Rapport d’incident de virus : Oxygen3 24h-365j
Semaine du 18 au 25 juin 2000
Le rapport de cette semaine traite de trois chevaux de Troie – dont deux sont des versions de Trojan.SubSeven – et d’un virus polymorphe multivolet.
Commençons par disséquer Trojan.SubSeven.1.0. Il s’agit d’un cheval de Troie de type porte arrière (Backdoor) qui fait partie de la famille du cheval de Troie SubSeven. Il est composé de deux fichiers : un programme serveur et un programme client. Seul le programme serveur existe dans l’ordinateur infecté, le programme client étant, lui, installé sur la machine d’où part l’offensive.
Il est facile de s’apercevoir qu’un ordinateur a été infecté par Trojan.SubSeven.1.0, le symptôme est évident : son port TCP 1243 est ouvert. Dans la même veine, l’utilisateur peut faire l’objet d’une série d’action qui pourraient être considérées comme des plaisanteries, telles que l’ouverture du tiroir du CD-ROM, le mouvement du pointeur de la souris, la disparition de la barre des tâches ou du bouton Démarrer de Windows. Sous cette façade amusante, le cheval de Troie peut effectuer, en douce, d’autres fonctions bien plus dangereuses qui menacent directement l’intégrité des données confidentielles.
Hormis cette version de Trojan.SubSeven, notre rapport d’aujourd’hui traite également la version 1.7. Contrairement à la 1.0, celle-ci possède un troisième programme qui permet au cheval de Troie d’être configuré sur l’ordinateur d’où part l’attaque.
Le troisième code malveillant que nous analysons maintenant se nomme TrojanRunner.Smorph. Il s’agit d’un cheval de Troie capable de contrôler les ressources réseau TCP. Complètement autonome, il s’installe sur l’ordinateur victime sans qu’aucun signe de sa présence ne puisse être décelé. Une fois exécuté sur la machine infectée, TrojanRunner.Smorph s’auto-copie dans le dossier système sous le nom de PNPMGR.PCI. Lorsque, par la suite, il exécute ce fichier, il devient résident mémoire.
Nous terminerons ce rapport avec Win95/Inca, un virus polymorphe qui agit sous les systèmes d’exploitation Windows 95 et qui devient résident mémoire. Pour se diffuser, il utilise tout autant le secteur d’amorçage des disquettes que celui des fichiers exécutables et il est, de ce fait, considéré comme un virus multivolet. Outre ces fonctions, il insère en plus des programmes exécutables aux extensions .COM (il utilise parfois aussi des fichiers avec des extensions .EXE) qui agissent en tant que " droppers " (WIN95/INCA.DROPPER). Ces derniers se trouvent à l’intérieur de différents types de fichiers compressés (ARJ, ZIP, LHA ou RAR). Si le programme MIRC32 est utilisé pour communiquer via IRC/Chat, le virus est capable de se diffuser en s’en servant comme vecteur de transport, sans engendrer de soupçons. Le code malveillant Win95/Inca est chiffré au moyen d’une routine polymorphe, ce qui le rend encore plus difficile à détecter.