Attention ! Un cheval de Troie se cache derrière l'annonce de l'invasion de l'Iran

Publié le jeudi 10 juillet 2008

20080710_11Plusieurs éditeurs dont Sophos et BitDefender informent les internautes qu'un groupe de pirates informatiques tente d'exploiter les tensions au Moyen Orient pour infecter les ordinateurs. Le message annonce l'invasion de l'Iran par les Etats-Unis. Largement diffusés, ces messages tentent d'attirer l'attention du destinataire par des lignes d'objet telles que ‘Third World War has begun', ‘20000 US Soldiers in Iran' ou ‘US Army crossed Iran's borders'.

Ils contiennent un lien vers une page Web proposant la vidéo d'une explosion nucléaire. Les Internautes qui visitent ces faux sites seront infectés par un vrai cheval de Troie.

 

La page Internet hébergeant le malware - dailydotnews.com - est conçue de manière particulièrement efficace, observe BitDefender, « avec une bannière en haut, une image ressemblant à une vidéo Youtube et trois lignes de textes détaillant l'opération américaine en Iran ». Cette approche a ensuite été utilisée de manière plus large, car les spammeurs misent « sur un titre accrocheur et un lien vers un malware, de manière à susciter la curiosité de l'utilisateur et à le prendre au piège en l'amenant à télécharger le malware. »

 

« La nouvelle vague de spam repose essentiellement sur la curiosité des utilisateurs suscitée par le conflit entre les Etats-Unis et l'Iran. Ils sont apparemment redirigés vers un faux site Internet d'actualités, avec une description plus approfondie du conflit et accompagnée d'un lecteur vidéo » constate Andra Miloiu, analyste de la cellule Antispam de BitDefender. « Cependant, le présumé film en flash est en fait une image représentant un lecteur vidéo; quand l'utilisateur clique dessus, l'option - Sauvegarder en tant que - s'affiche ».

 

Si l'utilisateur clique sur la video ou sur la bannière, il démarre le processus de téléchargement d'un malware binaire, appelé « iran_occupation.exe ». Le fichier contient le même code malicieux utilisé pour infecter l'utilisateur avec Storm Worm.

Des informations complémentaires, ainsi qu'une image de la page Web, sont disponibles sur le blog en anglais de Sophos, à l'adresse http://www.sophos.com/security/blog/2008/07/1569.html


Copyright © 2007 LaVieNumerique - All right reserved