La curiosité peut avoir de fâcheuses conséquences sur Internet

18.09.2012

Depuis quelques jours, G Data Security observe une campagne sur Facebook qui tente d'infecter un grand nombre d'utilisateurs avec des logiciels malveillants. Les messages contenant des liens hypertextes pointant vers le service d’hébergement Sendspace sont envoyés sur le réseau social.

Tout commence par une conversation de chat sous Facebook qui provient d'un ami. Une URL est alors présentée. L'URL affichée, qui est générée aléatoirement, ne fournit aucune information sur le type de fichier proposé. Lorsque le fichier est téléchargé, il semble être une image dans un premier temps, du moins c'est ce que l'icône affichée indique. Cependant, un regard sur l'extension du fichier révèle qu'il s’agit d‘un écran de veille (.SCR). Les versions actuelles de Microsoft Windows n'affichent pas automatiquement l'extension de fichier. Les utilisateurs peu méfiants peuvent donc être tentés de cliquer sur l'image supposée, ce qui rend leurs ordinateurs accessibles aux attaquants.

Déroulement de l'infection Lorsqu'un utilisateur double-clique sur le fichier, l'image n'apparaît pas et rien ne se passe à première vue. Mais un regard sur le moniteur de processus révèle le contraire : le fichier .SCR s'avère être un fichier exécutable malveillant. Les assaillants ont renommé l'extension du code malveillant .EXE en .SCR pour camoufler l'icône. Ce changement de nom de l'extension n’altère pas la possibilité d’exécution du fichier.

G Data détecte le malware décrit comme Backdoor.Ircbot.ADKX et Win32: SdBot-HER [Trj].

Les fonctions malveillantes Tout d’abord, le fichier malveillant a une fonction de bot : il utilise le protocole IRC et joint automatiquement un espace de discussion. Il attend alors les commandes et mises à jour fournies par le serveur maître. D'autre part, le fichier a également les propriétés d'un ver. La fonctionnalité ver a été incluse pour la diffusion du fichier malware. Même si les propriétés de base d'un ver sont préparées dans le code source, pas d'actions explicites et de destinations précises ont été mises en place pour le moment. Toutefois, ceux-ci peuvent être chargés via la connexion IRC à tout moment. Le fichier a aussi la possibilité de créer des fichiers autorun.inf malveillants et de les charger sur des appareils portables (clé USB, disque dur). Depuis le début de la campagne, le fichier a été mis à jour au moins une fois et emballé d'une manière plus complexe afin de le rendre plus difficile à détecter par les logiciels antivirus.