Le 6 août 2013

Doctor Web met en garde contre la propagation d'un programme malveillant Trojan.WPCracker.1, conçu pour pirater les blogs et les sites web fonctionnant sous des SGC (système de gestion de contenu) connus, en particulier Wordpress. Ce Trojan peut remplacer le contenu des blogs, ou les infecter via d’autres logiciels malveillants qui menaceront les futurs visiteurs. Il peut exister un lien entre la vague récente d’attaques de sites web et la propagation du Trojan.WPCracker.1.

Après avoir pénétré le système, le Trojan.WPCracker.1 crée une copie de lui-même dans l'un des dossiers système et modifie la branche du Registre Windows liée au lancement automatique des applications lors du démarrage du système. Puis le Trojan s'adresse aux serveurs distants des attaquants.

Le serveur pirate envoie une liste de blogs et sites web fonctionnant sous des SGC connus (Wordpress et Joomla) puis le Trojan lance une attaque par force brute. S'il réussit, les données reçues seront envoyées aux serveurs des attaquants.

Ensuite, les créateurs du Trojan.WPCracker.1 vendent l'accès aux sites piratés à des tiers (d’autres malfaiteurs), ce qui constitue pour eux une source de rémunération.

Quel est le danger du Trojan.WPCracker.1 pour les utilisateurs ? A l'aide de ce Trojan, les attaquants peuvent soit remplacer le contenu des blogs, soit les infecter grâce à d’autres logiciels malveillants, qui pourront infecter les systèmes des futurs visiteurs. Ce trojan peut être à l’origine de la hausse des attaques de sites web par brute force, relevées par de nombreux experts.

La signature du malware a été ajoutée aux bases virales Dr.Web et ce Trojan ne représente aucune menace pour les utilisateurs des logiciels Dr.Web.