Des pirates utilisent le spam pour répandre des troyens comme des virus (1/2)

Cette année est apparue une nouvelle forme de menace, baptisée Storm Worm (ver de la tempête) : des pirates utilisent massivement le spam pour diriger les internautes vers une page Web malveillante, infectant leur PC avec un des multiples troyens, et créer ainsi un immense réseau de zombis.

Un exemple analysant cette menace en détail : un spam diffuse un cheval de Troie déguisé en vidéo Youtube.


Des spams perfides

Ces spams ciblent des centres d’intérêt divers pour capter l’attention d’un maximum d’internautes : des cartes de voeux, des cartes postales, des vidéos communautaires (Youtube, Dailymotion …), des résultats sportifs … Ils ont tous en commun d’inciter à cliquer sur un lien dirigeant l’internaute vers une page Web malveillante appartenant aux pirates. L’infection peut ainsi menacer la sécurité d’un grand nombre d’internautes, comme le ferait un virus sur internet.

Quelques exemples de sujet

Ici des cartes de voeux :

  • This is a Card for you.
  • You Have An Ecard
  • You’ve received a postcard from a family member!
  • Someone sent you an Ecard
  • You have an E-Card from…?
  • A Digital Card from someone who cares.
  • Your E-Greeting is waiting.

Une soi-disante vidéo Youtube :

  • LOL, that is too cool…..
  • this video rocks
  • OMG, check out the new video

Une fête nationale :

  • The Big Labor Day Weekend
  • A Labor Day E-Card

Les résultats de football américain de la NFL :

  • Football Season Is Here!
  • NFL Season Is Here!
  • Hey who won the game the other night?
Get Your Free NFL Game Tracker

The time has come for... FOOTBALL! Every day, know what you need for every game. Go see out Game data and Stats Page: http://76.xxx.xxx.xxx/

Des jeux à télécharger :

Get free games

No more spending money on online games, get them all for free http://216.xxx.xxx.xxx/

Ces emails ressemblent à du spam mais ils menacent davantage votre sécurité sur internet.


L’infection Storm Worm pose un problème aux antivirus et anti-troyens

Les deux étapes suivant les spams

Après l’étape de diffusion des spams, si l’internaute clique sur un lien dans l’email, son navigateur s’ouvre sur une page Web malveillante appartenant aux pirates.

  • la page Web malveillante cherche une faille de sécurité sur vos logiciels (votre système d’exploitation, navigateur, un plug-in, …)
  • dès qu’une faille est trouvée, le malware télécharge sur votre ordinateur et y exécute à votre insu un troyen, dont la fonction est ici de transformer votre machine en zombi.

Un zombi est un ordinateur relai sur Internet qui servira aux pirates à commettre des malveillances ailleurs.

Storm Worm (le ver de la tempête) existe sous la forme de plusieurs troyens, parmi les plus récents (à la date de publication en bas de page) WORM/Storm.tcq et Storm.tcs, WORM/Zhelatin.Gen et Zhelatin.HJ. Ce n’est pas vraiement un virus puisqu’il ne peut pas se reproduire par lui-même.

Les pirates veulent rendre leur troyen indétectable

Les pirates changent souvent le code de leur troyen pour rester indétectable le plus longtemps possible, dans la mesure où les signatures des antivirus et anti-troyens n’identifient pas immédiatement les nouvelles versions des programmes malveillants. Plusieurs troyens sont diffusés sous de multiples variantes.

Parallèlement, la forme, le contenu du spam et le social engineering (l’incitation à cliquer sur le lien) se diversifiant et se raffinant, il devient de plus en plus difficile de ne pas se faire pièger. Ils font tout pour que leur troyen se répande au maximum comme un worm, un virus sur Internet.

Les techniques de dissimulation

Une des techniques de dissimulation utilisée est d’infecter un exécutable déjà présent dans le « registre de démarrage » (la liste des programmes chargés au démarrage de Windows), en y insérant un code de chargement du troyen, au lieu d’ajouter le programme malveillant au registre. Cela peut permettre de passer inaperçu à certains outils d’administration qui cherchent dans le « registre de démarrage » des programmes suspects. En savoir plus [McAfee Avert Labs Blog]

Les messageries instantanées AOL IM et MSN sont aussi atteintes par plusieurs virus (des vrais virus cette fois) qui incitent aussi à cliquer vers des pages Web dangeureuses.

Lire la suite : un exemple de faux site de football américain de la NFL, les dégâts de Storm Worm et les façons de se protéger.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *