Le message non sollicité invite les utilisateurs à « appliquer une nouvelle configuration » à leur boîte de réception afin de mettre à jour plusieurs « Mises à niveau de sécurité » qui sont disponibles. Le lien de l’e-mail conduit vers une page Web avec les logos de Microsoft® Office® et demande aux utilisateurs de télécharger et de lancer un fichier exécutable censé mettre à jour les paramètres de leur messagerie.

Au lieu de cela, ils reçoivent un puissant « cocktail de malwares » comprenant Trojan.SWF.Dropper.E, nom générique d’une famille de chevaux de Troie au comportement similaire : il s’agit de fichiers Flash qui n’affichent habituellement aucune animation/image particulière mais déposent et exécutent plusieurs fichiers malveillants (en exploitant la vulnérabilité Shockwave Flash de logiciels Adobe). Les fichiers déposés sont susceptibles d’évoluer (différentes variantes peuvent déposer et exécuter différents programmes malveillants).

Les statistiques indiquent une augmentation importante du nombre de fichiers infectés par Trojan.SWF.Dropper.E. Une comparaison entre la première moitié du mois de janvier et la première moitié du mois de décembre révèle une augmentation du nombre total de fichiers infectés de presque 60 %.

Les pays les plus touchés par Trojan.SWF.Dropper.E entre le 1er et le 13 janvier sont les suivants :

Pays / % des systèmes infectés

– États-Unis : 13
– Espagne : 11
– France : 9
– Roumanie : 9
– Canada : 5
– Royaume-Uni : 3
– Australie : 3
– Allemagne : 3
– Thaïlande : 3
– Turquie : 2
– Autres pays : 39

L’attaque comprenait également d’autres malwares prolifiques parmi lesquels :

1) L’un des plus anciens chevaux de Troie - Trojan.Spy.ZBot.EKF, largement utilisé dans la campagne de diffusion de malwares liée au virus AH1N1.

Zbot injecte du code dans plusieurs processus et ajoute des exceptions au Pare-feu Microsoft® Windows®, offrant ainsi des fonctionnalités de backdoor et de serveur aux pirates. Il envoie également des informations sensibles et surveille différents ports, à l’écoute d’une éventuelle exécution distante de commande par des pirates. Les dernières variantes peuvent aussi dérober des informations bancaires, des données de connexion, l’historique des sites Web visités et d’autres éléments saisis par l’utilisateur. Elles prennent également des captures d’écran du bureau de la machine compromise.

2) Exploit.HTML.Agent.AM, qui utilise les vulnérabilités permettant d’exécuter arbitrairement du code en chargeant un objet flash spécialement construit dans une page Web. Une fois qu’une page Web infectée est ouverte, le cheval de Troie crée un objet SWF spécialement conçu permettant l’exécution d’une charge utile (au moment où nous rédigeons cet article, le fichier téléchargé est détecté sous le nom de Trojan.Spy.ZBot.EKG, mais cela est susceptible de changer).

Les données fournies par le système « RTVR », Reporting des Virus en Temps Réel de BitDefender, permettent de se faire une idée de l’importance de la diffusion de ce malware : aux États-Unis, le nombre de fichiers infectés a augmenté de 10 %t pendant la première moitié du mois de janvier, alors qu’en Espagne, l’augmentation a été de plus de 400% en comparaison avec la seconde moitié du mois de décembre.

3) Exploit.PDF-JS.Gen, est le nom générique de fichiers PDF spécialement conçus exploitant différentes vulnérabilités détectées dans le moteur Javascript de PDF Reader, afin d’exécuter du code malveillant sur les ordinateurs des utilisateurs.
Les données de BitDefender indiquent également une progression pour Exploit.PDF-JS.Gen. Les deux premières semaines de janvier ont révélé que les systèmes les plus touchés étaient ceux des États-Unis, de l’Espagne et du Canada.

Afin de profiter d’Internet en toute sécurité, BitDefender recommande aux utilisateurs de ne jamais cliquer sur les liens contenus dans des messages provenant d’expéditeurs inconnus et leur conseille également d’installer et de mettre à jour une solution antimalware complète.