Les répercussions de Mydoom : le nouveau ver 'Plexus.a' utilise les codes Mydoom et crée une menace hybride

03 juin 2004
Actualités Virus

Kaspersky Labs annonce la découverte d'un nouveau dangereux ver internet Plexus.a. Ce programme malicieux se propage par le réseau local et par Internet sous forme de pièce jointe dans des messages électroniques infectés, par les réseaux de fichiers partagés ainsi que par la faille LSASS et RPC DCOM de Windows. L'analyse du code de ce virus montre que sa création s'est réalisée sur la base des codes sources du tristement célèbre ver Mydoom. En plus de se conduire comme les autres vers de son espèce, Plexus.a présente cette caractéristique de gêner le téléchargement de la base antivirus Kaspersky Anti-Virus. Pour le moment, il semble qu'un grand nombre d'utilisateurs aient été infectés.

Pour se multiplier, ce ver de réseau utilise la plupart des méthodes habituelles. Il se cache derrière des distributifs bien connus des utilisateurs et s'infiltre dans les ordinateurs par les réseaux locaux et de fichiers partagés. Le nombre élévé de machines infectées est du au fait que le ver utilise la faille de LSASS de Windows, de même que le ver de réseau Sasser, ainsi que la faille de DCOM RPC - cette méthode de pénétration sur l'ordinateur a déjà été utilisée par un des leader des classements de virus à savoir Lovesan. De cette manière, Plexus.a infecte les ordinateurs sur lesquels ne sont pas installés de patchs comblant ces failles.

Le caractère distinctif de ce ver est la diversité des méthodes d'infection du courrier électronique. Afin de désorienter les utilisateurs, Plexus.a présente 5 formes de messages électroniques infectés. Ils diffèrent les uns des autres par des signes formels : l'en-tête, le corps du texte et le titre de la pièce jointe. Par contre, sa taille ne change pas. Compressé sous format FSG, le fichier est de 16208 bytes et décompressé, de 57856.

Après son ouverture, le ver se reproduit dans le système de Windows sous le nom de "upu.exe" et enregistre ce fichier dans la source d'auto-démarrage du système d'enregistrement pour garantir l'activation du programme malicieux à chaque démarrage de l'ordinateur. Pour indiquer sa présence dans le système, le ver crée également un identifiant unique "Expletus". Ensuite il scanne le système de fichiers de l'ordinateur infecté et se renvoie à toutes les adresses contenues dans la messagerie.

En plus du processus d'auto-diffusion, Plexus.a présente deux autres fonctions destructrices, qui représente de véritables menaces pour l'ordinateur infecté. Tout d'abord, le ver essaie de détruire le système antivirus de la machine s'il s'agit de Kaspersky Anti-Virus. Pour se faire, il perturbe le mécanisme de chargement automatique de la mise à jour de la base antivirus. Il se substitue pour cela au fichier correspondant dans le système d'enregistrement de Windows.

Ensuite, la fonction ' backdoor ' - porte de derrière - menace les sytèmes dans le monde entier. Grâce à elle, le ver ouvre le port 1250 permettant au virus de télécharger des fichiers depuis l'ordinateur infecté. L'ordinateur-zombie devient alors la victime d'actes illégaux et peut être soumises à diverses attaques.

Kaspersky Labs a déjà publié une mise à jour urgente de la base antivirus. Si vous pensez que votre ordinateur est infecté, vous pouvez télécharger la mise à jour manuellement depuis l'Internet. Pour plus d'informations, vous pouvez consulter l'encyclopédie Kaspersky Anti-Virus (description en anglais).

Patchs pour les failles de MS Windows sont disponibles sur le site de Microsoft:

  PARTAGER