Le 16 mai 2012

Doctor Web annonce la mise à jour de Scanning Engine pour les logiciels mono utilisateur Dr.Web Antivirus et Dr.Web Security Space 7.0.

La mise à jour corrige l'erreur qui apparaissait lors du fonctionnement de Scanning Engine sous Windows dans les pays de l’Asie de l’Est.

La mise à jour sera automatique pour les utilisateurs, mais il sera nécessaire de redémarrer l'ordinateur.

Le 15 mai 2012

Doctor Web informe les utilisateurs de la propagation d’un logiciel malveillant capable d’infecter les archives RAR, il s’agit du ver Win32.HLLW.Autoruner.64548, capable de télécharger des fichiers exécutables malveillants depuis un serveur distant pirate.

Le programme malveillant Win32.HLLW.Autoruner.64548 se propage de la même façon que de nombreux autres vers : il crée une copie de lui-même sur le disque et la sauvegarde dans le dossier racine autorun.inf, cette copie lance le ver. Lorsque Win32.HLLW.Autoruner.64548 se lance sur le PC, il cherche les archives RAR sur les disques et s'enregistre dans ces archives, en utilisant un des noms suivants : secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. Dans certains cas, les archives se détériorent suite à cette modification.

De plus, le ver intègre un payload et un fichier exécutable, ce dernier étant installé dans le dossier Windows sous le nom de bibliothèque mssys.dll. Le programme malveillant inscrit le lien vers cette bibliothèque dans la base de registre. Le ver intègre le payload dans une copie de son propre processus. Ensuite, le programme malveillant se connecte au serveur distant et attend des commandes pour télécharger ou lancer les fichiers exécutables.

Win32.HLLW.Autoruner.64548 représente une catégorie assez rare de programmes malveillants capable d’infecter les archives RAR. Lors de la décompression des archives RAR, il est recommandé de vérifier si des fichiers suspects ne sont pas apparus à l'intérieur : leur lancement pourrait nuire au PC. La signature de cette menace a été ajoutée aux bases virales Dr.Web.

Le 14 mai 2012

Doctor Web annonce le lancement de la version bêta, 7.0, de l'utilitaire de traitement Dr.Web CureIt!, un outil connu et reconnu permettant l’analyse et la désinfection du PC, qui propose les mêmes avantages que les solutions payantes d'autres éditeurs. L'utilitaire protège notamment le PC contre les Trojan « encodeurs » et est entièrement compatible avec n’importe quel antivirus déjà installé sur le poste.

Cet utilitaire réunit les technologies les plus modernes pour assurer la sécurité de l’utilisateur et vaincre les menaces, même les plus dangereuses.

La version bêta de l’utilitaire Dr.Web CureIt! 7.0 n’est pas une mise à jour ordinaire, mais une solution de nouvelle génération parmi les instrument de lutte contre les menaces informatiques. La version 7.0 possède un sous-système de scan permettant d’assurer un scan multi flux et bénéficie de tous les avantages des processeurs multi-cœur. L’utilitaire est compatible avec les OS les plus récents, ce qui augmente la rapidité du scan et rend le logiciel plus confortable et facile à utiliser pour l'utilisateur. Son fonctionnement est plus stable et la probabilité qu’il entraîne l’apparition d’un BSOD (écran bleu de la mort) est quasi inexistante.

L’interface utilisateur a été totalement retravaillée. Pour la première fois, un sous-système de recherche des rootkits est intégré à l’utilitaire, ce sous-système étant déjà utilisé dans les logiciels Dr.Web Antivirus et Dr.Web Security Space 7.0. Le scan avancé offre encore plus d’options : désormais, l’utilisateur peut scanner séparément la mémoire vive, les secteurs de démarrage, les objets autorun etc. La version bêta prévoit la possibilité d’interrompre la connexion au réseau lors du scan ainsi que d’éteindre le PC à la fin du scan.

La version bêta de Dr.Web CureIt! 7.0 permet d’effectuer un scan du BIOS pour détecter les Bioskit, programmes malveillants infectant le BIOS du PC. Les spécialistes de Doctor Web conseillent aux utilisateurs de faire un scan de leur PC avec la version bêta pour détecter ces programmes malveillants. Pour participer aux bêta tests, veuillez télécharger Dr.Web CureIt! 7.0 sur le site de Doctor Web.

Le 14 mai 2012

En avril 2012, Doctor Web a annoncé la découverte du botnet Win32.Rmnet.12 enrôlant plus d’un million de PC. Ces dernières semaines les spécialistes de Doctor Web ont constaté la propagation d’une nouvelle modification du virus: Win32.Rmnet.16. La « nouveauté » principale de cette nouvelle version du trojan est la signature numérique qui est utilisée par l’adresse IP du serveur distant, les modules du programme ayant également été mis à jour par les pirates. La plupart des cas d’infections par Win32.Rmnet.16 se trouvent en Grand Bretagne et en Australie.

Le virus Win32.Rmnet.16 est écrit en langage С et Assembler, et contient plusieurs modules. L’injecteur qui intègre le virus dans l’OS fonctionne de la même façon que celui de Win32.Rmnet.12: il s’intègre dans les processus du navigateur, sauvegarde dans un dossier temporaire son driver et le lance en tant que service de Microsoft Windows Service, ensuite il copie tout le corps du virus dans le dossier temporaire et dans le dossier autorun avec un nom aléatoire et l'extension .exe.

Les fonctionnalités du module backdoor sont les mêmes que celles du module backdoor dans Win32.Rmnet.12. Ce composant est capable de traiter des commandes reçues d’un serveur distant, y compris celle de télécharger et de lancer des fichiers, de mettre à jour le virus, d’envoyer des captures d’écran et même de rendre l’OS inopérant.

Mais il existe également des différences : Win32.Rmnet.16 possède une signature numérique utilisée par l’adresse IP du serveur distant, les adresses des serveurs de gestion ne se trouvent plus dans les ressources de l’application malveillante, mais elles sont générées selon un algorithme spécial. De plus, le module de backdoor est capable d’arrêter les processus des logiciels les plus répandus : ce qui prouve encore une fois le danger du programme malveillant.

Les composants du virus et les fichiers de configuration téléchargés par le backdoor sont sauvegardés dans un fichier codé avec une extension.log, le nom du fichier est généré en fonction des informations trouvées sur le PC. Ce fichier se trouve dans le dossier %APPDATA%. Le module de la bibliothèque modules.dll télécharge des données depuis le fichier .log et les traite dans la mémoire vive du PC, ceci permet d'éviter le décodage sur le disque dur des données utilisées par le virus.

