malware

Pour infecter votre ordinateur, suivez le guide

Les indications arrivent sous la forme d’un fichier texte zippé accompagnant le fichier de téléchargement d’un cheval de Troie, lui-même dissimulé derrière l’icône standard d’un fichier Excel sur l’ordinateur du destinataire. Dans les cas où le fichier de téléchargement ne s’ouvre pas automatiquement ou est stoppé par le logiciel antivirus du destinataire du message, le fichier readme.txt (lisez-moi.txt) fournit des instructions détaillées sur la manière d’exécuter le code malveillant.

En voici un résumé :

Dans chaque boîte de dialogue, cliquez systématiquement sur Agree/J’accepte : double-cliquez sur le fichier extrait. Cliquez ensuite sur « Agree » (J’accepte), puis sur « Run » (Exécuter). Pour les ordinateurs exécutant Windows 8 ou 10, cliquez sur « More Information » (Plus d’informations) -> « Download anyway » (Télécharger quand même) sur l’écran d’avertissement SmartScreen standard.

Désactivez votre antivirus ou votre pare-feu : les antivirus et les pare-feu peuvent bloquer le téléchargement de fichiers depuis Internet. En cas de problème, ajoutez ce fichier à la liste des exceptions et réessayez. Vous pouvez également désactiver temporairement l’antivirus ou le pare-feu jusqu’à ce que le téléchargement du fichier soit terminé.

« Ils cherchent vraiment à s’assurer que l’utilisateur ira jusqu’au bout de l’infection », souligne Oscar Anduiza, analyste de logiciels malveillants chez Avira. « Ces instructions vont exactement à l’opposé de ce que les utilisateurs devraient faire. »

 

inside_zip

Le fichier readme.txt est rédigé en allemand standard, quelque peu inhabituel, mais n’apparaît en aucun cas comme une traduction automatique. Ceci indique bien que le texte a été rédigé à destination du marché allemand, même s’il est probablement également distribué dans d’autres langues, notamment l’anglais.

malwarereadme

« Ce fichier accorde aux cybercriminels une seconde chance de réussir l’installation du logiciel malveillant, notamment lorsque l’antivirus a bloqué la tentative initiale. Il s’agit là d’un cas de piratage psychologique intéressant, faisant appel à un mode de téléchargement et à un code malveillant plutôt basiques », ajoute O. Anduiza.

Comodo

Les utilisateurs de Comodolf cliquent afin de démarrer un processus d’installation initié à partir d’une fenêtre contextuelle assortie d’un certificat suspect. Ce certificat de présentation officielle et apparemment émis par COMODO donne à son émetteur l’autorisation illimitée d’apporter des modifications au système, en contournant librement le pare-feu et l’antivirus déjà installés.

Le logiciel malveillant télécharge alors un fichier nuisible qui sera par la suite copié à trois emplacements de l’ordinateur.  Un exemplaire est notamment copié dans le dossier Démarrage afin que le code malveillant soit exécuté à chaque démarrage de Windows.

c:\ProgramData\VCFKARJR.com

c:\Users\All Users\VCFKARJR.com

c:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif

Jusqu’au 3 mars, le logiciel malveillant installé était un cheval de Troie bancaire volant les identifiants et informations financières des utilisateurs. Le lien précis peut cependant être modifié et/ou de nouvelles variantes être ajoutées par les cybercriminels sans préavis. Les chevaux de Troie bancaires actuels sont couverts par les outils de détection Avira.

Cet article est également disponible en: AnglaisItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.