BugBear, nouvelle vedette des virus ?

Cloud

Un virus capable de désactiver les anti-virus, voilà qui a de quoi faire peur. Mais, finalement, les correctifs et mises à jour sont prêts.

Selon différentes sociétés éditrices d’antivirus, un virus-ver capable de désactiver les logiciels de sécurité et de subtiliser les mots de passe et autres coordonnées des cartes de crédit stockés sur le disque dur est en train de se répandre rapidement sur les PC sous Windows. Il est répertorié sous le nom de code BugBear et a été détecté pour la première fois en Malaisie.

Network Associates a identifié le virus le 19 septembre et a, depuis, décidé de faire passer son taux de dangerosité de ‘bas’ à ‘medium’. Une autre société antivirus, MessageLabs, a recensé 6 000 infections au Royaume-Uni, aux Etats-Unis et en Inde.

Le ver s’installe dans les répertoires ‘System’ et ‘Démarrage’ de Windows, en tant que fichier en ‘.exe’, dont le nom est constitué de trois lettres au hasard. Une fois actif, il désactive les éventuels logiciels antivirus et pare-feu présents sur le PC et installe un cheval de Troie qui enregistre toutes les séquences tapées au clavier. Ce troyen prend la forme du fichier ‘PWS-Hooker.dll’. Résultat, tout ce que l’utilisateur tape sur son clavier, même s’il s’agit de mots de passe ou d’autres données sensibles, est envoyé au créateur du virus au travers du port TCP 36794. Bien entendu, le virus-ver cherche à infecter tous les autres PC présents sur le réseau, en passant par les dossiers de partage et en utilisant le carnet d’adresses pour s’auto-envoyer.

BugBear utilise également une faille mise en évidence par le virus Klez, répertoriée sous le numéro MS-01/020. Un correctif est disponible depuis mars 2001. Téléchargeable ici.

Traduit et adapté d’un article paru sur VNUnet.com