Comme l'ancienne version, la nouvelle version, Win32.Rmnet.16 est capable d'écrire dans le MBR et de sauvegarder les fichiers sur le disque sous forme codée. Suite au redémarrage de l’OS, la gestion est transmise au MBR qui à son tour lit et décode les modules malveillants dans la mémoire avant de les lancer. Ce composant du virus porte le nom : MBR.Rmnet.1. Il est à noter que les logiciels Dr.Web permettent de restaurer le MBR modifié par Win32.Rmnet.

Parmi d’autres modules téléchargés par Win32.Rmnet.16 depuis les serveurs de gestion, il faut noter le composant Ftp Grabber v2.0, qui est sensé voler les mots de passe depuis les clients FTP, c’est un module espion contenant également d’autres composants.

L’infecteur de la nouvelle version du virus, téléchargé depuis le serveur distant, est polymorphe. Le virus infecte tous les fichiers exécutables comportant l’extension .exe et les bibliothèques dynamiques avec l’extension .dll, y compris celles du système, mais à la différence de Win32.Rmnet.12, la nouvelle version n’est pas capable de faire une copie d’elle-même sur les périphériques amovibles.

Les spécialistes de Doctor Web étudient attentivement le comportement d’un des réseaux Win32.Rmnet.16. Selon les données recueillies, au 11 mai 2012, ce réseau botnet compte 55 310 PC infectés, où plus de la moitié (55,9%) se trouvent en Grand Bretagne. A la deuxième place, avec 40% des PC, arrive l’Australie, qui est suivie par les Etats-Unis et la France (1,3%), moins de 1% des PC se trouvent en Autriche, en Iran, en Inde et en Allemagne. La plupart des infections se situent à Londres (5747 PC ou 10,4%), puis Sydney (3120 PC ou 5,6%), ensuite les villes australiennes Melbourne (2670 PC ou 4,8%), Brisbane (2323 PC, ou 4,2%), Perth (1481 PC, ou 2,7%) et Adelaïde (1176 PC ou 2,1%). Environ 1,5% des PC infectés se trouvent à Birmingham et Manchester, en Angleterre. Voici un schéma illustrant la géographie du botnet formé par Win32.Rmnet.16 .

La géographie du botnet Win32.Rmnet.16

Le 14 mai 2012

Doctor Web annonce la sortie du logiciel Dr.Web pour Qbik WinGate 6.00.1. La nouvelle version embarque le noyau antivirus Dr.Web Virus Finding Engine et les bases virales 7.0, la version en cours de Scanning Engine et d'autres améliorations.

De nouvelles technologies ont été intégrées au noyau antivirus Dr.Web Virus Finding Engine 7.0, notamment l'analyse de la structure entropique des fichiers et ScriptHeuristic, permettant de chercher et d’analyser les menaces dans les documents HTML et PDF. D’autres avantages clés du nouveau noyau sont l’augmentation significative de la rapidité de scan et la gestion dynamique de la mémoire prenant en compte la productivité du système et la charge sur l’OS. Les recherches dans les bases antivirus sont désormais effectuées en tenant compte de la syntaxe du langage JavaScript.

De plus, le module Antispam ajoute dans les objets des messages la phrase DrWeb-SpamReason, avec le niveau de probabilité pour que le message soit du spam. L'erreur provoquant des problèmes lors du scan du trafic a été corrigée, l'erreur entraînant un chemin incorrect vers les bases virales mises à jour dans le fichier ini de l'antivirus a été corrigée.

Pour utiliser Dr.Web pour Qbik WinGate 6.00.1 il convient de désinstaller la version en cours et d’installer la nouvelle version en utilisant le fichier d'installation mis à jour.

Le 14 mai 2012

Doctor Web annonce la mise à niveau du noyau antivirus Dr.Web Virus Finding Engine vers la version 7.0.2 dans les produits monoposte Dr.Web Antivirus et Dr.Web Security Space en versions 6.0 et 7.0, dans les produits de la gamme Dr.Web Desktop Security Suite, Dr.Web Server Security Suite (excepté Dr.Web pour serveurs de fichiers Novell Netware), Dr.Web Mail Security Suite, Dr.Web Gateway Security Suite sans option de gestion centralisée, au sein du service Internet AV-Desk, des utilitaires de désinfection Dr.Web CureIt! et Dr.Web CureNet!, ainsi que dans les outils de secours et de restauration du système Dr.Web LiveCD/LiveUSB.

Le noyau renouvelé a été complété par une procédure d'analyse heuristique des secteurs d'amorçage du disque. Les erreurs liées à la fuite de mémoire ont été corrigées ainsi que certains problèmes survenant lors de l'analyse des fichiers apk (dex) et bzip2.

Pour les utilisateurs de Dr.Web, la mise à jour sera automatique.

Le 11 mai

Doctor Web annonce la mise à jour du service de test à distance de logiciels Dr.Web LiveDemo. Désormais, les utilisateurs peuvent accéder au réseau de test avec les logiciels Dr.Web préinstallés et préconfigurés. Le service est encore plus facile à utiliser.

Dr.Web LiveDemo permet aux utilisateurs de tester en ligne les capacités des logiciels Dr.Web, notamment Dr.Web Enterprise Suite, Dr.Web pour les serveurs de messagerie Unix, Dr.Web pour MS Exchange, Dr.Web Mail Gateway, Dr.Web pour les passerelles Internet Unix, ainsi que Dr.Web Office Shield. La nouvelle version offre encore plus d’opportunités et rend Dr.Web LiveDemo plus convivial et facile à utiliser.

Désormais, le service propose un réseau virtuel avec les solutions Dr.Web préinstallées et préconfigurées. Ceci permet notamment d’utiliser Dr.Web LiveDemo pour présenter les logiciels aux clients ou pour effectuer des formations. Le test du logiciel est facilité car il n’est plus nécessaire d’utiliser pour cela son propre réseau.

Des guides de test ont été ajoutés pour Dr.Web pour MS Exchange et Dr.Web pour passerelles Internet Unix , ainsi qu’un guide utilisateur en anglais et en français.

