Doctor Web, éditeur russe de solutions de sécurité informatique sous la marque Dr.Web, a constaté depuis ces derniers jours une poussée de spam dans le trafic email. Ces messages de spam contiennent en pièce jointe un programme malicieux classé par Dr.Web comme Trojan.Packed.1198.

L’utilisateur reçoit un message dont l'objet est «New anjelina jolie sex scandal». Le texte du message invite à ouvrir le fichier joint pour visualiser une vidéo pornographique. Il est à noter que de telles méthodes sont assez populaires parmi les spammeurs mais ce dernier envoi se distingue par son caractère massif (plus de 50% du trafic contaminé pendant les heures creuses selon le serveur de statistiques de Doctor Web). Par la suite, un nombre important d'utilisateurs ont été infectés.

L’archive se trouvant en pièce jointe de ce message spam contient un installeur du programme malicieux - anjelina_video.exe - dont la taille est de 44 032 octets. Ce fichier contient à son tour un fichier classé par Dr.Web comme Trojan.MulDrop.17829. Ce programme malicieux vérifie si un autre faux antivirus est déjà installé sur le système (une des modifications différentes de Trojan.FakeAlert). S'il en trouve un, Trojan.MulDrop.17829 termine son fonctionnement et se supprime du système. Mais si aucun faux antivirus n’est trouvé, le trojan se met en place et s'exécute.

Dans un premier temps, Trojan.MulDrop.17829 décrypte un des fichiers qu’il contient et le sauvegarde vers le répertoire système sous le nom brastk.exe. Ce fichier sauvegardé est classé comme Trojan.Packed.1198 puisqu’il utilise un outil de compression semblable à celui utilisé par le fichier original. Le fichier figaro.sys est également sauvegardé dans le système. Le trojan remplace le driver beep.sys par ce fichier, ainsi le trojan rend le lancement de ses drivers invisible pour les utilitaires anti-rootkits. Par la suite, le trojan supprime le fichier original et redémarre le système.

L’activité du trojan consiste à modifier les configurations des zones de sécurités Windows, désactivation de l’alerte système Windows sur l’absence de l’antivirus, sur la désactivation du pare-feu ou des mises à jour automatiques. Le pare-feu implanté sera désactivé. Ensuite le trojan efface les données sur les extensions d'Internet Explorer dans la base de registre et installe en tant que moteur de recherche celui de Google, il change la page d’accueil pour www.google.com. Enfin, le trojan affiche le message annonçant que la machine est infectée et propose de télécharger un outil pour remédier au problème. Il est à noter que ce trojan télécharge des fichiers malicieux bien avant l’affichage du message sur la contamination.

Le maximum des envois avec Trojan.Packed.1198 a été constaté le 20 et le 22 octobre. A partir du 25 octobre, tous ces messages contiennent des programmes malicieux classés par Dr.Web comme Trojan.PWS.Panda.31.

Doctor Web conseille fortement de protéger les passerelles de messagerie, mais également les postes de travail afin d'avoir une protection maximale pour neutraliser au plus vite Trojan.Packed.1198.

Si vous pensez être touchés par ce cheval de Troie, vous pouvez utiliser notre outil gratuit de désinfection CureIt! à télécharger sur notre site. CureIt ! peut être installé sur une machine infectée y compris si un antivirus est déjà installé sur celle-ci.