Le Trojan.Spamer.46 dans les réseaux sociaux

Le 7 février 2012

Doctor Web annonce une large propagation du Trojan.Spamer.46, envoyant des publicités pour des sites pirates via les réseaux sociaux Vkontakte, Ondnoklassniki et Moi mir @ Mail.Ru.

Ce trojan est écrit en langage С++, il se propage via les torrents avec un fichier d’installation WinRAR. Suite à l’installation de WinRar, un fichier supplémentaire RarExtr.dll se lance en même temps, et enregistre dans le dossier Windows\System32 le fichier kbdfv.dll contenant le Trojan.Spamer.46.

Ensuite, le trojan cherche parmi les processus lancés, le processus firefox.exe et lorsqu’il le trouve y intègre sa bibliothèque. Puis le Trojan.Spamer.46 filtre le trafic sortant à la recherche des formulaires destinés à l’envoi de messages depuis les sites vkontakte.ru, odnoklassniki.ru et my.mail.ru, et ajoute à ces messages des propositions de consulter un site (pirate) proposant des services de chiromancie payants via SMS.

Doctor Web appelle les utilisateurs à faire attention aux programmes reçus depuis des sources douteuses et à télécharger les logiciels depuis leurs sites officiels.

La signature de cette menace a déjà été ajoutée aux bases virales Doctor Web et ne représente plus de danger pour les utilisateurs des logiciels Dr.Web.