A propos de Dr.Web LiveDemo

Le service de test à distance de logiciels Dr.Web LiveDemo permet de diminuer les risques d’apparition de problèmes lors de l’utilisation des logiciels antivirus, d’évaluer le logiciel avant de l’acheter, d’acquérir les bonnes pratiques d’installation et d’intégration du logiciel avant de le faire dans le réseau local de l’entreprise, ainsi que de pratiquer la migration vers de nouvelles versions du logiciel.

download.drweb.fr/live_demo/about

Le 5 mai 2012

Doctor Web annonce l’apparition d’un nouveau schéma d'escroquerie dans le réseau social Facebook. Les pirates agissent d’après un schéma déjà été utilisé dans les réseaux sociaux russes Vkontakte et Odnoklassniki. Ils ont créé une application spéciale pour Facebook appelée Profile Visitor qui requiert l’accès au Mur de l’utilisateur et lui propose de voir qui a visité sa page. En réalité, l'application publie une image et un lien vers une page pirate. Les amis de l’utilisateur victime reçoivent également un message leur indiquant qu’ils apparaissent sur l'image, un moyen de propager l’application malveillante en espérant que le plus d’utilisateurs possible cliqueront sur le lien.

Un utilisateur peut voir dans son fil d’actualité, sur sa page Facebook, un lien, (sensé, comme le veut Facebook, être publié par un de ses amis) vers l’application Profile Visitor, soi-disant capable d’enregistrer et de lui indiquer les visiteurs de son profil sur une page web spécifique. Pour activer l’application, il faut l’autoriser à publier du contenu sur le compte de l’utilisateur. Dès lors que ce dernier clique sur « Autoriser », un lien vers l'application sera publié sur son mur, et dans le fil d’actualité de ses amis. Même si l'utilisateur n'accorde pas l’accès, l’application envoie à tous ses amis un message leur indiquant qu’ils sont taggés sur une « image », en fait une bannière pour Profile Visitor.

Ensuite, le navigateur ouvre automatiquement une page web malveillante contenant un tableau dynamique de liens. En cliquant sur un de ces liens, l’utilisateur sera redirigé vers un site pirate en fonction de son adresse IP. Certaines de ces pages pirates demanderont les données bancaires de l’utilisateur pour accéder au site ou bien d’entrer son numéro de téléphone portable dans un formulaire puis un code reçu par SMS dans le champ approprié. Cette méthode est surtout utilisée contre les utilisateurs russes, le numéro de téléphone permettant d’abonner l’utilisateur à un service payant.

Parmi ces liens, se trouvent notamment des sites de fausses loteries, des casinos en ligne, des tests psychologiques, des services de régimes alimentaires individuels etc. Tous ces sites sont automatiquement bloqués par Dr.Web SpIDer Gate.

Ces schémas ont déjà été utilisés de nombreuses fois contre les utilisateurs des réseaux sociaux russes Vkontakte et Odnoklassniki, et les pirates semblent maintenant décidés à attaquer les utilisateurs d’autres pays.

Doctor Web appelle les utilisateurs de Facebook à ne pas installer Profile Visitor et à ne pas cliquer sur les liens liés à cette application publiés dans leur fil d’actualité .

Le 5 mai 2012

Doctor Web a déjà annoncé la propagation importante, via du spam, du programme malveillant Trojan.Matsnu.1 codant les données. Voici une étude détaillée de son principe de fonctionnement et les conseils à suivre pour éviter l’infection par le Trojan.Matsnu.1.

Le trojan est écrit en langage Assembler et se propage dans les archives des pièces jointes, le message contenant le nom du destinataire dans l’objet. Si l’utilisateur ouvre l’archive et l’application, le trojan lance svchost.exe et y enregistre le code du virus. Ainsi, toutes les actions malveillantes du Trojan.Matsnu.1 sont effectuées via le module svchost. Ensuite, le trojan sauvegarde sa copie avec une extension .pre dans un dossier temporaire Windows, lance cette copie et supprime le fichier de départ.

En fonction du numéro de série du disque dur, le Trojan.Matsnu.1 crée un numéro d’identification de l’ordinateur infecté (PCID). Ce numéro est utilisé comme code de cryptage pour les connexions avec le serveur distant des pirates.

Après son installation, le trojan affiche à l'écran un message d’erreur de l’application Acrobat Reader: «Error: Could not write value Folders to key», tandis que la copie du module du trojan est sauvegardée dans Windows\system32 sous un nom contenant le numéro du disque dur ainsi que des symboles aléatoires. Le chemin vers le module est le paramètre Userinit dans le registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\. Il est à noter que le Trojan.Matsnu.1 n’effectue pas cette étape dans les systèmes 64- bits.

Une autre copie du trojan se trouve dans le dossier %AppData%\ligne au hasard\, dont le chemin est enregistré dans les branches de la base de registre relatives à l'auto démarrage des applications. Ensuite, après de multiples lancements de l'utilitaire reg.exe avec différents arguments, le Trojan.Matsnu.1 désactive le lancement de l’ordinateur en mode sécurisé et bloque le lancement des utilitaires taskmanager.exe, regedit.exe, msconfig.exe.

Les fichiers graphiques nécessaires pour assurer la communication entre le trojan et l’utilisateur sont téléchargés depuis un serveur distant sous forme d'archive CAB. C'est la copie du trojan dans le dossier Windows qui se connecte avec le serveur des pirates. Les fichiers graphiques sont extraits avec un utilitaire, extrac32.exe. Si la connexion n’est pas établie tout de suite, les demandes de connexion sont envoyées toutes les 20 minutes. Si l'archive a été ouverte avec succès, le Trojan.Matsnu.1 sauvegarde les images dans le fichier de configuration, il crée une clé de décodage et l’envoie au serveur des pirates, puis il cherche à coder tous les fichiers sur l’ordinateur infecté. La clé de décodage n’est pas enregistrée sur le PC infecté. Si le téléchargement de l'archive depuis le serveur distant a échoué, le Trojan.Matsnu.1 pourra coder les fichiers s'il obtient une commande du serveur distant, après le redémarrage de l'ordinateur. Le trojan modifie les noms des fichiers selon le modèle : locked-filename. <random>, ou filename — est le nom d’origine du fichier et <random> — sont quatre symboles au hasard.

Suite au redémarrage de Windows c’est soit la copie du Trojan.Matsnu.1, se trouvant dans %AppData%\ligne au hasard\, soit celle de Windows\system32 qui se lance. Sur l'écran de l'ordinateur, une image de l'archive téléchargée est affichée.

