Un spam diffuse un cheval de Troie déguisé en vidéo Youtube

L’exemple décrit ici est une partie d’une infection diffusée par un groupe de pirates, appelée suivant les éditeurs de logiciel antivirus Nuwar / Zhelatin / Storm Worm. Elle est réalisée en trois étapes :

  1. le spam invitant à cliquer sur un lien maquillé,
  2. l’affichage de la page Web malveillante et l’activation de son contenu,
  3. et enfin le téléchargement et l’exécution d’un cheval de Troie sur l’ordinateur de l’internaute.

Le spam contient un lien maquillé

L’éditeur de logiciel antivirus McAfee identifie ce spam comme
étant la première étape (W32/Zhelatin.gen!eml) de l’infection W32/Nuwar@MM.


Un spam diffuse un troyen

Le courrier est au format Web et le lien est maquillé : il ne pointe pas sur le site Youtube mais sur une page
Web dangeureuse, d’adresse http://98.xxx.xxx.xxx/ . Les pirates utilisent le spam
pour répandre leur troyen.

Dans une ancienne version, ce spam dangeureux était au format texte. Il simulait aussi une vidéo à télécharger sur Youtube, par exemple :

<Sujet> OMG, check out the new video

Snoop Dog just cut there new video.
See the cut before it hits MTV. Follow the link to download it: http://64.xxx.xxx.xxx/

où l’adresse, effacée ici, n’a rien à voir avec Youtube.

Des quantités de pages malveillantes ont été créées par les pirates coupables de cette infection, ce qui leur a permis de varier leur présentation et leur contenu offensif.


Un pseudo « virus » dans la page Web malveillante

Un cheval de Troie sur la toile

En cliquant sur le lien dans le spam, l’ouverture du site Web dans le navigateur provoque l’exécution d’une série de fonctions (ici des exploits) consistant à chercher une faille de sécurité du navigateur et d’autres applications sur l’ordinateur du visiteur, pour y exécuter un troyen. Le site (ou une partie) appartient aux pirates.

En effet, sans l’intervention du visiteur et à son insu, un code en javascript crypté offensif, contenu dans la page, cherche une faille de sécurité sur le navigateur, sur Windows, ou un autre logiciel sur sa machine.

Un virus dans une page Web

Détecté comme un virus javascript, JS/Dldr.Psyme.GX.3 pour l’éditeur de logiciel antivirus Avira et JS/Downloader-BCZ pour McAfee, ce code est un téléchargeur (downloader), c’est à dire qu’il télécharge des programmes depuis un site vers la machine de l’internautre et les exécute. Un downloader malveillant installe un autre malware, virus ou troyen, ici un cheval de Troie.

Les téléchargeurs ne sont pas des virus puisqu’ils ne se reproduisent pas. Mais ils peuvent eux-mêmes être téléchargés par un virus ou un troyen pour être exécutés sur l’ordinateur du visiteur.

Ils sont contenus dans un spam où les pirates incitent le destinataire à double-cliquer sur eux. Ou bien ils sont installés quand l’utilisateur visite une page malveillante, en exploitant une faille de sécurité.


Activation du cheval de Troie (Zhelatin alias Nuwar)

Dès qu’une faille de sécurité est trouvée, le code télécharge et exécute (à votre insu) un cheval de Troie (W32/Nuwar@MM) sur votre ordinateur. Ceci identifie la phase finale de l’infection Nuwar.

Enfin il y a aussi la soi-disante vidéo (video.exe) proposée dans un lien, en réalité un cheval de Troie (WORM/Zhelatin.Gen ou WORM/Zhelatin.HJ) à télécharger et exécuter manuellement, si vous préférez infecter votre machine vous-même ;-).

Lire la suite : on vient de voir une des formes de la menace Storm Worm qui pose problème aux antivirus et anti-troyen et vise à créer un immense réseau de zombis sur le Net.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *