Le 22 juin 2012

Doctor Web informe de la propagation d’un spam au nom du service de livraison UPS, permettant au trojan Trojan.Inject1.4969 de pénétrer sur le PC. Ce programme malveillant est capable de voler des informations, de télécharger des applications depuis des serveurs distants et d’exécuter les commandes des malfaiteurs.

Depuis le 21 juin 2012, les utilisateurs reçoivent des messages électroniques soi–disant de la part du service de livraison UPS. Le message dit que la livraison s'est avérée impossible et l'utilisateur doit télécharger la pièce jointe, une archive zip, pour fournir une adresse correcte à UPS. L’archive zip contient un fichier exécutable avec une icône Microsoft Word. Si l’affichage de l’extension des noms de fichiers n’est pas activé, l’utilisateur ouvrira la pièce jointe sans se rendre compte que c'est un programme malveillant.

Suite à son lancement, le trojan Trojan.Inject1.4969 sauvegarde une copie de lui-même dans le dossier Application Data du compte utilisateur Windows, il supprime le fichier d’installation et sauvegarde une copie de lui-même dans la branche du registre relative à l’auto démarrage des applications. Ensuite, le Trojan.Inject1.4969 lance explorer.exe, il y intègre son propre code et cherche à s’intégrer dans tous les processus en cours. Après avoir intégré son code dans les processus explorer.exe, iexplore.exe ou firefox.exe, le trojan établit une connexion http avec les serveurs distants dont les adresses sont inscrites dans le code du trojan. Pour crypter ses requêtes, le trojan utilise les fonctions standards de MS Windows CryptoAPI.

Trojan.Inject1.4969 collecte les informations sur l’utilisateur (sur le compte utilisateur lancé) et vole les cookies des navigateurs Mozilla Firefox et Internet Explorer, ceci permettant théoriquement aux malfaiteurs d'obtenir l'accès aux comptes de l’utilisateur sur différents sites web. De plus, sur la machine infectée, le trojan peut exécuter de nombreuses commandes reçues des serveurs de gestion, comme rediriger les requêtes à l’interpréteur de commande Windows, télécharger, lancer et même envoyer aux malfaiteurs des fichiers depuis le PC infecté, effectuer une recherche de fichiers sur les disques, communiquer au serveur distant la liste des fichiers contenus dans un dossier spécifié.

Doctor Web appelle encore une fois les utilisateurs à rester vigilants en ouvrant les pièces jointes dans les messages électroniques. Certaines de ces pièces jointes peuvent être dangereuses.