Sdbot
(= Rbot) est une famille de virus qui se propagent via les partages
réseau en utilisant différentes failles connues.
Si une machine connectée à Internet est vulnérable,
Sdbot l'infecte puis scanne le réseau à la recherche
de nouvelles machines vulnérables pour les infecter.
Le virus installe par ailleurs une porte dérobée
qui autorise la prise de contrôle à distance par
une personne malveillante de l'ordinateur contaminé et
qui se connecte à un canal IRC prédéterminé
en attente des ordres à exécuter.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows doivent aussi mettre à jour leur système
via le service WindowsUpdate
afin de corriger une éventuelle faille exploitée
par le virus pour s'exécuter automatiquement
à l'insu de l'utilisateur.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection Stinger pour rechercher et
éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS
:
Win32.Sdbot (Computer Associates)
Backdoor.SdBot.gen (Kaspersky)
W32/Sdbot.worm.gen (McAfee)
W32/Rbot-Fam (Sophos)
Backdoor.Sdbot.gen
(Symantec)
W32.HLLW.Donk (Symantec)
WORM_SDBOT.GEN (Trend Micro)
BAT_SDBOT
(Trend Micro)
BKDR_SDBOT
(Trend Micro)
Backdoor.Rbot gen
IRC-Sdbot
Win32/Gnu.Trojan
Win32/IRCBot.SvHost.Trojan
Backdoor/SDBot
Backdoor/Sdbot.Server
TAILLE
:
variable
DECOUVERTE
:
10/04/2003
DESCRIPTION
DETAILLEE :
Sdbot
est une famille de virus ciblant les ordinateurs non à
jour dans leurs correctifs de sécurité ou précédemment
infectés par certains virus. Sdbot
tente de se connecter aux machines accessibles en
utilisant différentes portes dérobées
ou failles de sécurité connues : s'il
réussit, le virus infecte l'ordinateur en se copiant
dans le répertoire System de Windows, modifie la base
de registres afin d'être exécuté à
chaque démarrage de l'ordinateur, puis scanne le réseau
à la recherche de nouvelles machines vulnérables.
Le virus installe une porte dérobée qui autorise
la prise de contrôle à distance de l'ordinateur
infecté puis se connecte immédiatement à
un canal IRC (Internet Relay Chat) prédéterminé
en attente de commandes à exécuter par une personne
malveillante : téléchargement et exécution
de programmes à l'insu de l'utilisateur, enregistrement
des frappes au clavier, etc.
24/08/04 : une variante nommée
W32/Sdbot.worm.96716 (également appelée
W32/Rbot-GR)
a été identifiée. Contrairement à
ce qui a parfois été écrit, cette variante
ne prend pas le contrôle d'une éventuelle webcam
appartenant à l'utilisateur pour envoyer directement
des images ou des vidéos à des pirates, mais
installe une porte dérobée qui autorise notamment
la prise de contrôle d'une éventuelle webcam
en cas d'intrusion par une personne malveillante. Un fait
anecdotique mais largement médiatisé suite au
communiqué de presse quelque peu opportuniste d'un
éditeur d'antivirus, qui ne doit cependant pas faire
perdre de vue que le risque pour l'utilisateur et sa vie privée
commence dès l'intrusion non autorisée dans
son ordinateur. Les ordinateurs sains et à jour dans
leurs correctifs ne peuvent pas être infectés.
08/09/04 : une variante nommée
WORM_SDBOT.UH a été identifiée.
En plus d'une porte dérobée et d'un keylogger
cette variante installe un "sniffer", un outil normalement
utilisé par les administrateurs pour examiner le trafic
réseau et capturer les paquets en circulation, permettant
l'accès à leur contenu si non crypté.
Cela pourrait éventuellement favoriser l'attaque d'un
réseau local dont une machine aurait été
infectée par le virus, mais cela semble surtout relever
d'une stratégie de communication de l'auteur de Sdbot
visant à intégrer régulièrement
de nouvelles fonctionnalités sans même avoir
l'intention de les utiliser dans le but de faire parler de
ses virus, ce qui est une nouvelle fois réussi. Aucune
propagation n'a pour l'instant été constatée.
INFORMATIONS
COMPLEMENTAIRES :
->
Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|