Un spam diffuse un cheval de Troie déguisé en vidéo Youtube

L’exemple décrit ici est une partie d’une infection par un logiciel malveillant diffusée par un groupe de pirates, appelée suivant les éditeurs de logiciel antivirus Nuwar / Zhelatin / Storm Worm. Elle est réalisée en trois étapes :

  1. le spam invitant à cliquer sur un lien maquillé,
  2. l’affichage de la page Web malveillante et l’activation de son contenu,
  3. et enfin le téléchargement et l’exécution d’un cheval de Troie sur l’ordinateur de l’internaute.

( Voir la définition d’un logiciel malveillant )

Les 3 étapes de l’infection par le cheval de Troie Storm Worm

Le spam contient un lien maquillé

L’éditeur de logiciel antivirus McAfee identifie ce spam comme étant la première étape (W32/Zhelatin.gen!eml) de l’infection W32/Nuwar@MM.

Un spam diffuse un troyen

Le courrier est au format Web et le lien est maquillé : il ne pointe pas sur le site Youtube mais sur une page Web dangeureuse, d’adresse http://98.xxx.xxx.xxx/ . Les pirates utilisent le spam pour répandre leur troyen.

Dans une ancienne version, ce spam dangeureux était au format texte. Il simulait aussi une vidéo à télécharger sur Youtube, par exemple :

<Sujet> OMG, check out the new video
Snoop Dog just cut there new video.
See the cut before it hits MTV. Follow the link to download it: http://64.xxx.xxx.xxx/

où l’adresse, effacée ici, n’a rien à voir avec Youtube.

Des quantités de pages malveillantes ont été créées par les pirates coupables de l’infection par ce logiciel malveillant, ce qui leur a permis de varier leur présentation et leur contenu offensif.

Un pseudo « virus » dans la page Web malveillante

Un cheval de Troie sur la toile

En cliquant sur le lien dans le spam, l’ouverture du site Web dans le navigateur provoque l’exécution d’une série de fonctions (ici des exploits) consistant à chercher une faille de sécurité du navigateur et d’autres applications sur l’ordinateur du visiteur, pour y exécuter un logiciel malveillant, ici un troyen. Le site (ou une partie) appartient aux pirates.

En effet, sans l’intervention du visiteur et à son insu, un code en javascript crypté offensif, contenu dans la page, cherche une faille de sécurité sur le navigateur, sur Windows, ou un autre logiciel sur sa machine.

Un virus dans une page Web

Détecté comme un virus javascript, JS/Dldr.Psyme.GX.3 pour l’éditeur de logiciel antivirus Avira et JS/Downloader-BCZ pour McAfee, ce code est un téléchargeur (downloader), c’est à dire qu’il télécharge des programmes depuis un site vers la machine de l’internautre et les exécute. Un downloader malveillant installe un autre logiciel malveillant, virus ou troyen, ici un cheval de Troie.

Les téléchargeurs ne sont pas des virus puisqu’ils ne se reproduisent pas. Mais ils peuvent eux-mêmes être téléchargés par un virus ou un troyen pour être exécutés sur l’ordinateur du visiteur.

Ils sont contenus dans un spam où les pirates incitent le destinataire à double-cliquer sur le lien qui va les lancer. Ou bien ils sont installés quand l’utilisateur visite une page malveillante, en exploitant une faille de sécurité.

Activation du cheval de Troie (Zhelatin alias Nuwar)

Dès qu’une faille de sécurité est trouvée, le code télécharge et exécute (à votre insu) un cheval de Troie (W32/Nuwar@MM) sur votre ordinateur. Ceci identifie la phase finale de l’infection Nuwar.

Enfin il y a aussi la soi-disante vidéo (video.exe) proposée dans un lien, en réalité un cheval de Troie (WORM/Zhelatin.Gen ou WORM/Zhelatin.HJ) à télécharger et exécuter manuellement, si vous préférez infecter votre machine vous-même 😉

Lire la suite