Mytob.DN est un membre de la célèbre famille des vers Mytob, responsables de plusieurs vagues d’attaques à l’échelle planétaire. Mytob.DN est un ver ayant des caractéristiques de backdoor, qui se connecte à un serveur distant, en attente de commandes d’un utilisateur malicieux pour mener certaines actions sur l’ordinateur affecté. Il télécharge également sur le PC un autre malware détécté par Panda sous la signalement Faribot.A. Il modifie par ailleurs le fichier HOSTS de l’ordinateur, de telle sorte que les utilisateurs ne peuvent plus accéder aux sites web de sociétés éditrices d’antivirus.

Ce ver se propage à la fois en tirant partie de la vulnérabilité LSASS qu’il tente d’exploiter en lançant des attaques sur des adresses IP générées aléatoirement, que via l’application MSN Messenger, en utilisant Faribot.A. Mytob.DN peut également se propager via email, dans un message rédigé en anglais sous différents formats, envoyé aux adresses collectées sur l’ordinateur affecté.

Gorgs.A est un cheval de Troie ayant des caractéristiques de keylogger (espion-clavier). Une fois installé sur le système, il utilise toute une série de ressources pour tenter de passer inaperçu aux yeux des utilisateurs. Ainsi, sur les ordinateurs fonctionnant sous Windows 9x, Gorgs.A utilise une fonction lui permettant de ne pas afficher son processus dans le Gestionnaire des tâches, tandis que sur les ordinateurs tournant sous Windows 2000/XP, il s’injecte dans le processus système EXPLORER.EXE pour cacher sa présence vis à vis de l’utilisateur. Si ce cheval de Troie ne réussit pas à mener ces actions, il continue de fonctionner sur l’ordinateur, bien qu’étant visible. Une fois exécuté, il intercepte toutes les saisies au clavier de l’utilisateur et les enregistre dans un fichier. Lorsque ce fichier atteint une certaine taille, il est envoyé par email à une adresse ayant un nom de domaine russe. Comme à l’accoutumée avec les chevaux de Troie, Gorgs.A ne peut pas se propager par ses propres moyens et requiert une distribution manuelle via d’autres canaux.

PGPCoder.A initie une nouvelle tendance dans les malwares avec ce qu’il convient d’appeler le “ransom-ware” (“logiciel de rançon“), c’est à dire un logiciel malicieux dont la finalité est d’obtenir de l’argent par l’extorsion. Dans ce cas précis, le cheval de Troie encrypte les fichiers portant certaines extensions : DOC (documents Word), JPG (images), XLS (classeurs Excel), HTML (pages web), ou encore les formats de compression courants, ZIP et RAR. Ensuite, PGPCoder.A crée un fichier TXT dans chaque répertoire où il a encrypté un fichier. Ce fichier texte contient une explication sur l’action menée par le cheval de Troie et demande à l’utilisateur de payer 200$ pour pouvoir récupérer ses fichiers, indiquant même une adresse mail pour prendre contact. Enfin, PGPCoder.A crée deux clés dans le registre Windows : une pour s’assurer qu’il est exécuté à chaque démarrage du système, et une deuxième pour superviser la progression du cheval de Troie sur l’ordinateur infecté, comptant le nombre de fichiers ayant été “traités“ par le code malicieux.