Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

La chasse au BackDoor.Volk

Le 14 février 2012

Doctor Web annonce la propagation de trojans type BackDoor.Volk. Ces trojans sont capables de modifier le contenu du fichier hosts et d’exécuter les commandes d’un serveur distant. Ces trojans viennent d’Amérique du Sud.

Le laboratoire Doctor Web a vu augmenter le nombre de demandes liées aux trojans Volk, le premier parmi eux étant le BackDoor.Volk.1, un programme malveillant écrit en langage PHP, surtout utilisé pour créer des scripts et des applications serveur, est devenu ici un code exécutable grâce à l'utilitaire php2exe. Le trojan modifie le fichier hosts sur le PC infecté.

Les BackDoor.Volk sont capables de se réunir en botnet avec une interface permettant de les gérer (voir image ci-dessous). Les analystes Doctor Web ont reçu un dump de la base de données du serveur distant gérant un des botnets basé sur le BackDoor.Volk. Selon les entrées de la base de données, le botnet compte environ 100 bots d'une géographie très élargie : Chili (31%), Uruguay (13%), Pérou (8%), Argentine (4%) et Espagne (3%). Les chiffres sont très bas pour les Etats-Unis et l’Inde (2% chaque) ainsi que pour le Canada, la Colombie et le Brésil (1% chaque). Restent 34% de bots classés sous le nom «Unknown», donc sans provenance identifiée.

A la différence de son prédécesseur, le BackDoor.Volk.2 est écrit en Visual Basic et utilise la méthode POST, et non GET. En plus de télécharger et de lancer des applications ainsi que de procéder à des modifications du fichier hosts, ce programme malveillant est capable de réaliser des attaques DDoS et de voler les mots de passe des clients FTP du PC infecté. Il est à noter que le module d’échange de données avec le serveur distant est visiblement copié sur celui d’un autre programme malveillant, le BackDoor.Herpes, dont les codes sont devenus disponibles il n'y a pas très longtemps.

BackDoor.Volk.3 et BackDoor.Volk.4 sont également écrits en langage Visual Basic et sont des modifications du BackDoor.Volk.2: les modifications principales concernent les méthodes d’échange des informations avec le serveur distant. Les fonctions de ces trojans se ressemblent. Le danger principal pour l’utilisateur est la modification du fichier hosts car il peut être redirigé vers des sites de phishing ; le vol des mots de passe des clients FTP donne la possibilité aux pirates d’accéder à des sites touchant à la vie privée de l’utilisateur et dont l’accès est normalement sécurisé. Les signatures des menaces ont été ajoutées aux bases virales Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg