Revue hebdomadaire BitDefender – Trojan.Sasfis.A menace les utilisateurs de Facebook

Le cheval de Troie est joint à un e-mail censé provenir de Facebook. Le message de spam annonce à l’utilisateur que la célèbre plateforme a modifié ses conditions d’utilisation (présentées dans la pièce jointe) et que chaque utilisateur doit les consulter et les accepter s’il ne veut pas voir son accès limité. C’est un scénario courant qui exploite la crainte de voir ses droits limités ou d’être poursuivi si on ne répond pas à une demande.

Mais le fichier zip joint contient uniquement un fichier binaire, nommé « agreement.exe » et infecté avec Trojan.Sasfis.A. Le fichier de 20 kilo-octets est un « injecteur », ce qui signifie qu’il télécharge uniquement un fichier dll sur Internet et le copie dans %USERPROFILE%\Local Settings\Temp\[chiffres aléatoires].tmp ou %SYSTEM%\ifmq.kqo. Si le système infecté a Microsoft Office d’installé, le malware tente d’exécuter un script Visual Basic avec automation OLE dans le contexte du processus MS Word.

Trojan.Sasfis.A contient également un composant de mise à jour, ce qui le rend extrêmement dangereux puisqu’un attaquant peut installer à distance des malwares supplémentaires tels que des keyloggers.

Sachez que les entreprises légitimes n’envoient pas de messages avec des pièces jointes, mais informent les utilisateurs des modifications de leur politique lorsque ceux-ci se connectent à leur compte. Nous vous recommandons également d’installer et de mettre régulièrement à jour une solution de sécurité avec des modules antimalwares, anti-phishing et anti-spam.

Article réalisé grâce à l’aimable contribution d’Horea Coriou, spécialiste BitDefender des virus informatiques.