Un ver cible les clients de la Postbank

Nom de code : Oskarbot.KD

Ce maudit ver est le premier à exploiter la vulnérabilité Microsoft MS06-040 pour infecter les systèmes.

Selon les informations fournies par PandaLabs, Oscarbot.KD recherche les ordinateurs possédant cette vulnérabilité. Lorsqu’il en détecte un, il cherche à provoquer un dépassement de la mémoire tampon sur le système et exécute le code nécessaire pour télécharger une copie de lui-même sur l’ordinateur dans un fichier du nom de wgareg.exe.

Mais ce n’est pas tout… En effet, Oscarbot.KD peut aussi se répandre via le service de messagerie instantanée d’AOL et au moyen de lecteurs partagés.

Une fois installé sur l’ordinateur, le ver ouvre le port 18067 et se connecte à des serveurs IRC. Cela permet à un pirate de communiquer à distance avec Oscarbot.KD pour télécharger et exécuter toutes sortes de logiciels malveillants sur l’ordinateur infecté, et de lancer des attaques contre d’autres ordinateurs.

De plus, Oscarbot.KD édite un ensemble de clés de registre de Windows afin de désactiver le firewall inclus dans certaines versions du système d’exploitation.

Du côté des Troyens

Comme beaucoup de chevaux de Troie, Nabload.JC ne peut pas se répandre par ses propres moyens : il est distribué par des crackers.

Les vecteurs de propagation sont divers : disquette, CD, courrier électronique avec une pièce jointe? Nabload.JC est conçu pour télécharger le code malicieux décrit ci après, Banker.EEA.

Banker.EEA est un cheval de Troie qui modifie la page d’identification de la banque allemande Postbank qui s’affiche dans le navigateur Internet de l’utilisateur. En raison de la modification apportée par le cheval de Troie, l’utilisateur doit donner son numéro TAN (Transaction Authorized Number), en plus de son mot de passe et de son code secret PIN.

Une fois qu’il a obtenu ces informations, le malware les envoie à un serveur afin que les pirates puissent les récupérer et les utiliser à des fins frauduleuses.

Il faut souligner que bien que Banker.EEA soit programmé spécialement pour attaquer les clients de Postbank, il recueille également les informations entrées dans les formulaires sur d’autres sites Web, banque ou messagerie électronique, par exemple.