Xmco Partners : Un faux centre de sécurité Microsoft sur votre machine ?
octobre 2008 par XMCO PARTNERS
CA Security Advisor Research Blog
– Date : 21 Octobre 2008
– Description :
Le laboratoire de recherche de la société (40$) vient d’identifier un nouveau virus.
Ce dernier a la particularité de ne pas compromettre la machine ciblée, mais d’utiliser plusieurs moyens afin de convaincre la victime d’acheter un logiciel également malicieux nommé "WinDefender 2008".
Une fois le premier virus exécuté, ce dernier s’installe au sein du répertoire "c :\windows\system32\seccenter.exe". Lors de l’accès au Centre de Sécurité du système (Windows XP, 2003, Vista..), ce dernier est alors exécuté et affiche une erreur sous l’onglet "Virus" (voir référence [2]).
Le Centre de Sécurité propose alors de télécharger "WinDefender 2008".
De plus, une barre d’outil est ajoutée à Internet Explorer et propose, à chaque visite d’un site web, de télécharger également le même logiciel. Enfin, les pages d’erreur 404 d’Internet Explorer sont elles aussi modifiées pour afficher la phrase "Install WinDefender2008" (voir capture [3]).
Les pirates pourraient avec le premier virus forcer le téléchargement de ce faux antivirus. Cependant, les auteurs préfèrent pousser la victime à télécharger ce logiciel de son plein gré afin d’éviter toute suspicion, le but de cette attaque étant d’inciter à acheter le logiciel antivirus (40$) après une période d’essai...
– Vulnérable :
[2]
– Référence :
[1] http://community.ca.com/blogs/securityadvisor/archive/2008/10/14/two-good-looking-windows-security-centers-one-fake-one-real.aspx
[2] http://community.ca.com/blogs/securityadvisor/1a%20Fake%20Security%20Center.bmp
[3] http://community.ca.com/blogs/securityadvisor/1a%20Fake%20Download%20Error%20-%20Windefender2008.bmp
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1224581392