Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Les clients des hébergeurs russes touchés par des attaques de phishing, de nouvelles attaques ciblant les utilisateurs de Vkontakte et autres événements viraux d’octobre 2011

Le 2 novembre 2011

Les pirates ont été très actifs pendant le mois d’octobre, multipliant les attaques de phishing et profitant au maximum de la popularité des réseaux sociaux. Les utilisateurs du réseau Vkontakte ont été menacés de nombreuses fois ainsi que des clients d’hébergeurs web russes. Parmi les autres événements, il faut noter l’apparition d’un nouveau backdoor permettant de gérer à distance la machine infectée.

Vkontakte encore attaqué

De plus en plus de schémas sont élaborés par les pirates pour attaquer le réseau social Vkontakte. Parmi ceux-ci : l’envoi de messages de la part de personnes se trouvant dans la liste d’amis.

En suivant le lien envoyé, l'utilisateur se retrouve d’abord sur un service appartenant à Twitter servant à raccourcir les hyperliens, puis il est redirigé vers une application intégrée au réseau social Vkontakte. L’utilisateur ne reçoit aucune notification sur sa redirection vers une autre page.

L’application créée par les pirates alerte l’utilisateur sur l’existence d’une vidéo où il apparaît. De plus, il peut lire des commentaires soi-disant écrits par les personnes de sa liste d’amis, comme « Wow » , « C’est incroyable! » et d'autres, créés par le programme.

En suivant le lien pour regarder la vidéo, l'utilisateur doit entrer son nom d'utilisateur et son mot de passe Vkontakte. En communiquant ses données, l'utilisateur perd son compte, soit que les pirates en changent le mot de passe, soit que le réseau social bloque l’utilisateur pour spam. Le site des pirates prétend que la vidéo provient de Youtube.

D’autre part, après avoir entré ses codes d'accès à Vkontakte, l'utilisateur est invité à entrer son numéro de téléphone puis le code reçu par sms pour visionner la vidéo. Le code confirmera en fait l'acceptation des conditions d'un abonnement payant et l'utilisateur sera régulièrement prélevé d’une certaine somme sur son compte mobile.

Un autre schéma: l'utilisateur voit une soi-disant nouvelle option sur son compte lui permettant de savoir qui a regardé sa page Vkontakte : Mes hôtes.

En cliquant sur cette option, l’utilisateur est invité à entrer son numéro de téléphone, sur lequel il reçoit ensuite plusieurs messages : le premier lui proposant d’envoyer le code affiché à l’écran pour pouvoir continuer la procédure pour utiliser l’option, le second avec une question : Voulez-vous recevoir le mot de passe ?, et enfin un troisième en cas de réponse positive à la seconde question : Acceptez-vous les conditions du site ? Si, là encore, il répond par l’affirmative, il reçoit un autre code qu’il faut entrer sur l’ordinateur et qui est censé activer l’option. Le paiement sera débité régulièrement sur son compte mobile et l’utilisateur pourra soi-disant voir les personnes qui ont visité sa page:

L’administration du site Vkontakte n’a rien avoir avec cette fonctionnalité car en réalité, elle n’existe pas.

Les spécialistes de Doctor Web ont découvert que cette fonction apparaît après l’installation du programme makl.info permettant de télécharger des vidéos et des fichiers audio depuis le réseau social, mais cette fonction « Mes hôtes » est factice car elle ne permet pas de voir réellement qui a visité sa page.

Attaques ciblant les clients d’hébergeurs web

Un certain nombre d'hébergeurs web ont été attaqués, notamment Peterhost, SpaceWeb et FirstVDS, et plus tard Timeweb et Agava. Grâce au service WHOIS, les pirates obtenaient les informations sur leurs clients et leurs adresses électroniques. Ensuite, les pirates envoyaient des messages aux clients en se faisant passer pour les hébergeurs. Les clients de SpaceWeb et FirstVDS ont notamment reçu des messages les informant que leur site consommait plus de ressources que le volume prévu dans leur contrat. Le message contenait un lien vers le site de l’hébergeur, en réalité un faux site, où il fallait entrer les données d’accès à son compte d’utilisateur.

Le fait que les pirates obtiennent les codes d’accès est très dangereux car ils peuvent modifier le contenu du site et diffuser des programmes malveillants ou du contenu illégal.

Le BackDoor.Bitsex permet de gérer le PC à distance

Ce programme est écrit en langue C et est enregistré sur le disque sous le nom d’une bibliothèque SetupEngine.dll. Suite à son lancement, le BackDoor.Bitsex crée deux fichiers dans un dossier : Audiozombi.exe et SetupEngine.dll. Il lance le premier qui ensuite lance la bibliothèque SetupEngine.dll, puis le BackDoor.Bitsex décode le nom du serveur connecté au PC et établit une connexion avec lui. Le trojan vérifie si un antivirus n’est pas lancé dans le système en analysant la liste des processus lancés, puis envoie ensuite un rapport à un serveur distant et lance un keylogger sur le PC, qui enregistre tout dans un fichier spécifique.

