Le 21 janvier 2014

Doctor Web alerte les utilisateurs sur la propagation via Facebook du Trojan publicitaire Trojan.Zipvideom.1, qui installe sur les ordinateurs des plug-ins pour les navigateurs Mozilla Firefox et Google Chrome. Ces plug-ins affichent des publicités.

Le logiciel malveillant Trojan.Zipvideom.1 pénètre l'ordinateur de la victime sous couvert d'une mise à jour pour Adobe Flash Player. D’après les données recueillies auprès des utilisateurs, les copies de ce Trojan sont distribuées via le réseau social Facebook. Il y a des raisons de croire que l'auteur de ce Trojan parle turc.

Si l'utilisateur accepte la proposition de mettre à jour Adobe Flash Player, le premier composant du Trojan (FlashGuncelle.exe) sera téléchargé sur l'ordinateur, tandis que la fenêtre de mise à jour d’Adobe Flash Player sera affichée sur l'écran.

Puis FlashGuncelle.exe s'adresse au serveur pirate et télécharge sur l'ordinateur de la victime un second composant, un dropper, qui installe et lance encore d’autres composants du logiciel malveillant. Parmi eux, le fichier Flash_Plugin.exe, qui modifie la branche du registre responsable de l'auto démarrage, puis télécharge et installe des plug-ins pour les navigateurs Mozilla Firefox et Google Chrome.

Ces plug-ins empêchent le surf Internet en affichant des publicités, et ils peuvent également télécharger sur l'ordinateur de la victime d’autres logiciels malveillants. L’analyse montre que lors de la visite de sites de réseaux sociaux comme Twitter, Facebook, Google+, " VKontakte " ou de sites comme YouTube, ces plug-ins téléchargent les Java scripts à des fins douteuses.

Pour éviter la contamination par le Trojan.Zipvideom, il est conseillé aux utilisateurs de télécharger les mises à jour de logiciels depuis les sites officiels de leurs éditeurs, ainsi que d’utiliser un antivirus.