Ces messages annoncent à l’utilisateur que son PC a été bloqué en raison d’une soi-disant violation de la loi. Les pirates demandent de payer une amende, en réalité donc, une rançon. Le paiement doit être effectué via Ukash ou PaySafeCard.

En même temps que le trojan affiche le message à l’utilisateur, il attend de recevoir des commandes depuis le serveur des pirates :

• Supprimer tous les fichiers sur les disques durs ;
• Télécharger un programme malveillant depuis le site et le lancer ;
• Télécharger et afficher d’autres images pour communiquer avec l’utilisateur ;
• Sauvegarder sur le disque un fichier exécutable et de le lancer en tâche de fond ;
• Décoder les fichiers (la clé est envoyée depuis le serveur des pirates avec la commande);
• Coder de nouveau les fichiers avec une nouvelle clé;
• Mettre à jour la liste des serveurs;
• Mettre à jour le module principal du trojan.

Prenant en compte la multiplicité des actions qu’il peut effectuer, il convient de rester vigilant envers le potentiel malveillant du Trojan.Matsnu.1. Un grand nombre d’utilisateurs en Europe et en Amérique latine ont déjà souffert de cette menace. Afin d’aider les utilisateurs victime de ce trojan, Doctor Web a développé un utilitaire spécial pour décoder les fichiers, l'utilitaire est disponible gratuitement sur son site.

Pour éviter la pénétration du Trojan.Matsnu.1 sur les ordinateurs et les conséquences d'une telle infection, il est recommandé d’observer ces quelques règles.

• Ne pas ouvrir les pièces jointes provenant de sources non fiables.
• Sauvegarder régulièrement ses données.
• Si les fichiers sont codés, ne rien supprimer et ne pas désinstaller l'OS.
• Si le message affiché par le trojan ressemble à un de ceux cités dans cette news, essayer l’utilitaire gratuit Doctor Web.
• Si cela n’a pas marché, les utilisateurs peuvent s’adresser au Laboratoire de Doctor Web gratuitement pour faire analyser un fichier suspect.

Le 3 mai 2012

Doctor Web annonce l’apparition de nouveaux programmes malveillants ciblant Android et utilisant les droits root.

Les nouveaux trojan se propagent via des sites proposant des logiciels pour Android. Les programmes malveillants utilisent pour leur propagation le principe des poupées russes (ils sont classés par Dr.Web comme Android.MulDrop.origin.3), ainsi l'application téléchargée contient encore un fichier, fichier apk qui est codé. La première application est un dropper, permettant d’introduire puis décompresser et installer un programme malveillant.

Il est important de préciser que pour dropper, les pirates choisissent des applications comme des utilitaires systèmes, des « tweaks » etc. La raison en est évidente : pour ce genre d’applications, les droits d'administrateur sont nécessaires. Suite à son lancement, l'application demande l'accès root et l'utilisateur accepte sans réfléchir.

Après avoir reçu les droits nécessaires, Android.MulDrop.origin.3 décode le fichier apk et le sauvegarde dans /system/app/ sous le nom ComAndroidSetting.apk, ce dernier étant également un dropper avec un fichier apk (il est classé par Dr.Web comme Android.MulDrop.origin.4). Celui-ci est activé après le lancement de l'OS, il décode son fichier apk qui est aussi un trojan-downloader et est classé par Dr.Web comme Android.DownLoader.origin.2.

Android.DownLoader.origin.2 possède une fonction d’autorun, suite au lancement de l’OS, il se connecte au serveur distant pirate et reçoit une liste d’applications à télécharger et installer. La liste peut contenir des applications inoffensives et des programmes malveillants.

Il faut noter que le 28 avril 2012, les spécialistes de Doctor Web ont découvert une autre version de dropper. Android.MulDrop.origin.2, comme Android.MulDrop.origin.3, se propage via les sites proposant des logiciels mais il fonctionne autrement. Le trojan, suite à son lancement, cherche à sauvegarder sur la carte mémoire le fichier apk qu’il décode à l’avance. En même temps, il affiche un message Android Patch 8.2.3 dans le panneau de notifications. Si l’utilisateur clique sur le message, le trojan commence son installation, mais les pirates ont fait une erreur dans le dropper et il ne peut pas sauvegarder le fichier sur la carte mémoire.

S’il n’y avait pas d’erreur, le trojan-downloader Android.DownLoader.origin.1, grâce à la fonction autorun, aurait pu s'installer dans le système et se connecter au serveur à chaque fois que l’utilisateur allume son mobile et recevoir un fichier de configuration xml avec une liste d’applications qu'il doit télécharger dans le système. Sur les mobiles sans droits root, cette action nécessite une intervention de l'utilisateur tandis que les utilisateurs des mobiles avec des droits root ne remarqueraient même pas toutes les actions du trojan.

L’analyse menée par Doctor Web a montré que les auteurs d’Android.MulDrop.origin.2 sont les auteurs d’Android.MulDrop.origin.3. Nous pouvons supposer qu’Android.MulDrop.origin.2 a été crée pour tester leurs capacités et nouvelles technologies.

Les utilisateurs de Dr.Web pour Android Antivirus + Antispam et Dr.Web 7.0 pour Android Light sont protégés contre ces menaces. Pour minimiser les risques d'infection, Doctor Web appelle les utilisateurs des mobiles Android à rester vigilants envers les applications installées et surtout envers les sources de ces applications. Il est recommandé d'utiliser uniquement le site officiel Google Play (play.google.com).

Le 2 mai 2012

Avril 2012 peut être considéré comme un des mois les plus actifs depuis le début de l’année au niveau des menaces informatiques. Le premier botnet d’une envergure considérable ciblant Mac OS X a été détecté début avril par les spécialistes de Doctor Web. Peu après, Doctor Web a réussi à obtenir le contrôle sur le botnet Win32.Rmnet.12, enrôlant plus d’un million d’utilisateurs sous Windows. Dans la deuxième quinzaine d’avril, les trojans « encoder » ont commencé à envahir l'Europe et le monde entier.

Attaque massive de Macs

Plus de 800 000 ordinateurs Mac OS X ont été surpris par le botnet BackDoor.Flashback.39, qui a également surpris la presse du monde entier et occupé le devant de la scène médiatique durant plusieurs semaines.

Fin mars, le Laboratoire antivirus Doctor Web a pris connaissance des vulnérabilités Java dans Mac OS X. Vu le caractère régulier des informations reçues et la diversité des sources, les analystes ont supposé que le BackDoor.Flashback.39 utilisant les vulnérabilités Java pouvait créer un botnet de Macs. Ce programme malveillant comme de nombreux autres, possède un algorithme intégré de création de noms de domaines utilisés ensuite comme serveurs de gestion. Ceci permet d’assurer la viabilité du botnet et de répartir la charge entre les serveurs de gestion au cas où le trafic des bots devient très important. Ceci a également permis aux analystes de mettre à nu la méthode utilisée par le trojan pour choisir un centre de gestion et d’en créer un « faux » pour obtenir toutes les statistiques ou même prendre le contrôle du botnet. Cette méthode, appelée «sinkhole», est connue dans la communauté des chercheurs en sécurité. Pour vérifier l’hypothèse de l’existence du botnet, les spécialistes Doctor Web ont enregistré, le 3 avril 2012, quelques serveurs de gestion pour BackDoor.Flashback.39. A ce moment, Doctor Web n’imaginait pas détecter un botnet aussi important touchant Mac OS X, compte tenu notamment de la fiabilité et de la sécurité de l’OS. Mais le résultat a surpassé toutes les attentes. Durant les toutes premières heures, les serveurs Doctor Web ont enregistré plus de 130 000 bots, chiffre passé à 550 000 le lendemain et les serveurs de gestion n’arrivaient plus à supporter la charge nécessaire. Le 4 avril, un communiqué de presse signalant la détection du botnet BackDoor.Flashback.39 par Doctor Web a été publié.

Il n'est pas difficile d'attraper une infection comme BackDoor.Flashback.39, il suffit d’avoir activé Java sur le Mac et d'ouvrir un des sites infecté. Les sites infectés peuvent être créés par les pirates ou être des sites déjà piratés auxquels les malfaiteurs ont réussi à obtenir l'accès. La page web charge un applet Java (un micro programme écrit en langage Java) qui sauvegarde un fichier exécutable et un fichier .plist lançant l’application sur le disque dur. Ensuite, launchd reçoit un fichier de configuration, qui permet au trojan de se lancer à l’insu de l’utilisateur. En fait l’utilisateur ne remarque même pas le processus d’infection : il surfe sur Internet sur la page des pirates et son Mac est déjà infecté.

Au départ, Doctor Web ne possédait des informations que sur la partie du botnet utilisant une modification de BackDoor.Flashback, mais le 16 avril 2012, d’autres domaines ont été enregistrés, leurs noms ayant été générés en fonction de la date courante. Les nouveaux domaines ont permis de calculer le nombre exact de bots car ils étaient utilisés par toutes les versions du backdoor.

La plupart des infections concernent les Etats-Unis (56,6%), suivis par le Canada (19,8%), la Grande Bretagne (12,8%), et l’Australie avec 6,1%.

Le 4 avril 2012, Apple a sorti une mise à jour Java pour éliminer la vulnérabilité utilisée par le trojan BackDoor.Flashback, mais si l’ordinateur est déjà infecté, la mise à jour n'assure pas la sécurité des utilisateurs. Le nombre de Macs enrôlés a finalement dépassé 800 000. Doctor Web a réalisé une étude et expliqué les différences de données entre ce que ses avaient trouvé et les informations relayées annonçant une baisse du nombre de Macs enrôlés dans le botnet.

Le trojan BackDoor.Flashback.39 utilise un algorithme complexe pour le choix des noms de domaines de ses serveurs de gestion : les noms de la plupart des domaines sont générés en utilisant les paramètres de configuration intégrés dans les ressources du logiciel malveillant, les autres noms sont fonction de la date courante. Le trojan envoie successivement des requêtes aux serveurs de gestion selon les priorités préconfigurées. La plupart des serveurs de gestion qui ont été enregistrés par Doctor Web début avril étaient ceux que les bots contactaient en premier lieu. Le 16 avril, des domaines supplémentaires ont été enregistrés, leurs noms sont générés en fonction de la date courante. Ces derniers sont utilisés par tous les bots du BackDoor.Flashback.39. L'enregistrement de ces domaines supplémentaires a permis de mieux calculer le nombre de bots, ce qui est reflété clairement dans le schéma. Mais après avoir contacté les serveurs de gestion appartenant à Doctor Web, les trojans lancent une demande à un autre serveur de gestion, 74.207.249.7, appartenant à des inconnus. Ce serveur se connecte avec les bots mais ne ferme pas la connexion TCP. Ainsi, les bots se mettent en mode d'attente de réponse du serveur et n'envoient plus de demandes aux autres serveurs de gestion enregistrés par les spécialistes antivirus. C’est là la raison de l'apparition de statistiques contradictoires de la part de Symantec et de Kaspersky selon lesquelles le nombre de bots sur BackDoor.Flashback.39 diminue considérablement alors que Doctor Web insistait sur l’augmentation du nombre de bots et une tendance peu importante à la diminution. Voici l'image montrant un exemple de connexion TCP avec le serveur de gestion provoquant le plantage des bots sur BackDoor.Flashback.39.

Au 28 avril 2012, 824 739 sont enregistrés dans le botnet BackDoor.Flashback.39 , parmi eux 334 592 bots sont actifs.

BackDoor.Flashback.39 se connecte au serveur de gestion, télécharge un fichier exécutable et l’installe, ce fichier représente un intérêt particulier car l’application peut être lancée en mode administrateur ou pas : le trojan affiche une fenêtre pour entrer le mot de passe administrateur, si l'utilisateur entre le mot de passe, le programme malveillant obtient les droits d’administrateur, mais si le mot de passe n’est pas entré, le trojan fonctionne avec les droits utilisateur en cours. Deux types de serveurs de gestion sont utilisés. Les premiers interceptent les données SERP, dirigent l’utilisateur vers les sites des malfaiteurs, et interceptent également certaines actions de l’utilisateur. Les autres (ci-après deuxième catégorie) envoient des commandes aux bots, ils jouent le rôle de backdoor. Doctor Web a réussi à contrôler les domaines payload des serveurs de gestion BackDoor.Flashback et à analyser les demandes des bots.

Les noms de la plupart des domaines sont générés en utilisant les paramètres de configuration intégrés dans les ressources du logiciel malveillant, les autres noms sont fonction de la date courante. De plus, le nom du domaine de deuxième niveau est le même, tandis que dans les noms des domaines de haut niveau, différentes variantes sont utilisées, comme .org, .com, .co.uk, .cn, .in. Le trojan envoie successivement des requêtes aux serveurs de gestion selon les priorités préconfigurées : une requête GET /owncheck/ ou /scheck/ avec un UUID de Mac infecté dans le champ useragent est envoyé au serveur de gestion. Si le trojan reçoit en réponse SHA1 signé, le domaine correspondant est considéré comme vérifié et il est ensuite utilisé comme serveur de gestion. Les premiers domaines de cette catégorie ont été interceptés par Doctor Web le 12 avril 2012.