Le BackDoor.Bitsex possède une large gamme de fonctionnalités, il permet aux malfaiteurs de consulter à distance le contenu des disques du PC infecté , de recevoir des captures d’écran et des photos de la web cam, d’ouvrir des pages web, de télécharger et de lancer des applications, d’afficher des notifications sur l'écran du PC, de lancer des attaques DDoS sur les serveurs - en tout plus d’une dizaines de fonctionnalités dangereuses.

Les autres menaces d’octobre

En octobre, un nouveau programme d'hameçonnage bloquant le MBR a été découvert par les spécialistes de Doctor Web, le Trojan.MBRlock.16, dont la caractéristique consiste à faire croire à l’utilisateur que les données de son PC ont été codées.

Lorsque le Trojan.MBRlock.16 est lancé sur le PC infecté et bloqué, il affiche une notification du soi-disant Antivirus XP Hard Disk Repair, disant que le système est infecté par le Trojan.Agent.ARVP, qui a codé toutes les données sur les disques durs (aucun codage n’est effectué en réalité). Pour sauver ses données et débloquer son PC, l’utilisateur est invité à "acheter une licence" pour recevoir une clé, en remplissant un formulaire sur le site des pirates et en effectuant un paiement en ligne. La clé unique et le mot de passe pour débloquer le PC sont générés par le Trojan.MBRlock.16 en fonction de la configuration matérielle du PC.

Pour débloquer les PC victimes d’hameçonnage, veuillez utiliser un générateur de mots de passe spécial, élaboré par les spécialistes de Doctor Web ftp://ftp.drweb.com/pub/drweb/tools/mbrlock16keygen.exe ou bénéficier du service de déblocage.

Un autre trojan détecté en octobre, le Trojan.SkynetRef.1, est un serveur proxy http servant à remplacer les pages dans le navigateur. Pour assurer une propagation efficace de leur « bébé », les pirates ont crée une série de pages web, comme fvsn.org, operadownload.info, downloadutorrent.info, downloadflashplayer.biz et d’autres.

Pour télécharger une application depuis ces sites, l’internaute doit utiliser un installateur dont le nom est associé à l’application en question. Si l’internaute sauvegarde cet installateur sur son PC et modifie son nom, alors il cesse de fonctionner. Si le nom n’a pas été modifié, le programme télécharge non seulement l’application choisie mais également le Trojan.SkynetRef.1. Ce trojan remplace les sites dans les navigateurs de l’utilisateur.

Fichiers malveillants détectés dans le courrier électronique en octobre 2011

 01.10.2011 00:00 - 31.10.2011 23:00 
1Trojan.Oficla.zip43106 (17.04%)
2Trojan.DownLoader5.88636915 (14.59%)
3Win32.HLLM.MyDoom.3380836678 (14.50%)
4Trojan.PWS.Mailer.5623177 (9.16%)
5Win32.HLLM.MyDoom.5446418309 (7.24%)
6Trojan.MulDrop3.604212735 (5.03%)
7Win32.HLLM.Netsky.184019577 (3.78%)
8Win32.HLLM.MyDoom.based7015 (2.77%)
9Win32.HLLM.Netsky.353286221 (2.46%)
10Win32.HLLM.Netsky4288 (1.69%)
11Win32.HLLM.Beagle4140 (1.64%)
12Trojan.DownLoad2.220993508 (1.39%)
13W97M.Spool2791 (1.10%)
14JS.IFrame.1512615 (1.03%)
15BackDoor.IRC.Sdbot.45901854 (0.73%)
16Exploit.IframeBO1815 (0.72%)
17BackDoor.IRC.Bot.8721470 (0.58%)
18Win32.Sector.284801370 (0.54%)
19Win32.HLLM.Netsky.based1343 (0.53%)
20Win32.HLLM.Netsky.240641246 (0.49%)

Total analysés: 118,243,404
Total virus détectés: 253,032 (0.21%)

Fichiers malveillants détectés sur les PC des utilisateurs en octobre

 01.10.2011 00:00 - 31.10.2011 23:00 
1JS.Click.21874679301 (42.06%)
2Win32.Rmnet.1233786253 (19.03%)
3Trojan.IFrameClick.322083667 (12.44%)
4Win32.HLLP.Neshta11033803 (6.21%)
5JS.IFrame.1126083679 (3.43%)
6JS.IFrame.955325180 (3.00%)
7Win32.HLLP.Sector.283324380023 (2.47%)
8JS.IFrame.1172747192 (1.55%)
9Win32.HLLP.Whboy1776446 (1.00%)
10Trojan.Fraudster.2111725067 (0.97%)
11Trojan.Mayachok.11681669 (0.95%)
12Win32.HLLP.Whboy.451640615 (0.92%)
13Win32.HLLP.Rox1106517 (0.62%)
14Win32.Virut587649 (0.33%)
15Trojan.MulDrop1.48542531951 (0.30%)
16Trojan.WMALoader511429 (0.29%)
17Win32.Siggen.8355786 (0.20%)
18BackDoor.Ddoser.131341686 (0.19%)
19HTTP.Content.Malformed338613 (0.19%)
20JS.Click.222299005 (0.17%)

Total analysés: 17,451,623,339,426,039
Total virus détectés: 177,541,621 (0.00%)

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2021

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg