Un ver extrêmement agressif assaille les messageries instantanées

Le dernier-né de la famille Palevo se diffuse ces jours-ci sous la forme d’une vague massive de spam de messagerie instantanée, générée de façon automatique. Le message non sollicité incite les destinataires à cliquer sur un lien accompagné d’un smiley souriant, censé les diriger vers une image ou une galerie de photos.


Figure 1 – Le message de spam reçu via messagerie instantanée diffusant Palevo

Au lieu d’ouvrir ce qui est censé être une galerie d’images, les utilisateurs sont invités à enregistrer un faux fichier JPG, qui est en fait un exécutable contenant la charge utile malveillante Worm.P2P.Palevo.DP.


Figure 2 –Le faux fichier .JPG est en fait un fichier .EXE diffusant le ver


Palevo.DP est synonyme de ravage pour les systèmes non protégés qui sont infectés. Il commence par créer plusieurs fichiers cachés dans le dossier Windows : mds.sys, mdt.sys, winbrd.jpg, infocard.exe et modifie certaines clés de registre pour qu’elles pointent vers ces fichiers afin de neutraliser le pare-feu du système d’exploitation.

Comme les autres membres de sa famille, Palevo.DP dispose d’un composant de type backdoor qui permet aux attaquants de prendre à distance le contrôle total de l’ordinateur compromis pour y installer d’autres malwares, voler des fichiers, lancer des campagnes de spam et des attaques de malwares sur d’autres systèmes.
La famille Palevo est également capable d’intercepter des mots de passe et d’autres données sensibles saisies dans les navigateurs web Mozilla® Firefox® et Microsoft® Internet Explorer®, ce qui la rend extrêmement dangereuse pour les internautes utilisant des services bancaires en ligne ou faisant des achats sur Internet.

Le mécanisme de diffusion comprend également l’infection de partages réseau et de supports de stockage amovibles comme les clés USB, dans lesquels il crée des fichiers autorun.inf pointant vers sa copie. Lorsqu’un disque amovible ou une carte mémoire sont insérés dans des ordinateurs dont la fonction d’exécution automatique (autorun) est activée ou qui ne sont pas protégés par une solution de sécurité avec analyse à l’accès, le système est automatiquement infecté.

Les vers Palevo affectent également les utilisateurs de plateformes de partage P2P telles qu’Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule et LimeWire, en ajoutant leur code aux fichiers partagés.

« Nous recommandons aux utilisateurs d’être extrêmement prudents et de ne cliquer sur aucun lien reçu via des clients de messagerie instantanée sans avoir vérifié auprès de l’expéditeur la validité des sites Web vers lesquels ces liens pointent. Cette offensive du ver Palevo est extrêmement agressive et nous avons assisté au début de cette attaque à des taux d’infection dépassant largement les 500% par heure pour des pays comme la Roumanie, la Mongolie ou l’Indonésie ». déclare Catalin Cosoi, Chercheur des Laboratoires BitDefender.

A ce jour, les pays les plus touchés sont les suivants :
- Roumanie
- Mongolie
- Vietnam
- Indonésie
- Australie
- Malaisie
- Thaïlande
- France
- Royaume-Uni
- Koweït

Pour plus d’informations concernant les produits BitDefender, vous pouvez consulter www.BitDefender.fr et pour retrouver BitDefender en ligne et rester au fait de l’actualité des e-menaces :
• Flux RSS
• Facebook
• Twitter
• La communauté Malwarecity