May
03
Classé sous:
ALERTES
Un ver extrêmement agressif s’attaque aux messageries instantanées
03 mai 2010
Une nouvelle variante de Palevo affecte les systèmes non protégés via des faux liens vers des galeries de photos.
Au lieu d’ouvrir ce qui est censé être un ensemble d’images, les utilisateurs sont invités à enregistrer un faux fichier JPG, qui est en fait un exécutable contenant la charge utile malveillante Worm.P2P.Palevo.DP.
Palevo.DP cause des dommages aux systèmes non protégés qu’il infecte. Il commence par créer plusieurs fichiers cachés dans le dossier Windows : mds.sys, mdt.sys, winbrd.jpg, infocard.exe et modifie certaines clés de registre pour qu’elles pointent vers ces fichiers afin de neutraliser le pare-feu du système d’exploitation.
Comme les autres membres de sa famille, Palevo.DP dispose d’un composant de type backdoor qui permet aux attaquants distants de prendre le contrôle total de l’ordinateur compromis pour y installer d’autres malwares, voler des fichiers, lancer des campagnes de spam et des attaques de malwares sur d’autres systèmes.
La famille Palevo est également capable d’intercepter des mots de passe et d’autres données sensibles entrées dans les navigateurs web Mozilla® Firefox® et Microsoft® Internet Explorer®, ce qui la rend extrêmement dangereuse pour les internautes utilisant des services bancaires en ligne ou faisant des achats sur Internet.
Le mécanisme de diffusion comprend également l’infection de partages réseau et de supports de stockage amovibles USB, où il crée des fichiers autorun.inf pointant vers sa copie. Lorsqu’un disque amovible ou une carte mémoire sont insérés dans des ordinateurs ayant la fonction d’exécution automatique activée ou non protégés par une solution de sécurité d’analyse à l’accès, le système est automatiquement infecté.
Les vers Palevo affectent les utilisateurs de plateformes de partage P2P telles qu’Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule et LimeWire, en ajoutant leur code aux fichiers partagés.
Nous recommandons aux utilisateurs d’être extrêmement prudents et de ne cliquer sur aucun lien reçu via des clients de messagerie instantanée sans avoir vérifié auprès de l’expéditeur la validité des sites Web vers lesquels ces liens pointent. Cette offensive du ver Palevo est extrêmement agressive et nous avons assisté au début de cette attaque à des taux d’infection dépassant largement les 500% par heure pour des pays comme la Roumanie, la Mongolie ou l’Indonésie.
Article réalisé grâce à l’aimable contribution de Bogdan Timofte, spécialiste BitDefender des menaces informatiques.
Tous les noms de produits et d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.
Le dernier-né de la famille Palevo se diffuse ces jours-ci via une vague massive de spam de messagerie instantanée générée de façon automatique. Le message non sollicité incite les destinataires à cliquer sur un lien accompagné d’un smiley souriant, censé les diriger vers une image ou une galerie de photos.
Figure 1 – Le message de spam reçu via messagerie instantanée diffusant Palevo
Au lieu d’ouvrir ce qui est censé être un ensemble d’images, les utilisateurs sont invités à enregistrer un faux fichier JPG, qui est en fait un exécutable contenant la charge utile malveillante Worm.P2P.Palevo.DP.
Figure 2 –Le faux fichier .JPG est en fait un fichier .EXE diffusant le ver
Palevo.DP cause des dommages aux systèmes non protégés qu’il infecte. Il commence par créer plusieurs fichiers cachés dans le dossier Windows : mds.sys, mdt.sys, winbrd.jpg, infocard.exe et modifie certaines clés de registre pour qu’elles pointent vers ces fichiers afin de neutraliser le pare-feu du système d’exploitation.
Comme les autres membres de sa famille, Palevo.DP dispose d’un composant de type backdoor qui permet aux attaquants distants de prendre le contrôle total de l’ordinateur compromis pour y installer d’autres malwares, voler des fichiers, lancer des campagnes de spam et des attaques de malwares sur d’autres systèmes.
La famille Palevo est également capable d’intercepter des mots de passe et d’autres données sensibles entrées dans les navigateurs web Mozilla® Firefox® et Microsoft® Internet Explorer®, ce qui la rend extrêmement dangereuse pour les internautes utilisant des services bancaires en ligne ou faisant des achats sur Internet.
Le mécanisme de diffusion comprend également l’infection de partages réseau et de supports de stockage amovibles USB, où il crée des fichiers autorun.inf pointant vers sa copie. Lorsqu’un disque amovible ou une carte mémoire sont insérés dans des ordinateurs ayant la fonction d’exécution automatique activée ou non protégés par une solution de sécurité d’analyse à l’accès, le système est automatiquement infecté.
Les vers Palevo affectent les utilisateurs de plateformes de partage P2P telles qu’Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule et LimeWire, en ajoutant leur code aux fichiers partagés.
Nous recommandons aux utilisateurs d’être extrêmement prudents et de ne cliquer sur aucun lien reçu via des clients de messagerie instantanée sans avoir vérifié auprès de l’expéditeur la validité des sites Web vers lesquels ces liens pointent. Cette offensive du ver Palevo est extrêmement agressive et nous avons assisté au début de cette attaque à des taux d’infection dépassant largement les 500% par heure pour des pays comme la Roumanie, la Mongolie ou l’Indonésie.
Article réalisé grâce à l’aimable contribution de Bogdan Timofte, spécialiste BitDefender des menaces informatiques.
Tous les noms de produits et d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.
Copyright 2011. Proposé par Bitdefender