Retour à la presse

27 avril 2010

Les cybercriminels à l'origine de ce commerce lucratif ne cessent de perfectionner leurs armes

Trojan.Fakealert.CAW est le dernier né du genre. Ce faux logiciel antivirus, ou ‘rogue’ de 1,164 Ko est un malware extrêmement lourd, mais son objectif n’est pas de passer inaperçu. Une fois déployé, ce rogue crée son propre dossier dans « %systemdrive%\Documents and Settings\ All Users\Application Data\ » et le renomme à l’aide d’une chaîne aléatoire de 8 chiffres. Trojan.Fakealert.CAW crée une copie de lui-même dans ce dossier, sous le même nom aléatoire, ainsi qu’un fichier batch qui exécute la copie venant d’être créée avec le paramètre « install ». Ensuite, le fichier d’origine et le fichier batch sont tous les deux supprimés. Après avoir infecté le système, le malware commence à afficher des alertes informant l’utilisateur de l’installation du soit disant « Outil de sécurité », crée des raccourcis sur le bureau, dans le menu « démarrer » et une icône dans la barre de tâches. Afin de démarrer automatiquement, il crée également une nouvelle entrée dans la base de registre sous la clé « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ». Sa « magie » commence alors à opérer : l’utilisateur est informé que son ordinateur est infecté par plusieurs types de malwares et qu’il doit acheter la version complète de « L’outil de sécurité » pour lancer le processus de désinfection. Pour inquiéter d’avantage l’utilisateur, différents messages d’avertissement apparaissent à l’écran. Après une analyse approfondie, le rogue demande à l’utilisateur de redémarrer le système, ce qui ne fait qu’augmenter les dommages : les éléments du bureau sont alors masqués et presque toutes les applications auxquelles l’utilisateur essaie d’accéder sont fermées. De plus, si l’utilisateur ouvre un navigateur Internet, des alertes « pare-feu » s’afficheront également. L’engrenage infernal se poursuit ensuite : un écran de veille représentant un faux « écran bleu » impliquant d’éteindre l’ordinateur apparaît, dans le but d’effrayer l’utilisateur et de lui faire acheter le faux logiciel antivirus. Outre ses fonctions de faux antivirus, Trojan.Fakealert.CAW joue aussi le rôle d’un spyware et tente d’envoyer des informations sur la machine infectée à un serveur distant. Pour plus d’informations concernant les produits BitDefender, vous pouvez consulter www.BitDefender.fr et pour retrouver BitDefender en ligne et rester au fait de l’actualité des e-menaces : • Flux RSS • Facebook • Twitter • La communauté Malwarecity
Contacts