VIRUS : un vrai de vrai trojan "Peacomm" dangereux

 
Information reçue ce jour de Symantec.
Vrai virus.


Description

Symantec Security Response surveille actuellement de près la propagation du courrier indésirable renfermant la menace Trojan.Peacomm (également connue sous le nom de Storm Trojan). Cette attaque de spam présente l'un des taux de propagation les plus importants identifiés au cours des derniers mois. La menace a initialement été découverte en janvier 2007, mais elle connait à présent un nouvel essor grâce à cette nouvelle forme de dissémination. Ses caractéristiques évoluent avec le temps. Il s'agit là du dernier exemple en date des activités des pirates informatiques, qui tentent de compromettre un grand nombre de systèmes non protégés. Ce cheval de Troie se propage sous la forme d'une pièce jointe à un courrier électronique prétendant contenir un correctif de sécurité. Ce courrier avertit l'utilisateur de l'existence d'une menace malveillante, contre laquelle il propose le correctif de sécurité disponible en pièce jointe, supposé protéger l'utilisateur de l'attaque en question. Il se trouve que la pièce jointe renferme une menace malveillante. Le courrier électronique présente généralement l'un des objets suivants :

Worm Detected!
[UNABLE TO SCAN] Worm Detected!
[WARNING - ENCRYPTED ATTACHMENT NOT VIRUS SCANNED] Virus Alert!
[WARNING - ENCRYPTED ATTACHMENT NOT VIRUS SCANNED] Worm Detected!
Worm Detected!
Undeliverable: Virus Det
[ATTENTION - NON TRAIT? PAR ANTIVIRUS -- WARNING - NOT VIRUS SCANNED]%s
Virus Detected!ected!
Virus Activity Detected!
ATTN!
Spyware Alert!
Spyware Detected!
Warning!
Trojan Alert!
Trojan Detected!
Worm Activity Detected!
Virus Alert!
L'expéditeur peut porter l'un des noms suivants :
Abuse Team
Customer Support Center
Customer Support Center Robot
Customer Support
Customer Support Robot


Etant donné la nature changeante de cette menace, il est très probable que l'objet ou le nom de la pièce jointe diffèrent de ceux répertoriés ci-dessus. Nous recommandons ainsi aux utilisateurs de ne pas ouvrir ce type de courriers électroniques.

La pièce jointe est un fichier ZIP protégé par mot de passe. Il contient un cheval de Troie qui s'installe automatiquement sur le système en tant que pilote système. Celui-ci télécharge ensuite d'autres programmes malveillants à partir de différents ordinateurs connectés à Internet. Le fichier contenu dans l'archive ZIP est identifié sous le nom de Trojan.Packed.13. En cas d'exécution de ce fichier, un autre fichier dénommé Trojan.Peacomm est créé..

ymantec Security Response publiera des signatures de détection de virus mises à jour au cours de la journée du 12 avril (fuseau horaire Pacifique). Ces mises à jour permettront de détecter l'archive ZIP protégée par mot de passe sous le nom Trojan.Peacomm!zip. Les signatures de définitions de virus existantes permettent déjà la détection et la suppression de toutes les variantes précédentes de cette menace.

Symantec recommande fortement aux utilisateurs d'adopter un comportement prudent vis-à-vis des courriers électroniques contenant des pièces jointes supposées authentiques ou intéressantes. On appelle cette technique, consistant à utiliser des lignes d'objet ou des noms de pièces jointes trop alléchants en vue de répandre du code malveillant, "l'ingénierie sociale". Les pirates informatiques en font usage depuis de nombreuses années et cette technique reste malheureusement très efficace auprès des utilisateurs les moins protégés.