Un cheval de Troie transmis par mail se répand dans le monde
Nom de Zeus Marty, nous ne sommes pas dans le futur, mais en 1999 !
Un trojan se répand depuis hier sur la toile, infectant déjà des milliers d'ordinateurs dans le monde. Baptisé "Here You Have", le ver se répand sous plusieurs versions par mail en envoyant des messages à tout le carnet d'adresses des personnes infectées. Un tel mode opératoire n'est pas récent, puisque la dernière grosse attaque de ce type date des années 1999 / 2000, avec le fameux ver ILOVEYOU.Selon McAfee, ces messages se présentent sous deux formes :
Subject : Here you have ou Just For you
Body :
Hello:
This is The Document I told you about,you can find it Here.
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf
Please check it and reply as soon as possible.
Cheers,
Body :
Hello:
This is The Document I told you about,you can find it Here.
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf
Please check it and reply as soon as possible.
Cheers,
ou
Hello:
This is The Free Dowload Sex Movies,you can find it Here.
http://www.sharemovies.com/library/SEX21.025542010.wmv
Enjoy Your Time.
Cheers,
This is The Free Dowload Sex Movies,you can find it Here.
http://www.sharemovies.com/library/SEX21.025542010.wmv
Enjoy Your Time.
Cheers,
Exemple fourni par Symantec
Ces mails affichent une URL déguisée, qui renvoie en réalité sur le fichier "PDF_Document21_025542010_pdf.scr", hébergé jusqu'à présent sur members.multimania.co.uk. L'URL est pour l'instant désactivée, mais d'autres versions du ver pourraient émerger avec d'autres URL, surtout que le trojan télécharge d'autres fichiers une fois installé.
Le fichier .scr est une variation du ver W32.Imsolk.A@mm. Il est exécutable, et se répand en envoyant un message à tous les contacts email de la victime, par les messageries instantanées, en se copiant sur les autres disques durs installés, sur les ordinateurs du réseau, et sur les supports amovibles branchés.
Le fichier créé des autoruns sur les disques durs et les supports amovibles, pointant vers une copie du trojan nommée open.exe. Dans Windows, il créé un fichier CSRSS.EXE dans le dossier /windows. Il ne faut pas le confondre avec le vrai fichier CSRSS.EXE situé dans le dossier system de Windows. Il se copie aussi à plusieurs endroits sous le nom "N73.Image12.03.2009.JPG.scr".
De plus, une fois installé le ver désactive la plupart des antivirus du marché, qu'ils soient payants ou gratuits, compliquant sa désinstallation. Plusieurs grandes entreprises ont été touchées, et même en France selon des courriers de nos lecteurs.
Norton et McAfee ont publié hier et aujourd'hui les signatures de ce cheval de Troie. Antivir et Avast ne semblent pas l'avoir encore fait. Comme toujours, sous Windows comme sous n'importe quel autre OS, les recommandations sont de ne pas cliquer sur les liens suspects présents dans les mails ou sur Internet, et de garder la base de signatures de son antivirus à jour.
Jeff
le 10 septembre 2010 à 11:03
(48 143
lectures)
Actualités et brèves relatives
- 08 / 03 / 2010 : Un cheval de Troie dans le chargeur de batteries Energizer DUO USB
- 26 / 02 / 2010 : Rogueware: attention aux faux Microsoft Security Essentials 2010
- 18 / 12 / 2009 : Nouvelle vulnérabilité 0-day dans Acrobat et Adobe Reader (màj)
- 31 / 08 / 2009 : PoC : un trojan pour espionner les échanges VoIP (Skype, etc.)
- 15 / 06 / 2009 : Sophos détecte un ver et un cheval de Troie pour Mac OS X
- 20 / 12 / 2007 : Un nouveau cheval de Troie détourne les pubs de Google Ads
- 20 / 11 / 2007 : Un nouveau cheval de Troie infecte Windows Live Messenger
- 23 / 07 / 2001 : Attention au virus W32.Sircam !
