Le trojan Scob vole votre numéro de carte bancaire

Scob est un trojan (cheval de Troie) découvert le 24.6.2004, dont le but final est de voler vos code utilisateur/mot de passe et numéro de carte bancaire au moment où vous les saisissez, pour les envoyer à un pirate.

Désinfection


Pour éviter d’être infecté, il faut appliquer un correctif de sécurité : voir « En savoir plus (ailleurs) – Ce que vous devez savoir sur Download.Ject ».

Ensuite il faut mettre à jour votre antivirus avec la dernière base de signatures de virus.

Vous pouvez aussi utiliser un anti-trojan.

Infection par le trojan Scob

L’infection se produit en deux temps. Scob est un trojan (cheval de Troie) qui exploite une faille de sécurité sur les serveurs Web IIS pour modifier toutes les pages du site Web visé : il ajoute sur chacune un petit programme (en javacript) qui est un téléchargeur comme on va le voir.

Ensuite quand un visiteur d’un site infecté affiche dans son navigateur une page (avec le javascript activé), le petit programme en télécharge un autre, à partir d’un site pirate et l’installe sur l’ordinateur du visiteur à son insu, en exploitant une faille de sécurité d’Internet Explorer.

Ce second programme malveillant de type « espion », identifié sous le doux nom de Padodor, est un keylogger dont le but est d’espionner les frappes au clavier de la victime pour enregistrer ses code utilisateur/mot de passe et numéro de carte bancaire, quand elle les tape dans une application (connexion à Internet, navigateur, logiciel de messagerie …). Ces informations sont stockées dans un fichier sur l’ordinateur de la victime, pour être envoyé plus tard à un pirate.

Les sites infectés l’ont été manuellement, sous réserve de plus d’informations.

Ce qui est sûr, c’est que la seconde étape ne peut pas être faite sans la visite d’un serveur infecté avec le javascript actif dans le navigateur. Il est confirmé par plusieurs experts en sécurité que seul Internet Explorer est concerné par Scob et utiliser un autre navigateur est une solution pour éviter plusieurs types de menace.

Aucune information n’est disponible concernant le nom des serveurs Web et le nombre d’internautes infectés.

Scob n’est pas un virus, mais un cheval de Troie

Scob n’est pas un virus puisqu’il ne peut pas se reproduire par lui-même. C’est un cheval de Troie qui télécharge et installe un programme malveillant sur l’ordinateur de la victime. Ce programme malveillant se trouvait sur un serveur pirate. Avant la mise la mise hors service rapide de ce site pirate (le jour même de sa découverte), plusieurs variantes de programmes malveillants ont pu être identifiées (en plus du keylogger Padodor).

Comme son nom l’indique, le keylogger Padodor ne laisse pas de trace flagrante de son exécution sur l’ordinateur de la victime. Il est très difficile de le détecter sans utiliser un antivirus à jour ou un anti-trojan.

Le troyen Scob est aussi connu sous les noms JS.Scob.Trojan, JS/Scob, JS.Toofer, JS/Exploit-DialogArg.b, Download.Ject.