Le 2 février 2012

Doctor Web alerte les utilisateurs sur l’apparition d’une nouvelle famille de programmes malveillants, les Trojan. OneX, qui, une fois le PC contaminé envoient du spam via Facebook et les clients messagerie. Aujourd’hui, nous connaissons deux modifications de ces programmes, qui ont presque les mêmes fonctionnalités. Le nombre de victimes peut être considérable vu le schéma utilisé.

Le Trojan.OneX fonctionne sous les systèmes Windows 32- bits. S’il est lancé dans un système 64- bits, il s’arrête de fonctionner tout de suite après avoir téléchargé un fichier .txt sur le PC. Suite à son lancement, le Trojan.OneX.1 vérifie s’il n’est pas déjà installé sur le PC, puis il décode l'adresse du serveur à distance auquel il est relié et télécharge un fichier .txt. Ce fichier contient quelques lignes en anglais, comme «hahaha! http://goo.gl[…].jpeg», qui remplaceront ensuite les messages de l’utilisateurs envoyés via Facebook. Les messages sont remplacés uniquement si l’utilisateur lance le mode chat sur Facebook. Toutes les heures, le trojan télécharge un nouveau fichier de configuration depuis un serveur distant.

Le Trojan.OneX.1 recherche les processus lancés dans l'OS : firefox, iexplore et IEXPLORE, puis s’intègre dans ces processus et remplace les fonctions d'envoi des messages.

Tout de suite après l’apparition de la première modification, les spécialistes Doctor Web en ont détecté une deuxième, le Trojan.OneX.2. Celle-ci utilise pour l’envoi des messages les programmes de messagerie connus, en s'introduisant dans les processus pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. Au moment de l’envoi, le clavier et la souris sont bloqués. De plus, le Trojan.OneX.2 est capable de travailler avec les fichiers de configuration encodé Unicode.

Les messages des trojans contiennent des liens vers des sites pirates imitant des sites connus : par exemple celui de RapidShare. Il est proposé à l’utilisateur de télécharger une archive zip dissimulée sous le nom de fichier image JPEG , dans laquelle on trouve le fichier Photo14.JPG.scr — qui est un fichier d’installation (Trojan.Packed.22289) contenant le BackDoor.IRC.Bot.1446. Ce trojan, non seulement ouvre l'accès à l'ordinateur infecté aux pirates, mais est également capable de voler des données confidentielles. Il peut également exécuter diverses commandes, par exemple le lancement et l'installation d'autres applications. Il est à noter que dans certains cas le trojan BackDoor.IRC.Bot accompagne le Trojan.OneX, ce qui permet aux malfaiteurs de propager plus de programmes malveillants à la fois.

Les signatures de ces menaces ont été ajoutées aux bases virales Dr.Web, et les utilisateurs Dr.Web sont entièrement protégés de ces menaces.