Méfiez-vous des fichiers BMP !

13 mai 2004
Actualités Virus

"Kaspersky Labs", principal éditeur russe de logiciels de protection anti-virus, anti-hackers et anti-spam, annonce la découverte d'une diffusion de masse d'un cheval de Troie appelé ' Agent ', infectant les ordinateurs lorsque l'utilisateur ouvre des fichiers graphiques sous format BMP.

"Agent" utilise des brèches du browser Internet Explorer version 5.0 et 5.5, qui permet d'activer un code malicieux sur l'ordinateur à l'ouverture de fichiers BMP. La brèche a été détectée le 16 février 2004 , à la suite d'une fuite de codes sources Windows (www.kaspersky.com/fr/news.html?id=3504764).

"Agent" circule par courrier électronique à l'aide de techniques de spams. Le message infecté ne se différencie en rien des messages habituels à part le fichier joint sous format BMP portant un nom quelconque. Il est important de noter que ce fichier a spécialement été créé pour attaquer les versions russes 2000 - sur le système d'exploitation des autres versions, le code malicieux ne marchera pas. Cela tend à prouver que "Agent" a été conçu en Russie ou dans un des pays de la CEI.

Si l'utilisateur a commis l'imprudence d'ouvrir la pièce jointe sous format BMP, le "troyen" se met en contact avec un serveur éloigné, situé sur un domaine Lybien, charge à partir de celui-ci un autre cheval de Troie - "Throd", et l'installe sur l'ordinateur victime.

"Throd" se présente comme un programme espion classique. Lors de l'installation du "troyen" il s'enregistre dans la source d'auto-démarrage du système d'enregistrement Windows et passe en mode veille. Plus précisément, avec son aide, les malfrats peuvent appliquer des consignes à distance (copie de données, consultation des adresses du carnet d'adresses outlook et leur envoi sur une autre adresse), mais également utiliser l'ordinateur infecté en tant que proxy-serveur pour effectuer des crimes de réseaux anonymes.

' Il est évident que "Throd" a été conçu pour répondre spécifiquement aux besoins des spammeurs - afin de renforcer des bases d'adresses pour diffusion massive. Cela confirme une fois de plus la tendance d'interconnexion entre les virus et les spams dans le domaine de l' ' underground ' informatique ', - a déclaré Eugène Kaspersky, responsable des études antivirales de Kaspersky Labs".

Le réel motif d'inquiétude est que pour le moment, il n'existe pas de remise à jour spéciale de Internet Explorer pour se défendre contre cette brèche. De sorte que, à l'heure actuelle, le seul moyen efficace de résister à ces attaques est le programme antivirus. "De plus, il n'est pas exclu que ces programmes malicieux apparaissent également sur les autres versions de Windows. C'est pourquoi nous recommandons aux utilisateurs de prendre les mesures qui s'imposent quelle que soit la version de leur système d'exploitation", - a ajouté Eugène Kaspersky.

Kaspersky® Anti virus analyse le contenu des fichiers BMP et détecte automatiquement les objets infectés lors de leur tentative d'intrusion par Internet ou par courrier électronique. De cette manière, le programme neutralise "Agent" sans remises à jour de bases de données supplémentaires. La protection contre "Throd" est déjà en vigueur dans la mise à jour de Kaspersky Anti-virus.

Une description plus complète de ce programme malicieux est disponible sur l'encyclopédie des virus Kaspersky (cette dernière est en anglais ou en russe).

  PARTAGER