Mugly, Gaboat, Mastof et codes malicieux
Mugly.C se propage au moyen d’un message électronique au contenu variable, avec la pièce jointe ATTACHED.ZIP. Ce fichier contient un exécutable, qui est le ver en question et qui sera envoyé par email. Mugly.C recherche sur la machine infectée dans les fichiers portant l’extension ADB, ASP, DBX, DOC, HTM, HTML, PHP, SHT, TBB, TXT ou WAB, des adresses électroniques auxquelles il pourra de nouveau s’envoyer lui-même, sauf aux adresses ayant un rapport avec les entreprises d’antivirus. Ce ver a la capacité d’empêcher l’utilisateur d’accéder aux pages Web de certains éditeurs d’antivirus. Dès qu’il s’exécute, Mugly.C affiche à l’écran une image, installe et lance un autre ver que Panda Software détecte comme étant le ver Gaboat.CDO.
De son côté Gaboat.CDO affecte les ordinateurs fonctionnant sous les systèmes d’exploitation Windows 2003/XP/2000/NT en exploitant les vulnérabilités LSASS, RPC DCOM et WebDAV. Pour se propager, il se copie dans toutes les ressources partagées auxquelles il réussit à accéder. Gaboat.CDO se connecte aussi à un serveur IRC et se met en attente de commandes.
Les autres codes malicieux que nous passerons en revue sont Constructor/Mastof et Mastof.A, qui sont très étroitement liés l’un à l’autre, puisque le second est un cheval de Troie créé par le premier afin de voler les mots de passe de Yahoo Messenger. Mastof.A, et les chevaux de Troie générés par Constructor/Mastof, possèdent les caractéristiques suivantes : ils s’exécutent à chaque fois que le PC démarre, ils restent de manière résidente dans le PC, et envoient le mot de passe qu’ils trouvent à une adresse Yahoo spécifique. Zataz Magazine
Aller plus loin ?
> Toutes les solutions de sécurité : antivirus, antispam, anonymat, pare-feux...
> Toute la presse écrite informatique et Internet
