Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Doctor Web a étudié un ver qui contamine des archives et supprime des Trojans.

Le 13 janvier 2017

Les vers (worms) sont des programmes malveillants qui sont capables de s’auto propager mais qui ne peuvent pas infecter les fichiers exécutables. Les analystes de Doctor Web ont examiné un de ces programmes malveillants qui contamine des archives RAR, supprime d'autres applications dangereuses et utilise, pour se propager, un système d'accès à distance VNC.

Le ver, nommé BackDoor.Ragebot.45 reçoit des commandes en utilisant le protocole d'échange de messages texte IRC (Internet Relay Chat). Pour cela, il se connecte à un canal de discussion via lequel les malfaiteurs lui donnent des directives.

screen BackDoor.Ragebot.45 #drweb

Après avoir contaminé un ordinateur sous Windows, BackDoor.Ragebot.45 lance sur cet ordinateur le serveur FTP et l'utilise pour télécharger sur le PC attaqué sa propre copie. Puis il scanne les sous-réseaux disponibles à la recherche des ordinateurs ayant le port 5900 ouvert qui est utilisé pour établir une connexion en utilisant le système d'accès distant au bureau, Virtual Network Computing (VNC). Une fois une machine « compatible » détectée, BackDoor.Ragebot.45 tente d'obtenir un accès non autorisé en utilisant le dictionnaire, par force brute.

Si le piratage a réussi, le ver ouvre une connexion VNC à l'ordinateur distant et envoie les signaux des frappes clavier, qui lui permettent de lancer l'interprétateur de commandes CMD. Là, il exécute le code permettant de télécharger sa propre copie via FTP. Il se propage ainsi automatiquement.

Une autre caractéristique de BackDoor.Ragebot.45 est la recherche et la contamination des archives RAR se trouvant sur des supports amovibles. Après avoir trouvé une archive RAR, le ver y place sa copie ayant le nom setup.exe, installer.exe, self-installer.exe ou self-extractor.exe. Pour infecter l'ordinateur, l'utilisateur doit lui-même exécuter le fichier extrait de l'archive.

A part cela, le ver place sa copie dans le dossier du client ICQ et dans les dossiers d'autres programmes destinés à installer les connexions P2P. Après avoir reçu une commande appropriée des pirates, BackDoor.Ragebot.45 recherche dans le système des chevaux de Troie et termine leurs processus puis supprime leurs fichiers exécutables. Il est doté de listes blanches spécifiques contenant les noms des fichiers à ignorer (dans la plupart des cas, ce sont les fichiers système Windows), il permet donc à ces fichiers de fonctionner sur la machine contaminée.

Des échantillons de l'une des anciennes versions de BackDoor.Ragebot.45 ont été trouvés en libre accès. On peut supposer que, grâce à cela, le malware sera propagé activement dans l'avenir. Dr.Web Antivirus détecte et supprime BackDoor.Ragebot.45, c'est pourquoi ce Trojan ne représente aucun danger pour nos utilisateurs.

Plus d'infos sur ce ver

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg