Tech

Un cheval de Troie déguisé en Skype

ActualitéClassé sous :Tech , skype , ver

La version 1.4 de Skype est sortie le 10 octobre. Ceci n'a pas échappé à certains concepteurs de programmes malveillants. En effet des mails proposant la mise à jour de ce programme de téléphonie sur IP bien connu commencent à circuler, mais la pièce jointe est un cheval de Troie.

Un cheval de Troie déguisé en Skype

Si l'on tente d'ouvrir cette pièce jointe une fenêtre avec un message "Installation error" ou "The file could not be opened" s'affiche. C'est un leurre pour faire croire que rien ne s'est passé. En fait le cheval de Troie s'est bien installé dans le répertoire du système sous le nom remote.exe, et a modifié la base de registre. Il s'agirait d'une variante d'un malware bien connu : IRCbot.

À partir de ce moment les catastrophes vont commencer à pleuvoir : blocage de l'accès à Windows Update, blocage des partages réseau, tentative de connexion à un serveur IRC, probablement pour transférer des informations relatives à l'ordinateur infecté. Le ver installe une porte dérobée sur le port 5652, ce qui peut permettre à un pirate de prendre le contrôle de l'ordinateur. Bien entendu il tente de s'envoyer en masse vers d'autres adresses de mail en utilisant son propre serveur SMTP, mais il s'installe aussi sous des noms attrayants (allant de Harry Potter à Britney Spears and Eminem porn, en passant par Adobe Photoshop ou Acrobat Reader... il y en a pour tous les goûts) dans des répertoires partagés en P2P de façon à pièger les adeptes du téléchargement.

En fait le sujet du message peut faire clairement référence à Skype :

  • Share Skype.
  • What is Skype?
  • Skype for Windows 1.4 - Have you got the new Skype?
...

ou être très différent :

  • Your Account is Suspended.
  • *DETECTED* Online User Violation.
  • Your Account is Suspended For Security Reasons.
  • Warning Message: Your services near to be closed.
  • Important Notification!
...

En conclusion, ne vous fiez jamais à des mails, même s'il semble s'agir de mails de publicité pour un produit connu : aucun éditeur ne vous proposera une mise à jour sous forme de pièce attachée. Et méfiez-vous de ce que vous téléchargez !

L'alerte a été donnée par Message Labs, un spécialiste de la protection du courrier électronique. Symantec le classe comme ver sous le nom W32.Fanbot.A@mm (alias W32/Fanbot-H Sophos, WORM_FANBOT.A Trend Micro).

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi