Un cheval de Troie transmis par mail se répand dans le monde

Nom de Zeus Marty, nous ne sommes pas dans le futur, mais en 1999 ! 254
bot malware securite virusUn trojan se répand depuis hier sur la toile, infectant déjà des milliers d'ordinateurs dans le monde. Baptisé "Here You Have", le ver se répand sous plusieurs versions par mail en envoyant des messages à tout le carnet d'adresses des personnes infectées. Un tel mode opératoire n'est pas récent, puisque la dernière grosse attaque de ce type date des années 1999 / 2000, avec le fameux ver ILOVEYOU.

Selon McAfee, ces messages se présentent sous deux formes :

Subject : Here you have   ou   Just For you
Body :
Hello:

This is The Document I told you about,you can find it Here.
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.

Cheers,
ou
 
Hello:

This is The Free Dowload Sex Movies,you can find it Here.
http://www.sharemovies.com/library/SEX21.025542010.wmv

Enjoy Your Time.

Cheers,

here you have trojan
Exemple fourni par Symantec

Ces mails affichent une URL déguisée, qui renvoie en réalité sur le fichier "PDF_Document21_025542010_pdf.scr", hébergé jusqu'à présent sur members.multimania.co.uk. L'URL est pour l'instant désactivée, mais d'autres versions du ver pourraient émerger avec d'autres URL, surtout que le trojan télécharge d'autres fichiers une fois installé.

Le fichier .scr est une variation du ver W32.Imsolk.A@mm. Il est exécutable, et se répand en envoyant un message à tous les contacts email de la victime, par les messageries instantanées, en se copiant sur les autres disques durs installés, sur les ordinateurs du réseau, et sur les supports amovibles branchés.

Le fichier créé des autoruns sur les disques durs et les supports amovibles, pointant vers une copie du trojan nommée open.exe. Dans Windows, il créé un fichier CSRSS.EXE dans le dossier /windows. Il ne faut pas le confondre avec le vrai fichier CSRSS.EXE situé dans le dossier system de Windows. Il se copie aussi à plusieurs endroits sous le nom "N73.Image12.03.2009.JPG.scr".

De plus, une fois installé le ver désactive la plupart des antivirus du marché, qu'ils soient payants ou gratuits, compliquant sa désinstallation. Plusieurs grandes entreprises ont été touchées, et même en France selon des courriers de nos lecteurs.

Norton et McAfee ont publié hier et aujourd'hui les signatures de ce cheval de Troie. Antivir et Avast ne semblent pas l'avoir encore fait. Comme toujours, sous Windows comme sous n'importe quel autre OS, les recommandations sont de ne pas cliquer sur les liens suspects présents dans les mails ou sur Internet, et de garder la base de signatures de son antivirus à jour.