Le 12 mars 2013

Doctor Web informe les utilisateurs d’une nouvelle vague de piratage de pages web afin de faire télécharger sur les PC des utilisateurs le Trojan.Hosts. L’épidémie a commencé début 2013. En janvier et en février, environ 9 500 cas d’infections étaient détectés par jour. En mars, le Trojan.Hosts infecte environ 8 000 ordinateurs tous les jours.

Les malfaiteurs piratent les pages web via le protocole FTP, ils se connectent sur les pages en utilisant des login et des mots de passe déjà volés. Ensuite, ils utilisent un interpréteur de commandes shell pour modifier le fichier .htacess et sauvegarder sur la page un script malveillant. Lorsque l’utilisateur ouvre une page, il voit des liens redirigeant vers plusieurs applications malveillantes. C'est de cette manière que les Trojan.Hosts ont été diffusés récemment.

Mais ce n’est pas le seul moyen de propagation de ce trojan. Les malfaiteurs organisent des « programmes partenaires » pour rémunérer les personnes les aidant à diffuser le Trojan.Hosts. Ainsi, les trojan peuvent être transmis via des backdoors ou des downloader.

Nous vous rappelons que l’objectif principal des Trojan.Hosts est de modifier le fichier hosts, se trouvant dans Windows, et gérant la transformation des adresses réseau (NAT). Ainsi, l'utilisateur ouvrant une page infectée est redirigé vers une autre page web, gérée par les malfaiteurs.

Début 2013, cette menace est devenue épidémique. En janvier et en février, environ 9 500 cas d’infections étaient détectés par jour. En mars, le niveau de propagation a baissé, à titre d'exemple, le 11 mars, nous avons détecté 7 658 cas d'infections (ces chiffres sont calculés sur la base du nombre de modifications du contenu des fichiers hosts sur les ordinateurs infectés) .

La plupart des modifications du Trojan.Hosts sont détectées avec succès par le logiciel Dr.Web ; de plus, Dr.Web 8.0 prévoit un mécanisme de protection du fichier hosts contre les modifications par les programmes malveillants, voir : Outils → Gestion → Protection préventive → Niveau du blocage des actions suspectes → Mode utilisateur : ici il suffit de passer en mode Administrateur et les modifications du fichier hosts seront bloquées automatiquement.

Les adresses IP des sites piratés sont entrées dans les bases Dr.Web, et sont bloquées par Dr.Web SpIDer Gate. Si l’antivirus a bloqué l’accès à une page web d’un site très consulté (très connu), nous vous conseillons de lancer une analyse des disques durs sur votre PC.

Si vous n’êtes pas utilisateur Dr.Web, nous vous conseillons d’utiliser l’utilitaire gratuit Dr.Web CureIt! et si nécessaire de modifier le contenu du fichier Windows\System32\Drivers\etc\hosts, pour supprimer toutes les inscriptions en trop.