Alerte malware : Un ver se diffusant sur Skype installe des backdoors

Si Yahoo!® Messenger et MSN Messenger ont été attaqués massivement par des vers de messagerie instantanée, les utilisateurs de Skype ont été jusqu 'à présent relativement épargnés par ce type d 'e-menace. Il est vrai que les vers envoyant des liens hypertextes sont fréquents et de multiples variantes affectent différents services de messagerie instantanée, mais la plupart d 'entre eux sont extrêmement faciles à supprimer et ne bénéficient pas d 'une protection supplémentaire. Contrairement aux vers de messagerie standard,  Backdoor.Tofsee dispose de nombreux moyens pour éviter d 'être détecté et supprimé, et pour porter préjudice à la fois aux utilisateurs et à leur ordinateur.

Le ver a recours à une technique d 'ingénierie sociale pour tromper les utilisateurs et leur faire télécharger et exécuter une copie de lui-même sur leur machine. Il recherche les paramètres régionaux du système (pays, langue et devise) afin de déterminer dans quelle langue envoyer ses messages à des contacts de messagerie. Il peut utiliser l 'anglais, l 'espagnol, l 'italien, le néerlandais, l 'allemand et le français pour se diffuser via Skype™ ou Yahoo!® Messenger. Ces fausses conversations sont toujours différentes des messages envoyés auparavant et sont constamment mises à jour à distance.

 

 
Afin d 'éviter d 'éveiller les soupçons, le ver transmet uniquement son message au cours d 'une conversation, au lieu d 'envoyer son lien directement, de manière aléatoire. Si l 'utilisateur clique sur le lien infecté, il est redirigé vers une page ” spoofée ” imitant Rapidshare. S 'il clique ensuite sur le faux lien de téléchargement Rapidshare, il obtient une archive compressée nommée NewPhoto024.JPG.zip. Une fois extraite, l 'archive révèle un fichier exécutable au nom trompeur : NewPhoto024.JPG_www.tinyfilehost.com, qui a l 'apparence d 'un fichier JPG suivi d 'une URL.

Bien qu 'il se termine par .com,  ce fichier est une application exécutable MS-DOS. Une fois exécuté, le binaire infecté vérifie auprès du Registre Windows si Skype ou Yahoo Messenger sont installés. Si aucune de ces applications n 'est détectée sur l 'ordinateur, le ver n 'infecte pas le système. Si ces applications sont présentes, il s 'assure qu 'il n 'est pas analysé par une machine virtuelle auprès du Compteur de performance.

 

 

Si le ver détecte qu 'il est exécuté dans une machine virtuelle ou dans un débogueur, il se termine lui-même, ou crée un processus enfant suspendu et y injecte par la suite le segment décrypté du ver. Une fois l 'injection terminée, le processus enfant est repris et le processus parent se détruit.

 

Afin de ne pas être repéré par le système d 'exploitation, le ver déploie sa dernière ligne de défense : un pilote rootkit qui cache des fichiers, surveille l 'activité Internet de la machine infectée et bloque l 'accès aux URL associées à des éditeurs antivirus, scanners en ligne, forums d 'assistance technique et bien sûr, Windows Update. Le ver empêche également l 'accès à un certain nombre de portails de téléchargement connus qui pourraient héberger des outils de suppression de logiciels malveillants ou des utilitaires antivirus.  

 

 

Après avoir compromis le système, le ver s 'ajoute à la clé de démarrage du Registre Windows ; il désactive également le Pare-Feu Windows afin d 'ouvrir une brèche dans la sécurité locale et de permettre à un attaquant de se connecter à distance au composant backdoor du ver. Et ce n 'est pas tout : le composant rootkit empêche également l 'installation de tout fichier connu pour être un logiciel antivirus. Backdoor.Tofsee identifie ces fichiers par leur nom, renommer un fichier bloqué devrait donc normalement résoudre le problème.

Le mécanisme de diffusion du ver ne se limite pas à l 'envoi de messages de spam via Skype et YIM, il effectue également des copies de lui-même sur tous les supports de stockage USB qu 'il détecte en répliquant son binaire dans un dossier venant d 'être créé et nommé ~secure. Un fichier autorun.inf pointe vers lui. Un deuxième dossier, nommé Temp002, est également généré et un fichier binaire infecté par Trojan.Vaklik.AY est placé à l 'intérieur. Tous les fichiers créés ont leurs attributs archives, cachés et systèmes réglés sur 1 afin de ne pas être repérés par le shell de l 'Explorateur Windows.

Backdoor.Tofsee est un malware dangereux qui permet à un attaquant distant de prendre le contrôle total d 'un ordinateur infecté et de l 'utiliser à des fins illicites. Afin de profiter d'Internet en toute sécurité, nous vous recommandons d'installer et de mettre à jour régulièrement une suite antimalware complète avec une protection antivirus, antispam, antiphishing et pare-feu.