Le SOS des réseaux sociaux : la semaine des vers en revue

Ne prenez pas les vers pour vos amis

Les réseaux sociaux étant les communautés d’Internet avec l’expansion la plus rapide, ils constituent également le terrain de jeu favori des auteurs de malwares. Facebook, est l’un des réseaux sociaux les plus ciblés, son énorme base de données personnelles attirant les cybercriminels comme un aimant.

Le tristement célèbre ver Koobface a fait son retour sous le nom de « Win32.Worm.Koobface.AOJ ». Une fois installé sur une machine locale, le ver recherche des cookies appartenant à des réseaux sociaux connus tels que Facebook®, Twitter®, Hi5TM, Friendster® et MySpaceTM, entre autres. Mais Koobface réserve bien des surprises, chaque nouvelle version du ver contenant des fonctionnalités supplémentaires conçues à partir de ses anciennes fonctions : capacité à résoudre les tests CAPTCHA, serveurs http installés en local, keylogger, composants pour mettre en ligne des fichiers par ftp, détourner les serveurs DNS (« DNS changer »), et afficher des publicités.

 

Afin de passer d’un compte infecté à un autre, Win32.Worm.Koobface.AOJ envoie des messages à tous les amis des utilisateurs compromis, en se faisant passer pour eux. Le ver a trouvé la solution à l’extrême méfiance dont fait preuve Facebook® lorsque l’on souhaite envoyer de nombreux messages à partir du même compte dans un bref intervalle de temps : il demande à l’utilisateur infecté de faire le test CAPTCHA à sa place. Une fois le test CAPTCHA « vaincu », il poste un lien vers une fausse vidéo YoutubeTM dissimulée avec un service de raccourcissement d’URL (généralement « bit.ly »). Les utilisateurs peu méfiants qui cliquent sur ce lien sont ensuite invités à installer un codec, qui s’avère être le téléchargeur installant et « configurant » le ver Koobface.
 

La famille Koobface est l’une des e-menaces touchant les réseaux sociaux les plus évoluées. Sa capacité à compromettre un grand nombre de réseaux sociaux et ses mécanismes d’infection extrêmement poussés en font une véritable machine de guerre prête à s’attaquer à vos comptes de réseaux sociaux.
Win32.Worm.Prolaco.G est le deuxième candidat prêt à vous gâcher votre navigation sur Internet. Contrairement au ver Koobface, il n’utilise pas les réseaux sociaux pour se diffuser mais de fausses invitations Hi5TM afin de convaincre les utilisateurs de l’exécuter en local. L’e-menace peut également se faire passer pour une réponse de GoogleTM à une candidature ou une fausse carte électronique Hallmark. Ce ver de réseau est extrêmement infectieux : non seulement il essaie de diffuser son code localement, mais il a également recours a un composant d’envoi d’e-mails en masse qui recueille des adresses e-mails sur l’ordinateur et envoie des fichiers à l’extérieur du réseau local.

 

Certains fournisseurs d’e-mails n’autorisant pas l’envoi de formats de fichiers exécutables en pièces jointes afin d’éviter les tentatives volontaires d’infection des destinataires, le ver a été placé dans une archive zip nommée « PostCard.zip » ou « InvitationCard.zip ».
Alors que les utilisateurs peu méfiants ouvrent l’archive, ils se retrouvent face à un fichier exécutable avec une double extension nommé « document.jpg.exe » ou « invitation.chm.exe » (en fonction de la campagne de spam). S’il est exécuté, le ver se copie dans le dossier « Windows System32 » et dépose certains modèles d’e-mails mentionnés précédemment dans le dossier temporaire (à partir duquel ils seront envoyés à la liste de contacts). Win32.Worm.Prolaco.G ajoute une nouvelle entrée au Registre Windows afin d’être lancé automatiquement à chaque démarrage de Windows.
Le ver est cependant plus qu’un simple outil d’envoi de spam. Son véritable objectif est l’installation d’un outil d’accès à distance permettant à un attaquant de prendre le contrôle de la machine infectée et d’utiliser les données qui y sont stockées à sa guise.



Afin de profiter d'Internet en toute sécurité, BitDefender® recommande d'installer et de mettre à jour régulièrement une suite antimalware complète avec une protection antivirus, antispam, antiphishing et pare-feu. Nous recommandons la plus grande vigilance aux utilisateurs lorsqu'il leur est demandé d'ouvrir des fichiers provenant d'emplacements inconnus.
Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.