XMCO : Des vers et des chevaux de Troie exploitent la vulnérabilité MS08-067
octobre 2008 par XMCO PARTNERS
– Date : 27 Octobre 2008
– Description :
Quelques jours après la publication du correctif d’une vulnérabilité Microsoft RPC (MS08-067), les premiers virus exploitant cette faille de sécurité critique ont été identifiés.
En effet, le premier ver se nomme "Gimmiv.A". Ce dernier dépose plusieurs fichiers sur le système ciblé :
– C :\WINDOWS\system32\wbem\basesvc.dll
– C :\WINDOWS\system32\wbem\syicon.dll
– C :\WINDOWS\system32\wbem\winbase.dll
Le virus contacte ensuite plusieurs domaines via des requêtes GET :
– doradora.atzend.com
– perlbody.t35.com
– summertime.1gokurimu.com
Une fois contacté, le virus crée d’autres fichiers et renvoie à son serveur pirate, le type d’antivirus utilisé.
Enfin, le virus tente de récupérer de nombreuses informations sur le système (mots de passe stockés, programmes et correctifs installés, document récemment ouvert...) puis se propage sur le réseau local
Ce dernier est disponible sur les sites spécialisés [2].
– Référence :
[1] http://security.blogs.techtarget.com/2008/10/24/worm-exploiting-ms08-067-rpc-vulnerability/
[2] http://www.offensivecomputing.net/?q=node/942
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1225105118