Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau Trojan nuit aux utilisateurs en bloquant l'accès aux réseaux sociaux.

11 avril 2013

Doctor Web alerte les utilisateurs sur l’existence du programme malveillant Trojan.Zekos, qui peut intercepter les requêtes DNS sur un ordinateur qu’il a infecté. Les pirates peuvent utiliser ce mécanisme pour lancer des attaques de phishing, car ce Trojan peut afficher sur la machine infectée une page Web appartenant aux attaquants, au lieu du site demandé par l'utilisateur.

Depuis la fin de la semaine dernière, le support technique de Doctor Web reçoit des requêtes d’utilisateurs incapables d'accéder à leurs réseaux sociaux. Une page Web, annonçant que le profil de l'utilisateur est bloqué et qu'il faut entrer son numéro de portable et le code reçu par SMS dans les champs appropriés, s’affiche dans le navigateur au lieu des pages de ces réseaux sociaux. Voici des exemples de ces pages, qui imitent " vkontakte " et " odnoklassniki " :

« Nous avons détecté une tentative de craquer votre profil. Ne vous inquiétez pas, il est intact. Pour protéger votre page, nous vous demandons de lier votre profil à votre numéro du portable et d’entrer un nouveau mot de passe difficile à craquer (fort) ».

« Votre page a été bloquée suite au piratage de votre profil ! Notre système de sécurité a détecté des envois massif de spam depuis votre profil et nous devons le bloquer. Pour restaurer l'accès à votre profil, une authentification via votre portable est requise ».

Il faut préciser que les fausses pages et leurs adresses URL sont identiques à la page officielle du réseau social. En outre, sur la fausse page, le vrai nom d'utilisateur s’affiche, c'est pourquoi les victimes sont piégées par ce message.

screen

screen

Les spécialistes de Doctor Web ont identifié la méthode employée : la bibliothèque système rpcss.dll du RPC (Remote Procedure Call) de Windows est modifiée par le virus. Ce virus représente un Trojan, baptisé Trojan.Zekos, capable d'infecter Windows (32-bits et 64-bits). Les premières versions de ce Trojan ont été détectées au début de 2012, mais cette version du programme malveillant présente quelques différences par rapport à ses prédécesseurs.

Trojan.Zekos est fait de plusieurs composants. Après son lancement, il sauvegarde sa copie cryptée dans un des dossiers système comme un fichier, avec un nom et une extension aléatoires, désactive le Windows File Protection et cherche a augmenter ses privilèges dans le système d'exploitation. Puis il modifie la bibliothèque rpcss.dll en ajoutant le code qui chargera dans la mémoire les copies du Trojan, stockées sur le disque dur. Le Trojan.Zekos modifie également le pilote du protocole TCP / IP (tcpip.sys) afin d'augmenter le nombre de connexions simultanées TCP-1 par seconde de 10 à 1 million.

Trojan.Zekos possède une fonctionnalité malveillante extrêmement sophistiquée et développée. Ce Trojan peut intercepter les requêtes DNS des navigateurs Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari, etc. Ainsi, si l'utilisateur accède au réseau social, son navigateur recevra en réponse à sa requête DNS une adresse IP incorrecte et affichera une page appartenant aux malfaiteurs. Mais, dans la barre d'adresse du navigateur, l'URL affichée sera correcte. De plus, le Trojan.Zekos bloque l'accès aux sites de la plupart des sociétés antivirus et les serveurs de Microsoft.

La signature de cette menace et l'algorithme de traitement de l'infection par le Trojan.Zekos ont été ajoutés aux bases virales Dr.Web. Nous conseillons aux utilisateurs infectés par ce Trojan de scanner les disques durs avec un scanner antivirus, ou de profiter de l'utilitaire de désinfection gratuit Dr.Web CureIt!.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg