11 avril 2013

Doctor Web alerte les utilisateurs sur l’existence du programme malveillant Trojan.Zekos, qui peut intercepter les requêtes DNS sur un ordinateur qu’il a infecté. Les pirates peuvent utiliser ce mécanisme pour lancer des attaques de phishing, car ce Trojan peut afficher sur la machine infectée une page Web appartenant aux attaquants, au lieu du site demandé par l'utilisateur.

Depuis la fin de la semaine dernière, le support technique de Doctor Web reçoit des requêtes d’utilisateurs incapables d'accéder à leurs réseaux sociaux. Une page Web, annonçant que le profil de l'utilisateur est bloqué et qu'il faut entrer son numéro de portable et le code reçu par SMS dans les champs appropriés, s’affiche dans le navigateur au lieu des pages de ces réseaux sociaux. Voici des exemples de ces pages, qui imitent " vkontakte " et " odnoklassniki " :

« Nous avons détecté une tentative de craquer votre profil. Ne vous inquiétez pas, il est intact. Pour protéger votre page, nous vous demandons de lier votre profil à votre numéro du portable et d’entrer un nouveau mot de passe difficile à craquer (fort) ».

« Votre page a été bloquée suite au piratage de votre profil ! Notre système de sécurité a détecté des envois massif de spam depuis votre profil et nous devons le bloquer. Pour restaurer l'accès à votre profil, une authentification via votre portable est requise ».

Il faut préciser que les fausses pages et leurs adresses URL sont identiques à la page officielle du réseau social. En outre, sur la fausse page, le vrai nom d'utilisateur s’affiche, c'est pourquoi les victimes sont piégées par ce message.

Les spécialistes de Doctor Web ont identifié la méthode employée : la bibliothèque système rpcss.dll du RPC (Remote Procedure Call) de Windows est modifiée par le virus. Ce virus représente un Trojan, baptisé Trojan.Zekos, capable d'infecter Windows (32-bits et 64-bits). Les premières versions de ce Trojan ont été détectées au début de 2012, mais cette version du programme malveillant présente quelques différences par rapport à ses prédécesseurs.

Trojan.Zekos est fait de plusieurs composants. Après son lancement, il sauvegarde sa copie cryptée dans un des dossiers système comme un fichier, avec un nom et une extension aléatoires, désactive le Windows File Protection et cherche a augmenter ses privilèges dans le système d'exploitation. Puis il modifie la bibliothèque rpcss.dll en ajoutant le code qui chargera dans la mémoire les copies du Trojan, stockées sur le disque dur. Le Trojan.Zekos modifie également le pilote du protocole TCP / IP (tcpip.sys) afin d'augmenter le nombre de connexions simultanées TCP-1 par seconde de 10 à 1 million.

Trojan.Zekos possède une fonctionnalité malveillante extrêmement sophistiquée et développée. Ce Trojan peut intercepter les requêtes DNS des navigateurs Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari, etc. Ainsi, si l'utilisateur accède au réseau social, son navigateur recevra en réponse à sa requête DNS une adresse IP incorrecte et affichera une page appartenant aux malfaiteurs. Mais, dans la barre d'adresse du navigateur, l'URL affichée sera correcte. De plus, le Trojan.Zekos bloque l'accès aux sites de la plupart des sociétés antivirus et les serveurs de Microsoft.

La signature de cette menace et l'algorithme de traitement de l'infection par le Trojan.Zekos ont été ajoutés aux bases virales Dr.Web. Nous conseillons aux utilisateurs infectés par ce Trojan de scanner les disques durs avec un scanner antivirus, ou de profiter de l'utilitaire de désinfection gratuit Dr.Web CureIt!.