Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un Trojan remplace les pages Web

le 13 mai 2013

Les spécialistes de Doctor Web ont examiné l'une des menaces les plus répandues du mois d'avril 2013, le Trojan Trojan.Mods.1, déjà connu sous le nom de Trojan.Redirect.140. Selon les statistiques obtenues à l'aide de l'utilitaire de désinfection Dr.Web CureIt!, le nombre d'infections par ce Trojan représente 3,07% du nombre total d'infections détectées. Le résumé de l’analyse est présenté ci-dessous.

Le Trojan se compose de deux éléments : le dropper et la bibliothèque dynamique qui porte la charge malveillante basique. Lors de l'installation sur l'ordinateur de la victime, le dropper crée une copie de lui-même dans un dossier sur le disque dur et lance son exécution. Pour éviter le Contrôle de compte d'utilisateur (User Accounts Control, UAC) dans le système d'exploitation Microsoft Windows Vista, le dropper peut être lancé sous la forme d'une mise à jour de Java et demander la confirmation du téléchargement.

screen

Ensuite, le dropper sauvegarde sur le disque dur la bibliothèque principale du Trojan qui s'intègre dans tous les processus actifs sur le PC infecté, mais continue son fonctionnement seulement dans les processus des navigateurs Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Internet, Yandex.Browser, Rambler Nichrome. Le fichier de configuration qui contient toutes les données nécessaires au fonctionnement du Trojan.Mods.1 est stocké dans la bibliothèque sous forme cryptée.

Le Trojan.Mods.1 est conçu pour remplacer les sites Web visités par la victime en affichant les pages appartenant aux attaquants. Pour atteindre cet objectif, le Trojan intercepte les fonctions du système transformant les noms DNS en adresses IP. Résultat, au lieu des pages demandées, l'utilisateur est redirigé vers des sites frauduleux, sur lesquels il lui est demandé d'indiquer son numéro de portable et de répondre au SMS envoyé par le numéro court 4012. Si la victime y consent, un montant est prélevé sur son compte.

screen

L'architecture du Trojan.Mods.1 comporte un algorithme spécial pour désactiver la redirection vers un groupe d'adresses.

La signature du malware a été ajoutée aux bases virales Dr.Web et le Trojan.Mods.1 ne représente aucune menace pour les utilisateurs des logiciels Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg