VIRUS EGRO - 20/02/2003

Egrof enregistre dans un fichier nommé FLOG.TXT le nom d’utilisateur et le mot de passe saisis par l’utilisateur de l’ordinateur affecté pour accéder au service de messagerie instantanée d’AOL (America On Line). Les pirates peuvent ensuite utiliser ces informations pour accéder aux comptes de connexion de l’ordinateur sur lequel ils ont installé ce cheval de Troie.

Egrof est très facile à reconnaître, car il simule une connexion au service de messagerie instantanée d’AOL et renvoie un message d’erreur.

Le ver d’aujourd’hui, Kazoa.C, se comporte également comme un cheval de Troie. Il se répand rapidement par l’intermédiaire de KaZaA et d’IRC. Ce virus est considéré comme dangereux, car il ouvre un port de communication sur l’ordinateur affecté (habituellement le port 31337) et envoie l’adresse IP et le numéro du port ouvert aux attaquants, laissant ainsi l’ordinateur à la merci d’attaques à distance.

Kazoa.C crée un grand nombre de fichiers infectés dont les noms peuvent faire penser à des photos érotiques de personnes célèbres ou à des utilitaires informatiques, afin de tromper les utilisateurs de KaZaA et les conduire à télécharger les fichiers infectés. Il se duplique également lui-même un grand nombre de fois sur le disque dur, en utilisant une grande partie de la mémoire. Enfin, Kazoa.C arrête les processus actifs liés à une activité antivirus, système ou de sécurité, et crée des clés dans le Registre Windows.