Le ver MYTOB se propage également rapidement en Hongrie
Trend Micro maintient une alerte de niveau moyen pour les dernières variantes du ver MYTOB - les 2 dernières versions ont été détectées dans de nombreux pays, dont la Hongrie.
Au cours des 2 derniers mois, depuis sa sortie le 2005 février 26, plus de 100 variantes du ver MYTOB ont été identifiées par les TrendLabs, le centre mondial de recherche et d'assistance sur la protection antivirus de Trend Micro. Selon les statistiques d'aujourd'hui de Vírushiradó, 7 variantes de MYTOB sont apparues et ont causé des dommages en Hongrie au cours des 39 derniers jours, entraînant un total de 588.037 7 infections dans le système de messagerie gratuite. Cela représente près de 30% des attaques au cours des 2 derniers jours, avec un fichier infecté total contenant XNUMX millions d'e-mails.
Le mode de transmission de MYTOB
Comme les versions précédentes, ce ver résidant en mémoire se propage en envoyant des copies de lui-même sous forme de fichier joint aux messages électroniques aux destinataires via son propre moteur SMTP (Simple Mail Transfer Protocol). Une fois lancé, le ver télécharge un programme espion qui place des publicités sur les ordinateurs des victimes. Le ver est également capable d'ouvrir des portes dérobées et possède une clé Internet Relay Chat (IRC) intégrée qui lui permet de se connecter à un serveur IRC spécifié.
Tactiques utilisées pour la propagation
Le classique - utilisant des tactiques qui profitent de la crédibilité de l'utilisateur - MYTOB se présente comme un message important pour une boîte aux lettres électronique donnée - comme si le message était envoyé par un administrateur. Le ver peut arriver dans un certain nombre de lettres avec différents thèmes et corps de texte. Il demande à l'utilisateur de répondre à l'e-mail s'il souhaite éviter de désactiver ou de mettre fin à sa boîte aux lettres.
Une recommandation d'un expert Trend Micro en matière de défense
« Ce n'est pas la première fois que nous voyons de telles tactiques basées sur la crédibilité des utilisateurs de la part des créateurs de code malveillant, et des noms de célébrités ont déjà été présentés dans des applications malveillantes. Dans le même temps, le nombre croissant de logiciels espions et de publicités utilisés en conjonction avec des fonctionnalités de porte dérobée est déjà plus préoccupant car ces applications permettent à un attaquant de tromper sa victime. Trend Micro recommande aux administrateurs de désactiver l'utilisation d'extensions de fichiers non essentielles, telles que les fichiers .exe, .pif et .scr, et aux utilisateurs finaux de ne pas ouvrir les e-mails et pièces jointes suspects, et de s'assurer que l'exemple de protection antivirus les fichiers sont toujours à jour." », a déclaré David Kopp, responsable des TrendLabs EMEA.
Les clients Trend Micro sont protégés contre cette menace en utilisant le dernier exemple de fichier numéro 2.653.00 177. Les clients des services de prévention des épidémies peuvent se protéger contre la propagation de cette menace en téléchargeant les politiques de prévention des infections OPP 622 (ou version ultérieure). Les clients qui utilisent Damage Cleanup Services peuvent faciliter la récupération automatique des systèmes concernés en téléchargeant le fichier modèle XNUMX.
Pour les autres utilisateurs, nous recommandons le service antivirus en ligne gratuit de Trend Micro, Housecall, disponible à l'adresse http://housecall.trendmicro.com/.
WORM_MYTOB.BI et WORM_MYTOB.AR
Après avoir lancé le ver, il place un fichier dans les dossiers système de Windows, souvent nommé d'après une célèbre actrice belge, Lien Van de Kelder. Le composant logiciel espion, identifié comme TSPY_AGENT.H, permet à un attaquant de suivre les clics de souris sur le site Web de logiciel espion mediatickets.net pour suivre les taux d'infection et les préférences des utilisateurs.
