L'époque où les malwares étaient diffusés principalement sous forme de mail est derrière nous car ils utilisent maintenant d'autres voies. Ceci rend d'autant plus nécessaire une alerte si cette méthode est à nouveau employée. C'est en effet ce que fait le cheval de Troie Exchanger.

au sommaire


    MSNBC Breaking News : danger d'infection !

    MSNBC Breaking News : danger d'infection !

    Le piège se présente sous la forme d'une lettre d'information envoyée par mail intitulée msnbc.com - BREAKING NEWS. Attention : ce mail ne contient aucune pièce jointe, contrairement à ce qui se pratiquait dans les anciennes infections. Son corps contient l'annonce d'une information parfois véridique, parfois totalement inventée, qui semble émaner de MSNBC-MicrosoftMicrosoft. Il invite à cliquer sur un lien pour avoir plus d'informations.

    On aboutit alors à une page qui semble bien être celle du service MSNBC, sauf qu'il apparaît une petite fenêtrefenêtre d'alerte invitant à faire une mise à jour du lecteur FlashFlash en chargeant le fichier adobe_flash.exe. C'est là qu'est le piège car ce fichier est, bien entendu, un cheval de Troie qui entre dans la catégorie des Trojan Downloaders. C'est à dire qu'installé sur l'ordinateur il permet le téléchargement d'autres malwares.

    Pris d'un doute un lecteur un peu soupçonneux pourra se méfier de cette invitation à télécharger un programme. Il remarquera alors un bouton Close page, mais c'est en réalité un autre piège S'il clique sur ce bouton il verra en effet s'ouvrir une nouvelle fenêtre intitulée Antivirus XP 2008 qui l'avertira que des infections ont été trouvées sur l'ordinateur (ce qui est faux) et qui proposera le téléchargement d'un antivirus sous la forme d'un fichier scaner.exe. En réalité ce fichier est le même cheval de Troie que adobe_flash.exe. Ce type de fausse détection est un piège classique qu'on rencontre dans de nombreux autres cas.

    Ce malware semble faire partie d'une famille connue depuis pas mal de temps, seul son mode de diffusiondiffusion étant nouveau. Sa diffusion est assez active car à titre personnel, j'ai déjà reçu une dizaine d'exemplaires d'un message de ce type, correspondant à deux variantes A et B. Heureusement il a été détecté dès son arrivée d'une part par l'antispam, d'autre part par l'antivirus.

    Si vous avez malencontreusement ouvert ce message et suivi le lien qu'il indique il ne vous reste plus qu'à faire désinfecter votre ordinateur.

    Mise à jour

    Une petite expérimentation sur diverses versions reçues montre que les sites sur lesquels ont été mises les premières pages piégées ont été fermés par les hébergeurs, complices involontaires de cette opération. Dans une version reçue hier le lien vers le site piégé dirige directement... sur le vrai site MSNBC ! Ceci semble indiquer que des mesures correctives ont été prises au niveau des DNS eux-mêmes.

    Mais c'est une lutte où l'agresseur a toujours un temps d'avance car les pages piégées semblent avoir été réparties sur un grand nombre de serveursserveurs. Pour preuve la capture d'écrancapture d'écran réalisée aujourd'hui. L'antivirus utilisé, bien que mis à jour plusieurs fois dans la journée est dépassé lui aussi. Il ne détecte plus les derniers mails reçus. Ils sont toutefois identifiés comme spamspam aussi bien par mon antispam que par celui d'Orange.

    Image du site Futura Sciences

    L'image ci-dessus montre la copie d'écran d'une des versions de la fausse page de MSNBC. La page de MSNBC est parfaitement imitée mais on voit clairement dans la barre d'adresse que le serveur n'est pas le bon.

    Dans cette version le bouton Close page n'existe pas mais le code de la page a tellement bien pris le contrôle du navigateurnavigateur qu'il est impossible de fermer la page ou le navigateur lui-même en cliquant sur la case de fermeture (la croix dans le coin supérieur droit). On est donc fortement tenté de cliquer sur OK ou Annuler, ce qu'il ne faut surtout pas faire. La seule solution pour Windows est de passer par le Gestionnaire des tâches (Ctrl-Alt-Suppr) pour terminer la tâche correspondante.