Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

DrWeb : Un Trojan downloader se cache dans les documents Word

août 2015 par DrWeb

Parmi les logiciels malveillants détectés par Dr.Web dans le trafic email, les spécialistes trouvent régulièrement des messages contenant une pièce jointe dangereuse, appartenant à la famille de malwares W97M.DownLoader. Ici, le malware W97M.DownLoader.507est analysé.

W97M.DownLoader.507 représente un document Microsoft Word, distribué en pièce jointe. L’échantillon obtenu par les spécialistes de Doctor Web est distribué sous couvert d’un message FAX, mais les malfaiteurs ont fait une erreur en indiquant une mauvaise date de création du document. Le document est prétendument crypté par RSA. Pour pouvoir en lire le contenu, la victime potentielle est invitée à activer les macros.

Le document contient également une page vide qui contient en réalité du texte tapé en blanc. Le texte devient visible après l’activation des macros.

Une fois le texte visible, le Trojan télécharge des fragments de code depuis un serveur distant. En utilisant ces fragments et en fonction de la version de Windows, il génère des scripts aux formats .bat, .vbs, ou .ps1, les sauvegarde sur le disque de l’ordinateur et les lance. Les scripts téléchargent à leur tour un fichier exécutable et le lancent. Dans le cas présent, il s’agit du malware W97M.DownLoader.507, utilisé pour diffuser le Trojan bancaire Trojan.Dyre.553. Les spécialistes de Doctor Web recommandent aux utilisateurs d’être vigilants et attentifs. Il est conseillé de ne pas ouvrir les pièces jointes contenant un document Microsoft Office des messages provenant d’expéditeurs inconnus sans les avoir scannées avec un logiciel antivirus. Il est également fortement déconseillé d’activer les macros d’un document Word reçu en pièce jointe sans être sûr de son expéditeur.




Voir les articles précédents

    

Voir les articles suivants