.

Gaobot.AIR permet une prise de contrôle à distance des ordinateurs qu’il affecte, permettant ainsi à un attaquant de mener des actions telles que : lancer des commandes, télécharger et exécuter des fichiers, intercepter les séquences clavier.
Poster un commentaire
Vous ne pouvez plus poster de commentaire sur cette actualité car elle a été clôturée. Voulez-vous continuer cette discussion sur le forum?

Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?