Lorsque le programme malveillant a vérifié le domaine de la première catégorie, il recherche les domaines de la seconde catégorie. Le trojan envoie successivement des requêtes GET /auupdate/ aux serveurs de gestion contenant dans le champ useragent des informations détaillées sur l'OS. Si le serveur de gestion ne répond pas correctement, le trojan crée une phrase hashtag http://mobile.twitter.com/searches?q=#<la phrase> en fonction de la date. Par exemple, pour la date du 13.04.2012 , certaines versions du trojan créent une phrase «rgdgkpshxeoa» (cette phrase dépendra de la version du bot). Si un message dans Twitter contient bumpbegin et endbump avec une adresse du serveur de gestion, cette adresse sera utilisée comme nom du domaine. Ces domaines ont été interceptés par Doctor Web le 13 avril, mais dès le 14 avril, ce compte utilisateur dans Twitter était fermé.

Au 13 avril 2012, les serveurs de gestion du premier groupe ont reçu 30 549 requêtes aves des UUID uniques, les serveurs du deuxième groupe ont reçu 28 284 requêtes avec des UUID uniques. Le nombre total de requêtes avec UUID uniques du 12 au 26 avril 2012 est de 95 563. Voici un schéma reflétant d’autres requêtes du 13 avril 2012 :

Peu après avoir détecté le botnet BackDoor.Flashback, Doctor Web a crée une page d’information concernant cette menace. Cette page permet aux utilisateurs Apple de scanner leur Mac. Différentes informations sur le botnet BackDoor.Flashback y sont disponibles, y compris le lien vers un scanner gratuit pour Mac OS Х, permettant d’analyser l'OS et de supprimer le trojan en cas de détection. Doctor Web continue de suivre la situation.

Rmnet, encore un botnet.

Win32.Rmnet.12 est une des menaces principales pour Windows à ce jour selon les informations de Doctor Web. La propagation du virus se déroule via plusieurs modes : tout d’abord via les vulnérabilités des navigateurs permettant d’enregistrer et de lancer des fichiers exécutables au moment du chargement d’une page web. Le virus est capable de rechercher tous les fichiers html se trouvant sur les disques et ajoute dans ces pages un code en langage VBScript. Win32.Rmnet.12 infecte tous les fichiers exécutables ayant une extension .exe et il est capable de faire une copie de lui-même sur les périphériques amovibles. Le virus sauvegarde un fichier autorun et un raccourci vers une application malveillante dans le dossier racine du périphérique. Cette application lance le virus.

Win32.Rmnet.12 est un virus à plusieurs composants et modules capable de se multiplier. Un des modules du virus est un backdoor. Ce module vérifie la vitesse de la connexion Internet en envoyant toutes les 70 secondes des requêtes à google.com, bing.com et yahoo.com, puis il en analyse les réponses. Ensuite, Win32.Rmnet.12 lance un serveur FTP sur le PC infecté et établit une connexion avec le serveur de gestion pour lui envoyer les données sur le PC infecté. Le backdoor peut exécuter les commandes du serveur distant, notamment pour télécharger et lancer des fichiers arbitrairement, se mettre à jour, créer des captures d’écran et les envoyer aux malfaiteurs et même rendre l’OS totalement inopérant.

Un autre composant permet de voler les mots de passe des clients FTP les plus répandus, comme Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP etc. Ces données peuvent ensuite être utilisées par les pirates pour les attaques réseaux et pour placer des objets malveillants sur des serveurs distants. De plus, Win32.Rmnet.12 traite également les cookies, ainsi les pirates peuvent obtenir l’accès à des comptes utilisateurs sur différents sites requérant une authentification, bloquer certains sites et rediriger l’utilisateur vers les pages des pirates. Une des modifications de Win32.Rmnet.12 est capable de réaliser des injections web, ce qui lui permet de voler des données bancaires.

Le botnet enrôlant les PC infectés par Win32.Rmnet.12 a été détecté par les spécialistes Doctor Web en septembre 2011 lorsqu’un exemplaire du premier virus a été traité au Laboratoire. Peu après, les noms des serveurs de gestion se trouvant dans les ressources de Win32.Rmnet.12 ont été décodés. Les spécialistes ont analysé le protocole d’échange des données entre le botnet et les serveurs distants afin de pouvoir établir le nombre de bots dans le réseau et de contrôler leur comportement. Le14 février 2012, les analystes Doctor Web ont utilisé la méthode sinkhole (qui a ensuite été utilisée pour le botnet du trojan BackDoor.Flashback.39) pour détecter les noms de domaines des serveurs distants d’un des réseaux Win32.Rmnet.12, ce qui a permis d’obtenir un contrôle total du botnet. Fin février, un second réseau de Win32.Rmnet.12 est tombé sous le contrôle de Doctor Web. Au départ, le nombre de PC enrôlés dans le botnet Win32.Rmnet.12 n’était pas important et ne comptait que quelques centaines de milliers de bots, mais ce nombre ne cessait d’augmenter. Au 15 avril 2012, le botnet Win32.Rmnet.12 comporte 1 400 520 PC infectés et ce nombre continue d’augmenter rapidement. Voici un schéma reflétant l'augmentation du nombre de bots dans le réseau.

Le nombre le plus important de PC infectés se trouve en Indonésie — 320 014 PC infectés, ce qui représente 27,12% de tous les bots. La deuxième place est occupée par le Bangladesh avec 166 172 PC infectés ou 14,08% des bots. Ensuite c’est le Vietnam (154 415 bots ou 13,08%), l'Inde (83 254 bots ou 7,05%), le Pakistan (46 802 bots ou 3,9%), la Russie (43 153 bots ou 3,6%), l'Egypte (33 261 bots ou 2,8%), le Nigeria (27 877 bots ou 2,3%), le Népal (27 705 bots ou 2,3%) et l’Iran (23 742 bots ou 2,0%). Le nombre de PC infectés est assez important au Kazakhstan (19 773 bots ou 1,67%) et en Biélorussie (14 196 bots ou 1,2%). En Ukraine, le nombre de PC infectés par Win32.Rmnet.12, est de 12 481 ou 1,05% de tous les bots. Un nombre relativement peu important a été détecté aux Etats-Unis, 4 327 bots ou 0,36%. Les deux pays à la fin de la liste sont le Canada (250PC ou 0,02%) et l’Australie (uniquement 46 PC). Un PC infecté a été détecté en Albanie, au Danemark et au Tadjikistan. Voici un schéma géographique du botnet Win32.Rmnet.12.

