Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Du spam utilisant le nom du service de livraison UPS circule avec un trojan

juin 2012 par Doctor Web

Doctor Web informe de la propagation d’un spam au nom du service de livraison UPS,
permettant au trojan Trojan.Inject1.4969 de pénétrer sur le PC. Ce programme
malveillant est capable de voler des informations, de télécharger des applications depuis
des serveurs distants et d’exécuter les commandes des malfaiteurs.

Depuis le 21 juin 2012, les utilisateurs reçoivent des messages
électroniques provenant soi-disant de la part du service de livraison UPS. Le message dit que la
livraison s’est avérée impossible et l’utilisateur doit télécharger la pièce jointe, une archive zip, pour
fournir une adresse correcte à UPS. L’archive zip contient un fichier exécutable avec une icône
Microsoft Word. Si l’affichage de l’extension des noms de fichiers n’est pas activé, l’utilisateur ouvrira
la pièce jointe sans se rendre compte que c’est un programme malveillant.

Suite à son lancement, le trojan Trojan.Inject1.4969 sauvegarde une copie de lui-même dans le
dossier Application Data du compte utilisateur Windows, il supprime le fichier d’installation et
sauvegarde une copie de lui-même dans la branche du registre relative à l’auto démarrage des
applications. Ensuite, le Trojan.Inject1.4969 lance explorer.exe, il y intègre son propre code et
cherche à s’intégrer dans tous les processus en cours. Après avoir intégré son code dans les
processus explorer.exe, iexplore.exe ou firefox.exe, le trojan établit une connexion http avec les
serveurs distants dont les adresses sont inscrites dans le code du trojan. Pour crypter ses requêtes, le
trojan utilise les fonctions standards de MS Windows CryptoAPI.

Le Trojan.Inject1.4969 collecte les informations sur l’utilisateur (sur le compte utilisateur lancé) et
vole les cookies des navigateurs Mozilla Firefox et Internet Explorer, ceci permettant théoriquement
aux malfaiteurs d’obtenir l’accès aux comptes de l’utilisateur sur différents sites web. De plus, sur la
machine infectée, le trojan peut exécuter de nombreuses commandes reçues des serveurs de
gestion, comme rediriger les requêtes à l’interpréteur de commande Windows, télécharger, lancer et
même envoyer aux malfaiteurs des fichiers depuis le PC infecté, effectuer une recherche de fichiers
sur les disques, communiquer au serveur distant la liste des fichiers contenus dans un dossier
spécifié.

Doctor Web appelle encore une fois les utilisateurs à rester vigilants en ouvrant les pièces jointes
dans les messages électroniques. Certaines de ces pièces jointes peuvent être dangereuses.


Voir les articles précédents

    

Voir les articles suivants