Versions d'essai gratuites piur particulliers
 Versions d'essai gratuites pour enterprise

Kaspersky Lab met en garde contre une diffusion malicieuse au nom de McAfee

03 nov. 2006
Actualités Virus

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) annonce l’identification d’une diffusion massive de spam infectée par un programme de Troie - Trojan-.Dropper.MSWord.Lafool.v. Cette diffusion de courrier est inhabituelle puisqu’elle est réalisée au nom de la compagnie antivirale McAfee à partir de l’adresse mcafee@europe.com.

Lafool.v est un document Word appellé “McAfee Inc. Reports.doc”. La taille du fichier est de 80 635 octets et contient soi-disant un compte-rendu sur la propagation des programmes malicieux sur Internet.

Le document contient une macro écrite en Visual Basic for Applications. Lafool.v extrait de ses propres ressources une nouvelle version de LdPinch, un Trojan bien connu spécialisé dans le vol de mot de passe, et l’exécute. LdPinch dérobe les mots de passe de services et d’applications comme AOL Instant Messenger et ICQ, et d’autres données confidentielles. Kaspersky Anti-Virus détecte la nouvelle variante de ce programme sous le nom de Trojan-PSW.Win32.LdPinch.bbg.

La défense proactive intégrée dans Kaspersky Anti-Virus et Kaspersky Internet Security 6.0, détecte et bloque l’activité du Trojan et plus précisément :

  1. exécution d’une commande macro suspecte,
  2. collecte de données personnelles
  3. lancement du navigateur Internet à l’aide des paramètres de la ligne de commande
  4. envoi de données récoltées via le navigateur à l’insu de l’utilisateur.

L’activité du Troajn est bloquée si l’utilisateur bloque au moins l’une de ces actions (dans ce cas LdPinch ne pourra être exécuté, ou ne pourra effectuer d’action malicieuse). Notons que la technologie d’envoi des données à l’insu de l’utilisateur a été pour la première fois utilisée dans le célèbre PC Flank Leaktest (http://www.pcflank.com/pcflankleaktest.htm).

Selon les spécialistes de Kaspersky Lab, la société McAfee n’a rien à voir avec la diffusion de ce Trojan, l’adresse mcafee@europe.com est factice et créée par les cyber-criminels dans le but de tromper la vigilance des internautes destinataires du message.

La procédure de détection de Lafool.v a été diffusée via la mise à jour des bases antivirales le 31 octobre 2006. Kaspersky Lab recommande fortement aux utilisateurs de mettre à jour leurs bases de signatures.

De même que les utilisateurs doivent faire preuve d’une extrême vigilance envers le courrier électroniques et en aucun cas ouvrir des messages en provenance d’inconnus et dont les pièces jointes sont suspectes.

  PARTAGER