L’Europe touchée par les « Encoder »

Les européens ont été touchés mi-avril par les trojans encoders et surtout par Trojan.Encoder.94. qui code les fichiers des utilisateurs, notamment les documents Microsoft Office, la musique, les photos, les images, les archives. Après avoir crypté les fichiers, le trojan demande de payer 50 euros ou livres sterling par Ukash ou Paysafecard.

Le trojan possède une interface en anglais mais les cas d’infection ont été enregistré en Allemagne, en Italie, en Espagne, en Angleterre, en Pologne, en Autriche, en Norvège, en Bulgarie, en Croatie, en Suisse, aux Pays Bas, en Slovenie, en Belgique, en France, en Hongrie et en Roumanie et dans d’autres pays. L’Amérique latine a également été touchée. Les spécialistes de Doctor Web ont réussi à décoder les données dans presque 100% des cas.

Fin avril, la propagation de messages spam intitulé «Ute Lautensack Vertrag Nr 46972057» avec une archive zip en pièce jointe nommée Abrechnung ou Rechnung a été enregistrée. Les archives contiennent un trojan Trojan.Matsnu.1 codant les données des utilisateurs après son lancement. Les spécialistes de Doctor Web ont crée un utilitaire permettant de décoder les données gratuitement. Il est disponible à l'adresse suivante: ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe.

Pour les utilisateurs déjà victime du trojan, Doctor Web conseille :

• de s’adresser à la police;
• De ne désinstaller en aucun cas l’OS ;
• Ne supprimer aucun fichier sur le PC;
• Ne pas chercher à restaurer les fichiers soi-même ;
• Envoyer un fichier suspect au support technique de Doctor Web.
• Joindre un fichier .doc ou .txt codé par le trojan à la requête au support ;
• Attendre la réponse d’un analyste viral. Cela peut prendre un certain temps à cause du nombre de demandes.

Pour minimiser les conséquences des infections par le Trojan.Encoder.94 et Trojan.Matsnu.1 il est recommandé de sauvegarder régulièrement ses données.

Autres menaces d’avril 2012

Un nouveau programme malveillant a été ajouté aux bases virales, le Trojan.Spambot.11349, capable de voler les comptes utilisateurs des clients de messagerie (notamment Microsoft Outlook et The Bat!) et les données utilisées par la fonction d'autocompletion des formulaires (champs d'entrées) dans les navigateurs web. Ce trojan se propage via un botnet de backdoors très répandu, Backdoor.Andromeda

Le Trojan.Spambot.11349 possède deux composants : un loader écrit en langage Delphi et une bibliothèque dynamique contenant un payload. Les fonctions de loader consistent à détourner le pare-feu et à installer le payload. Si le loader est lancé depuis un processus dont le nom ne contient pas "vcnost.e", le trojan élimine tous les processus contenant dans leurs noms svcnost, ensuite il se sauvegarde dans un des dossiers sur le disque dur sous le nom svcnost.exe et crée un lien correspondant dans les branches de la base de registre relatives à l'auto démarrage des applications. Ensuite, le Trojan.Spambot.11349 lance une copie de lui-même et si cette copie s'exécute en mode administrateur, le trojan apporte des modifications dans la base de registre afin de détourner le pare-feu Windows, il écrase le fichier hosts en bloquant l’accès de l'utilisateur à des sites d’éditeurs d'antivirus. Enfin, le loader enregistre la bibliothèque dynamique contenant un payload dans la mémoire vive de l'ordinateur puis c'est à elle d'agir.

A partir de là, la bibliothèque vérifie si sa copie est sauvegardée sur le disque, ensuite elle enregistre dans la base de registre une valeur de 9 chiffres aléatoires, qui deviennent un identificateur du bot. Le Trojan.Spambot.11349 sauvegarde la bibliothèque sur le disque pour pouvoir fonctionner avec SSL et la bibliothèque zlib, lui permettant de compresser toutes les lignes de ses commandes. En même temps, une adresse IP parasite se trouve dans le champ HOST des requêtes envoyées par le bot, c'est là le trait caractérisant le Trojan.Spambot.11349 car il n’est pas courant qu’un trojan utilise des bibliothèques dynamiques différentes pour zlib et SSL.

Un autre trait distinctif du Trojan.Spambot.11349 est qu’il envoie une séquence de requêtes à des adresses IP générées par un algorithme spécialisé selon la liste des sous-réseaux contenue dans les ressources du trojan. Ensuite, le trojan se connecte à l’un des trois serveurs de gestion dont les adresses se trouvent dans la bibliothèque sous forme codée, qui lui envoie un fichier de configuration. Si le trojan réceptionne correctement le fichier, il compose une ligne de requête contenant les données volées des comptes utilisateurs Microsoft Outlook et The Bat!, cette demande est compressée par zlib et transmise au serveur de gestion. Lorsque l’OS est infecté, le trojan vérifie s'il peut se servir de l'ordinateur pour envoyer du spam, il cherche à envoyer des spams contenant des symboles pris au hasard. Si l'envoi de spam est réussi, le trojan reçoit depuis le serveur de gestion des instructions pour d'autres envois. Au 24 avril, les messages spam du Trojan.Spambot.11349 étaient de la publicité pour le viagra.

Début avril a vu l’apparition d’un nouveau-venu dans la famille des programmes malveillants, Android.Gongfu. La nouvelle modification du trojan Android.Gongfu a été détectée dans plusieurs applications qui se propagent sur différents sites Android.Gongfu a été détectée dans plusieurs applications qui se propagent sur différents sites (hors Google Play). Elle a notamment été détectée dans le fichier d'installation du jeu très populaire Angry Birds Space.

Les nouvelles modifications d’Android.Gongfu utilisent la vulnérabilité d’Android leur permettant d'augmenter leurs droits jusqu’au root à l’insu de l’utilisateur. L'application malveillante propose à l'utilisateur un guide d'installation (de cette application) permettant de la lancer en mode administrateur. Le guide d'installation affirme que ceci est nécessaire pour son fonctionnement et ses mises à jour. Lorsqu’Android.Gongfu est lancé avec les droits d'administrateur, il peut pénétrer dans les processus Android, y compris ceux qui assurent le bon fonctionnement de l'OS. Le trojan est capable de transmettre des informations sur le téléphone aux pirates, d'exécuter les commandes du serveur distant et d’installer des applications à l’insu de l’utilisateur.

Les pirates profitent de la préoccupation des utilisateurs concernant la sécurité de leurs mobiles. Les malfaiteurs créent de la publicité proposant de scanner le mobile, un des sites représente notamment une fausse icône de Dr.Web Security Space 7.0 et l’interface du programme. En copiant l’interface, les pirates ont oublié des détails, le faux « antivirus » détecte notamment sur Android un Trojan.Carberp.60 qui en fait est une menace pour Windows. Si l’utilisateur accepte d'éliminer la menace, le trojan Android.SmsSend est téléchargé sur le mobile.

Toutes les menaces ci-dessous sont facilement détectées par le logiciel Dr.Web mais il est nécessaire de rester vigilant et ne pas lancer les programmes provenant de sources inconnues.

Fichiers malveillants détectés dans le courrier électronique en avril 2012

Fichiers malveillants détectés sur les PC des utilisateurs en avril 2012

Le 27 avril 2012

Doctor Web continue à étudier le premier botnet important crée par BackDoor.Flashback touchant Mac OS X. Nous avons notamment étudié les objets que le trojan télécharge depuis les serveurs des malfaiteurs et lance sur les Mac.

Nous vous rappelons que BackDoor.Flashback.39 utilise les vulnérabilités Java, sauvegarde un fichier exécutable et un fichier lançant l’application sur le disque dur. Ensuite, launchd reçoit un fichier de configuration, qui permet au trojan de se lancer à l’insu de l’utilisateur. BackDoor.Flashback.39 se connecte au serveur de gestion, télécharge un fichier exécutable et l’installe. Ensuite, le trojan affiche une fenêtre pour entrer le mot de passe administrateur, si l'utilisateur entre le mot de passe, le programme malveillant obtient les droits d’administrateur, mais si le mot de passe n’est pas entré, le trojan fonctionne avec les droits d’utilisateur en cours. Les droits d’utilisateur sont suffisants pour assurer le fonctionnement du trojan.

Deux types de serveurs de gestion sont utilisés. Les premiers interceptent les données SERP, dirigent l’utilisateur vers les sites des malfaiteurs, et interceptent également certaines actions de l’utilisateur. Les autres (ci-après deuxième catégorie) envoient des commandes aux bots, ils jouent le rôle de backdoor. Doctor Web a réussi à contrôler les domaines payload des serveurs de gestion BackDoor.Flashback et à analyser les demandes des bots.

Les noms de la plupart des domaines sont générés en utilisant les paramètres de configuration intégrés dans les ressources du logiciel malveillant, les autres noms sont fonction de la date courante. De plus, le nom du domaine de deuxième niveau est le même, tandis que dans les noms des domaines de haut niveau, différentes variantes sont utilisées, comme .org, .com, .co.uk, .cn, .in. Le trojan envoie successivement des requêtes aux serveurs de gestion selon les priorités préconfigurées : une requête GET /owncheck/ ou /scheck/ avec un UUID de Mac infecté dans le champ useragent est envoyé au serveur de gestion. Si le trojan reçoit en réponse SHA1 signé, le domaine correspondant est considéré comme vérifié et il est ensuite utilisé comme serveur de gestion. Les premiers domaines de cette catégorie ont été interceptés par Doctor Web le 12 avril 2012.

Lorsque le programme malveillant a vérifié le domaine de la première catégorie, il recherche les domaines de la seconde catégorie. Le trojan envoie successivement des requêtes GET /auupdate/ aux serveurs de gestion contenant dans le champ useragent des informations détaillées sur l'OS. Exemple d’une telle requête :

20|i386|9.8.0|4DE360BE-E79E-5AD6-91CF-D943761B3785|6bbbbfb49b1659ebaaadffa20215bfc787577bd8|001|007|0

Où :

1. est la version de bot
2. est l’architecture (hw.machine)
3. est la version du noyau (kern.osrelease)
4. est l’UUID
5. est SHA1 de payload
6. est un masque de navigateurs internet supplémentaires
7. est une constante
8. signifie les droits (les privilèges) du bot : 0 — utilisateur, 1 — administrateur.

Si le serveur de gestion ne répond pas correctement, le trojan crée une phrase hashtag http://mobile.twitter.com/searches?q=#<la phrase> en fonction de la date. Par exemple, pour la date du 13.04.2012 , certaines versions du trojan créent une phrase «rgdgkpshxeoa» (cette phrase dépendra de la version du bot). Si un message dans Twitter contient bumpbegin et endbump avec une adresse du serveur de gestion, cette adresse sera utilisée comme nom du domaine. Ces domaines ont été interceptés par Doctor Web le 13 avril, mais dès le 14 avril, ce compte utilisateur dans Twitter était fermé.

Au 13 avril 2012, les serveurs de gestion du premier groupe ont reçu 30 549 requêtes aves des UUID uniques, les serveurs du deuxième groupe ont reçu 28 284 requêtes avec des UUID uniques. Le nombre total de requêtes avec UUID uniques du 12 au 26 avril 2012 est de 95 563. Voici un schéma reflétant d’autres requêtes du 13 avril 2012 :

Le 27 avril 2012

Le 26 avril 2012, Doctor Web a annoncé une importante propagation de spam malveillant avec une pièce jointe capable de coder les fichiers de l'utilisateur. Les spécialistes de Doctor Web ont développé un utilitaire permettant de décoder les fichiers. L’utilitaire est gratuit.

Le message électronique en allemand, dont le titre contenait le nom de déstinataire. Le message contient en pièce jointe une archive zip intitulée Abrechnung ou Rechnung. Si l'utilisateur lance l'archive, les fichiers de son PC sont codés.

Il s’agit du Trojan.Matsnu.1. Le support technique a reçu plus de 50 demandes d’utilisateurs en 48 heures, majoritairement allemands.

Les spécialistes de Doctor Web ont élaboré un utilitaire permettant de décoder les données. L’utilitaire est gratuit. Si les données restent codées après son utilisation, adressez-vous au Laboratoire Doctor Web pour faire analyser un fichier suspect à la rubrique « Soumettre un fichier suspect ». Ce service est gratuit.