Alors que nous vous parlions toute à l'heure de failles de sécurité dans les réseaux Wi-Fi, cette semaine, plusieurs produits de Microsoft ont été affectés par deux chevaux de Troie Mitglieder.HE et Spymaster.A et le ver Mytob.ML. Des problèmes pouvant aller jusqu’à la prise de contrôle à distance des systèmes vulnérables ont été rencontrés.

Trois vulnérabilités

Microsoft a publié trois bulletins de sécurité annonçant la disponibilité de patchs pour corriger trois vulnérabilités et invite les utilisateurs des systèmes affectés à les installer. La première vulnérabilité concerne Office 2000 SP3, Office XP SP3, Office 2003 SP1 et SP2 et Exchange Server. L’origine de la menace réside dans la technique de cryptage des courriers électroniques, utilisant le protocole TNEF (Transport Neutral Encapsulation Format), d’Outlook et d’Exchange Server. La deuxième vulnérabilité affecte Windows 2003/XP/2000/Me/98 et résulte du mode de traitement par Windows des polices Web malformées. Un pirate peut en effet exploiter cette vulnérabilité en hébergeant une police web spécifique sur une page Internet, créée spécialement pour l’occasion et en incitant les utilisateurs à la visiter ; ou bien directement par l’envoi d’un courriel contenant une police de même type, destinée à infecter les ordinateurs. La troisième et dernière menace concerne le Graphics Rendering Engine sur les ordinateurs tournant sous Windows 2003/XP/2000. Un pirate peut exploiter cette faille de sécurité en hébergeant une au format WMF (voir notre actualité relative) sur son site Web ou en envoyant directement un message électronique contenant l’image WMF.

Trois méchants programmes

En ce qui concerne les programmes malveillants, Panda Software relate trois programmes actifs cette semaine. Le premier cheval de Troie dont nous parlions ci-dessus se nomme Mitglieder.HE, qui pour se propager a besoin d’être diffusé manuellement par le pirate, bien qu’il ait également la capacité de se connecter à un serveur SMTP et d’envoyer une copie de lui-même par courriel. Celui-ci ouvre le port 9031 sur les ordinateurs infectés et agit comme un serveur proxy. De plus, il attend de recevoir des commandes de contrôle à distance, telles que le téléchargement et l’exécution de fichiers, la connexion à un serveur SMTP, le changement de port d’accès ou sa propre mise à jour.

On trouve ensuite Spymaster.A. à l’instar de Mitglieder.HE il ne se diffuse pas automatiquement et requiert une intervention manuelle. Il se propage par mail via un message contenant une pièce jointe dénommée SERVER.EXE. le troyen enregistre les frappes clavier tapées par l’utilisateur pour recueillir les mots de passe et autres informations confidentielles ; il garde également un historique des pages Web visitées. En même temps, il peut visualiser les programmes en exécution, les fichiers qui ont été créés, modifiés ou supprimés par l’utilisateur. Les informations obtenues sont sauvegardées dans un fichier qu’il envoie par serveur FTP. Spymaster.A utilise également une technique de dissimulation pour se faire passer pour MSN Messenger et éviter que les utilisateurs ne repèrent sa présence.

Le dernier malware est Mytob.ML, un ver qui se propage par courriel contenant un lien. Une fois qu’il a infecté un ordinateur, le ver Mytob.ML se connecte à un serveur IRC et attend les commandes de contrôle à distance. Il termine également les processus des autres malwares présents sur l’ordinateur et de certains programmes de sécurité tels que les firewalls. Il empêche aussi l’accès à certaines pages Web, notamment les pages des principaux éditeurs de solutions antivirus.