Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé la détection d'une nouvelle forme du ver Tanatos : Tanatos.b (alias Bugbear.b). Cette nouvelle version possède une série de fonctions dangereuses. En particulier, elle est capable de contaminer les fichiers exécutables de plusieurs programmes se trouvant sur le disque dur, ainsi que de provoquer la fuite des informations confidentielles présentes sur l'ordinateur infecté. De nombreux cas de contamination ont déjà été enregistrés.

Tanatos.b se transmet par courrier électronique, en tant que pièce jointe. Le message infecté peut avoir des sujets, corps et pièces jointes diverses. Le ver s'active au lancement du fichier infecté, contamine l'ordinateur puis entame sa procédure de diffusion. Pour le lancement du fichier porteur, plusieurs méthodes sont employées : soit automatiquement à travers la faille de sécurité d'Internet Explorer - I FRAME -, soit manuellement, au lancement du fichier par l'utilisateur.

Après son installation, Tanatos.b se copie, sous des noms divers, dans le dossier de démarrage automatique, dans le dossier des fichiers temporaires et dans le dossier de Windows. Il crée aussi ses propres fichiers dans ce dernier dossier.

Le ver entame, ensuite, sa procédure de diffusion, utilisant le client SMTP intégré. Il cherche de nouvelles adresses de courrier électronique, en scannant, sur les disques accessibles, les fichiers portant les extensions suivantes : *.ODS, *.INBOX, *.MMF, *.NCH, *.MBX, *.EML, *.TBB et *.DBX .

Parmi les autres fonctions dangereuses, Tanatos.b est capable de contaminer les fichiers exécutables du système d'exploitation Windows et d'autres programmes populaires tels que Outlook Express, Internet Explorer, WinZip, le programme de P2P KaZaA, les programmes de chat ICQ et MSN Messenger, le client FTP CuteFTP, ainsi que ACDSee, Adobe Acrobat, Adobe Acrobat Reader, Windows Media Player et autres.

Tanatos.b installe, de surcroît, un logiciel d'espionnage de l'ordinateur (Backdoor), entraînant la fuite des informations confidentielles. Ce logiciel ouvre le port 1080, dans le but de réaliser les actions suivantes :

mettre en place un serveur http

Nous rappellerons que la première version du ver Tanatos a été découverte en septembre 2002. Il avait, alors, provoqué de nombreux cas de contamination à travers le monde. Il disposait, déjà, des fonctions de ver (diffusion automatique) et de cheval de Troie (fuite d'informations).

Tanatos b se présente sous la forme d'un fichier exécutable, d'une taille approximative de 72 kilo-octets (encodé par l'utilitaire de compression UPX). Il est écrit en langage de programmation Microsoft Visual C ++.

Une description plus détaillée du ver Tanatos.b est disponible dans l'Encyclopédie Antivirale de Kaspersky Labs .

La protection contre ce ver a été ajoutée à la base de données de Kaspersky Anti-Virus.

06.06.2003

RSS-Feed