Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Du spam contenant un dangereux trojan circule

Le 22 juin 2012

Doctor Web informe de la propagation d’un spam au nom du service de livraison UPS, permettant au trojan Trojan.Inject1.4969 de pénétrer sur le PC. Ce programme malveillant est capable de voler des informations, de télécharger des applications depuis des serveurs distants et d’exécuter les commandes des malfaiteurs.

Depuis le 21 juin 2012, les utilisateurs reçoivent des messages électroniques soi–disant de la part du service de livraison UPS. Le message dit que la livraison s'est avérée impossible et l'utilisateur doit télécharger la pièce jointe, une archive zip, pour fournir une adresse correcte à UPS. L’archive zip contient un fichier exécutable avec une icône Microsoft Word. Si l’affichage de l’extension des noms de fichiers n’est pas activé, l’utilisateur ouvrira la pièce jointe sans se rendre compte que c'est un programme malveillant.

screen

Suite à son lancement, le trojan Trojan.Inject1.4969 sauvegarde une copie de lui-même dans le dossier Application Data du compte utilisateur Windows, il supprime le fichier d’installation et sauvegarde une copie de lui-même dans la branche du registre relative à l’auto démarrage des applications. Ensuite, le Trojan.Inject1.4969 lance explorer.exe, il y intègre son propre code et cherche à s’intégrer dans tous les processus en cours. Après avoir intégré son code dans les processus explorer.exe, iexplore.exe ou firefox.exe, le trojan établit une connexion http avec les serveurs distants dont les adresses sont inscrites dans le code du trojan. Pour crypter ses requêtes, le trojan utilise les fonctions standards de MS Windows CryptoAPI.

Trojan.Inject1.4969 collecte les informations sur l’utilisateur (sur le compte utilisateur lancé) et vole les cookies des navigateurs Mozilla Firefox et Internet Explorer, ceci permettant théoriquement aux malfaiteurs d'obtenir l'accès aux comptes de l’utilisateur sur différents sites web. De plus, sur la machine infectée, le trojan peut exécuter de nombreuses commandes reçues des serveurs de gestion, comme rediriger les requêtes à l’interpréteur de commande Windows, télécharger, lancer et même envoyer aux malfaiteurs des fichiers depuis le PC infecté, effectuer une recherche de fichiers sur les disques, communiquer au serveur distant la liste des fichiers contenus dans un dossier spécifié.

Doctor Web appelle encore une fois les utilisateurs à rester vigilants en ouvrant les pièces jointes dans les messages électroniques. Certaines de ces pièces jointes peuvent être dangereuses.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg