Virus - Rbot-GR prend le contrôle des webcams et des microphones


 Risque Bas (1/4)

- Une nouvelle variante du ver Rbot a été identifiée, elle se propage de façon traditionnelle en exploitant plusieurs vulnérabilités Windows. La particularité de cette version Rbot-GR réside dans sa capacité de prendre le contrôle du microphone et de la webcam, puis d'envoyer les enregistrements sonores et vidéos aux pirates.

Le nombre de machines infectées par Rbot-GR reste très faible, car les vulnérabilités exploitées sont connues et patchées depuis plusieurs mois : [WebDav (MS03-007), RPC DCOM (MS03-039, MS04-012), UpNP (MS01-059)]. Les autres faiblesses utilisées par le ver sont : IPC (faiblesse des mots de passe Windows), MSSQL Null-Password, DameWare Overflow (CAN-2003-1030), ainsi que les portes dérobées laissées ouvertes par d'autres vers et chevaux de Troie tels que W32/MyDoom, Troj/Optix, Troj/Kuang et Troj/NetDevil.

 


Lorsqu'il est exécuté pour la première fois, W32/Rbot-GR se copie dans le dossier Système Windows sous le nom SYSTEMC32.EXE et exécute cette copie du ver. La copie tente alors de supprimer le fichier original.

Pour s'exécuter à chaque démarrage de Windows, il ajoute ces entrées au registre :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Updates = systemc32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Updates = systemc32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Updates = systemc32.exe

Le ver fonctionne en permanence en tâche de fond et ouvre une porte dérobée utilisée pour :

- Le lancement d'attaques par Déni de service distribué (DDoS).
- La redirection du trafic TCP et SOCKS4.
- L'ouverture d'un shell distant.
- Le téléchargement et l'upload de fichiers.
- L'installation d'un serveur HTTP et TFTP.
- Le vol des mots de passe (y compris des comptes PayPal).
- L'enregistrement des frappes du clavier.
- La prises de captures d'écran.
- La prise de contrôle de la webcam et du microphone.
- Ouvrir et fermer des failles de sécurité.
- Scanner ports à la recherche de failles sur d'autres machines distantes.
- Envoyer des courriels selon les instructions de l'utilisateur distant.
- Vider les mémoires caches DNS et ARP .
- Eteindre la machine.

 » Désinfection : Antivirus En Ligne


 

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits