Windows Genuine Advantage inspire les créateurs d'un ver
Worm Genuine Advantage
Alors que le système Windows Genuine Advantage connaît un certain éclairage du fait de sa récente actualité, l’éditeur Sophos annonce l’arrivée d’un ver qui tire profit de sa médiatisation. Ce malware prend en effet la forme du WGA, module antipiratage de Microsoft, pour s’assurer d’une plus grande discrétion sur la machine affectée.
Cuebot-K, c’est son nom, rampe uniquement sur la messagerie d’AOL IM où il invite les utilisateurs à télécharger un fichier piégé. Une fois téléchargé et exécuté, le ver se double d’une porte dérobée pour permettre un accès par une machine distante, voire la transformer en maillon d’un réseau botnet. Il se copie dans le dossier système de Windows sous wgavn.exe. Il s’ajoute en outre à la liste des services sous le nom de Windows Genuine Advantage Validation Notification. Il modifie également la base des registres pour s’exécuter à chaque démarrage et tente de désactiver le pare-feu Windows pour opérer avec un maximum de tranquillité.
L’arrivée de ce malware est d’autant plus piquante que WGA, le vrai, fait l’objet d’un procès aux Etats-Unis. Un utilisateur vient d’initier une action collective affirmant que ce module sécuritaire de Microsoft serait lui aussi un spyware. Une procédure qui intervient alors que Microsoft a officiellement expliqué une méthode visant à désactiver ce module de notifications.
Cuebot-K, c’est son nom, rampe uniquement sur la messagerie d’AOL IM où il invite les utilisateurs à télécharger un fichier piégé. Une fois téléchargé et exécuté, le ver se double d’une porte dérobée pour permettre un accès par une machine distante, voire la transformer en maillon d’un réseau botnet. Il se copie dans le dossier système de Windows sous wgavn.exe. Il s’ajoute en outre à la liste des services sous le nom de Windows Genuine Advantage Validation Notification. Il modifie également la base des registres pour s’exécuter à chaque démarrage et tente de désactiver le pare-feu Windows pour opérer avec un maximum de tranquillité.
L’arrivée de ce malware est d’autant plus piquante que WGA, le vrai, fait l’objet d’un procès aux Etats-Unis. Un utilisateur vient d’initier une action collective affirmant que ce module sécuritaire de Microsoft serait lui aussi un spyware. Une procédure qui intervient alors que Microsoft a officiellement expliqué une méthode visant à désactiver ce module de notifications.
Source :
Sophos
Marc Rees
le 3 juillet 2006 à 16:11
(27 439
lectures)
Actualités et brèves relatives
- 29 / 06 / 2006 : Plainte contre Microsoft pour son module d'alertes WGA
- 28 / 06 / 2006 : Microsoft change le comportement de son plug-in WGA
- 28 / 06 / 2006 : Moop : Un trio soupçonné de création de malwares arrêté
- 21 / 06 / 2006 : Sixem-A, un nouveau ver exploitant la Coupe du Monde
- 15 / 06 / 2006 : Le ver Yamanner, une lettre de motivation pour un job ?
- 14 / 06 / 2006 : Yahoo! déjoue le ver Yamanner sur son Webmail
- 13 / 06 / 2006 : Microsoft explique le fonctionnement du module WGA
- 16 / 05 / 2006 : Microsoft propose des réductions aux pirates de Windows
