Frauder.BI est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique envoyé par MSN-Microsoft, faisant la promotion d'une mise à jour du système Windows XP/Vista.
PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs doivent également mettre à jour le lecteur Flash de leur navigateur afin d'éviter toute exploitation d'une faille de sécurité connue par le cheval de Troie dans le but de s'exécuter automatiquement.
DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter une réinfection. Les utilisateurs peuvent utiliser l'antivirus en ligne pour supprimer Frauder.BI.
DESCRIPTION DETAILLEE : Frauder.BI est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur apparent du message est Microsoft XP (nom masquant en réalité l'adresse électronique du destinataire lui-même).
Le titre du message est cette fois "RE: ® Official Update 2008! ". Le corps du message est un texte au format HTML se présentant comme une lettre d'information signée et envoyée par le service MSN-Microsoft, incitant le destinataire à cliquer un lien hypertexte pour télécharger uen mise à jour de Windows XP ou Windows Vista :
Si le destinataire clique sur le lien, il est dirigé vers une animation Flash malicieuse dont le nom est aléatoire (par exemple 29780274dr0.swf, 94975493lo3.swf, 85195486br8.swf ou 65333834lu5.swf) :
Si cette animation est visualisée, elle tente d'exécuter automatiquement le programme malicieux si le lecteur Flash n'est pas à jour dans ses correctifs de sécurité ou propose d'ouvrir un fichier install.exe. Ce fichier n'est pas une mise à jour mais le cheval de Troie lui-même. S'il est ouvert, il se copie sur le disque dur, puis tente de télécharger et d'installer d'autres programmes douteux ou malicieux, dont le faux logiciel de sécurité Antivirus XP 2008.
Zbot.EBA est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel avec facture en pièce jointe, envoyée par une société commerciale dont La Poste ou la compagnie d'aviation Hawaiian Airlines.
PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur présumé du message puis l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter une réinfection. Les utilisateurs peuvent utiliser l'antivirus en ligne pour supprimer Zbot.EBA.
DESCRIPTION DETAILLEE : Zbot.EBA est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.
Le cheval de Troie se présente sous la forme d'un courrier électronique en français, prétendument envoyé par un employé de La Poste <support@laposte.fr> dont le nom est variable, au sujet d'un colis dont l'adresse destinataire serait erronée. Le titre du message est "Colis postal". Le corps du message incite à ouvrir le fichier joint :
Je vous salue, malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoy le 29er juillet, parce que l?adresse du Destinataire n'existe pas. S'il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli a notre office a l?adresse indiquee a la facture. Consultant Ramon Fernandez, La Poste France
Bon jour, Je vous salue, malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoy le 29er juillet, parce que l’adresse du Destinataire n’existe pas. S'il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli a notre office a l’adresse indiquee a la facture. Consultant Tamara Timmons, La Poste France
Chers Messieurs, malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoy le 29er juillet, parce que l’adresse du Destinataire n’existe pas. S'il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli a notre office a l’adresse indiquee a la facture. Consultant Alisa Collins, La Poste France
Bon matin, malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoy le 29er juillet, parce que l’adresse du Destinataire n’existe pas. S'il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli a notre office a l’adresse indiquee a la facture. Consultant Billie White, La Poste France
Chers clients, malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoy le 29er juillet, parce que l’adresse du Destinataire n’existe pas. S'il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli a notre office a l’adresse indiquee a la facture. Consultant Frances Waller, La Poste France
La pièce jointe est une archive nommée La_Poste_N8832.zip, qui contient un fichier La_Poste_N8832.exe.
Le cheval de Troie peut également se présenter sous la forme d'un courrier électronique en anglais prétendument envoyé par la compagnie d'aviation Hawaiian Airlines, au sujet d'un achat en ligne tout juste réglé. Le titre du message est "Your Flight Ticket N0165906". Le corps du message incite également à ouvrir le fichier joint :
Good afternoon, Thank you for using our new service "Buy airplane ticket Online" on our website. Your account has been created: Your login: [adresse du destinataire] Your password: passTFDD Your credit card has been charged for $608.44. We would like to remind you that whenever you order tickets on our website you get a discount of 10%! Attached to this message is the purchase Invoice and the airplane ticket. To use your ticket, simply print it on a color printed, and you are set to take off for the journey! Kind regards, Hawaiian Airlines
La pièce jointe est une archive nommée Ticket_N141-SK.zip, qui contient un fichier Ticket_N141-SK.exe.
Si le fichier en .EXE est exécuté, le cheval de Troie s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis espionne les frappes entrées au clavier de l'ordinateur contaminé pour tenter de dérober les identifiants d'accès aux sites sécurisés et aux services en ligne tels que les banques.
Exchanger.NB est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique sans fichier joint ayant l'apparence d'une lettre d'information nommée "MSNBC Breaking News".
PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. Il ne faut pas cliquer sur un lien contenu dans un message douteux sans avoir clairement identifié son expéditeur puis lui avoir fait le cas échéant confirmer l'envoi du message. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier d'origine douteuse.
DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et supprimer Exchanger.NB et ses variantes
DESCRIPTION DETAILLEE : Exchanger.NB est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver par courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement.
Le titre du message est "msnbc.com - BREAKING NEWS:", suivi du titre d'une brève d'actualité véridique ou d'une fausse information complètement fantaisiste mais racoleuse. Quelques exemples :
msnbc.com - BREAKING NEWS: I will be suing you
msnbc.com - BREAKING NEWS: Mary-Kate Olsen responsible forHeath Ledger's death
msnbc.com - BREAKING NEWS: Elizabeth Taylor found murdered at home
msnbc.com - BREAKING NEWS: Fredie Mac losses mount, loses billions every month
msnbc.com - BREAKING NEWS: McCain told lies to win votes
Le corps du message est un texte au format HTML se présentant comme une lettre d'information signée et envoyée par le service MSNBC-Microsoft, invitant le destinataire à cliquer sur les liens hypertextes qu'il contient pour en savoir plus. Un exemple de message :
" msnbc.com: BREAKING NEWS: Elizabeth Taylor found murdered at home Find out more at http://breakingnews.msnbc.com ====================================================== See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News. ========================================= This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter newsletter because you subscribed to it or, someone forwarded it to you. To remove yourself from the list (or to add yourself to the list if this message was forwarded to you) simply go to http://www.msnbc.msn.com/id/82076253, select unsubscribe, enter the email address receiving this message, and click the Go button. Microsoft Corporation - One Microsoft Way - Redmond, WA 98052 MSN PRIVACY STATEMENT http://privacy.msn.com (http://privacy.msn.com/>) "
Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Breaking News, Weather, Business, Health, Entertainment, Sports, Politics, Travel, Science, Technology, Local, US & World News - msnbc.com- msnbc.com :" simulant un problème d'affichage et invitant l'utilisateur à télécharger un fichier adobe_flash.exe, censé être une mise à jour du lecteur Adobe Flash, afin de pouvoir accéder au contenu souhaité :
Il ne faut pas cliquer sur les liens du message ni ouvrir le fichier adobe_flash.exe, car il s'agit en réalité d'un programme malicieux. La page web comporte par ailleurs un bouton "Close page" : il ne faut pas non plus tenter d'utiliser ce bouton, car ce dernier ne ferme pas la fenêtre concernée mais déclenche en réalité l'ouverture d'une nouvelle fenêtre intitulée "Antivirus XP 2008", qui affiche de faux résultats d'analyse indiquant que l'ordinateur est infecté, puis qui invite à télécharger un fichier scaner.exe pour y remédier :
Il ne faut pas installer le logiciel Antivirus XP 2008 concerné, car la fausse mise à jour Adobe Flash Player adobe_flash.exe et le faux antivirus scaner.exe sont en réalité un seul et même cheval de Troie.
Les correctifs ont été diffusés hier, mardi 12 août, par le service de mise à jour de Microsoft. Plusieurs de ces vulnérabilités touchaient Office et Internet Explorer.
Joli tir groupé pour Microsoft. Hier, mardi 12 août, l'éditeur a corrigé pas moins de 26 vulnérabilités affectant ses logiciels. L'ensemble de ces correctifs faisait partie de son bulletin de sécurité mensuel.
Les utilisateurs qui ont activé la fonction de mise à jour automatique de leur PC en bénéficient sans avoir rien à faire. Les autres doivent passer par le site Windows Update de l'éditeur.
Six failles critiques
La liste des logiciels concernés comprend Word, Excel, Powerpoint mais aussi Outlook, Windows Mail et les très populaires Internet Explorer et Windows Messenger.
Six de ces failles ont été jugées critiques par Microsoft, c'est-à-dire qu'elles permettent à un pirate d'installer des logiciels malveillants sur les ordinateurs mal protégés et d'en prendre le contrôle à distance. Autant dire que l'installation des patchs est fortement conseillée.
