The CERT for France Industry, Services and Tertiary sector

Members area [version française]

HOME PRESENTATION RESOURCES CONTACTS FAQ SEARCH

Ver multi plates-formes sur les suites bureautiques "OpenOffice.org" et "StarOffice"

Public Advisories/Alerts Cert-IST publications Useful links News - Events Printable version		Accueil | Resources | Cert-IST publications Les éditeurs d'anti-virus ont signalé ce mois de mai 2007 le ver "Badbunny" ciblant différents types de systèmes d'exploitation et se propageant à travers un fichier "OpenOffice" ("badbunny.odg") diffusé via des canaux IRC. Ce fichier malicieux contient une macro "StarBasic" capable de lancer un programme malveillant adapté au système d’exploitation utilisé : Sur les systèmes Microsoft Windows, il installe un fichier JavaScript nommé "C:adbunny.js" qui  infecte les fichiers JavaScript présents sur le système. Sur les systèmes Linux, il installe un fichier Perl nommé "badbunny.pl" qui infecte les fichiers Perl présents sur le système. Sur Mac OS-x, il installe deux fichiers Ruby nommés "badbunny.rb" et "badbunnya.rb" qui infecte les fichiers Ruby présents sur le système. Ce ver signale sa présence par un message et une image pour adulte. Il tente également des attaques de type déni de service, via l'envoi de nombreux paquets ICMP contre des sites web d'éditeurs d'anti-virus. Le ver "Badbunny" semble inoffensif car il est mal écrit et se propage peu (ses auteurs semblant peu confiant dans les capacités de propagation de leur ver l'ont eux-même envoyé à l'éditeur d'anti-virus Sophos). De plus, ne faisant que peu d'actions nuisibles et semblant plus soucieux de se signaler, il est davantage conçu dans l'esprit d'un "Proof-Of-Concept" que d'un programme malveillant. C'est pourquoi le Cert-IST n'a pas émis d'avis de sécurité à son sujet. Nous avons cependant jugé que l'information d'un ver ciblant différents types de plates-formes à travers un fichier "OpenOffice" méritait d'être soulignée pour son intérêt technique. Pour plus d'information : Symantec : http://www.symantec.com/security_response/writeup.jsp?docid=2007-052303-2513-99&tabid=2 Sophos : http://www.sophos.fr/virusinfo/analyses/sbbadbunnya.html Trend Micro : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_BADBUN.A MacAfee : http://vil.nai.com/vil/content/v_142297.htm

Copyright © 1999-2010 Cert-IST | Legal Notice | Sitemap