Revenir vers la liste d'actualités
Le 12 mars 2013
Les malfaiteurs piratent les pages web via le protocole FTP, ils se connectent sur les pages en utilisant des login et des mots de passe déjà volés. Ensuite, ils utilisent un interpréteur de commandes shell pour modifier le fichier .htacess et sauvegarder sur la page un script malveillant. Lorsque l’utilisateur ouvre une page, il voit des liens redirigeant vers plusieurs applications malveillantes. C'est de cette manière que les Trojan.Hosts ont été diffusés récemment.
Mais ce n’est pas le seul moyen de propagation de ce trojan. Les malfaiteurs organisent des « programmes partenaires » pour rémunérer les personnes les aidant à diffuser le Trojan.Hosts. Ainsi, les trojan peuvent être transmis via des backdoors ou des downloader.
Nous vous rappelons que l’objectif principal des Trojan.Hosts est de modifier le fichier hosts, se trouvant dans Windows, et gérant la transformation des adresses réseau (NAT). Ainsi, l'utilisateur ouvrant une page infectée est redirigé vers une autre page web, gérée par les malfaiteurs.
Début 2013, cette menace est devenue épidémique. En janvier et en février, environ 9 500 cas d’infections étaient détectés par jour. En mars, le niveau de propagation a baissé, à titre d'exemple, le 11 mars, nous avons détecté 7 658 cas d'infections (ces chiffres sont calculés sur la base du nombre de modifications du contenu des fichiers hosts sur les ordinateurs infectés) .
La plupart des modifications du Trojan.Hosts sont détectées avec succès par le logiciel Dr.Web ; de plus, Dr.Web 8.0 prévoit un mécanisme de protection du fichier hosts contre les modifications par les programmes malveillants, voir : Outils → Gestion → Protection préventive → Niveau du blocage des actions suspectes → Mode utilisateur : ici il suffit de passer en mode Administrateur et les modifications du fichier hosts seront bloquées automatiquement.
Les adresses IP des sites piratés sont entrées dans les bases Dr.Web, et sont bloquées par Dr.Web SpIDer Gate. Si l’antivirus a bloqué l’accès à une page web d’un site très consulté (très connu), nous vous conseillons de lancer une analyse des disques durs sur votre PC.
Si vous n’êtes pas utilisateur Dr.Web, nous vous conseillons d’utiliser l’utilitaire gratuit Dr.Web CureIt! et si nécessaire de modifier le contenu du fichier Windows\System32\Drivers\etc\hosts, pour supprimer toutes les inscriptions en trop.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments