Alerte Malware : Win32.Worm.Mabezat.J recrute !

Le message de spam s 'accompagne de différents objets d 'e-mails liés à l 'emploi tels que ” Web designer vacancy ” (Poste de Web designer à pourvoir), ” New work for you ” (Un nouveau travail pour vous), ” Welcome to your new work ” (Bienvenue dans votre nouvel emploi), ou ” We are hiring you ” (Nous vous recrutons). Il contient également une pièce jointe à l 'apparence anodine nommée winmail.dat (un fichier censé contenir les informations RTF Exchange Server® du message, si le client du destinataire ne peut pas recevoir de messages au format RTF).  

   
Le fichier winmail.dat peut être extrait avec WinRar® or WinZipTM. Ainsi, l 'utilisateur peut extraire le fichier infecté mais les filtres antimalwares des serveurs de messagerie ne sont pas capables de décompresser et d 'analyser le contenu de l 'archive. Une fois extraite, l 'archive a l 'apparence d 'un document Word nommé ” Readme.doc “, mais une observation plus attentive révèle qu 'il s 'agit en fait d 'un fichier exécutable infecté par Win32.Worm.Mabezat.J.

Une fois ouvert, le fichier ” Readme ” ouvre son propre répertoire (le chemin d 'accès au ver) avec Windows® Explorer. Le ver crée également un fichier autorun.inf sur chaque lecteur, pointant vers un nouveau fichier nommé ” zPharaoh.exe ” (une instance du ver).

Notons également que Win32.Worm.Mabezat.J est également capable d 'infecter des fichiers exécutables en remplaçant les 1 768 premiers octets du fichier exécutable infecté par son propre corps crypté. Le ver commence toujours sa campagne d 'infection en compromettant le principal exécutable de Windows Media Player, ainsi que des fichiers binaires d 'Outlook® ExpressTM.

La famille Mabezat est extrêmement dangereuse : non seulement ses membres peuvent infecter des fichiers binaires et parfois détruire des fichiers système, mais ils peuvent aussi recueillir des adresses e-mail à partir de différents formats de fichiers (tels que XML, .PHP, .LOG, .CHM, .HLP, .CPP, .PAS, .XLS, .PPT, .PDF, .ASPX, .ASP, .HTML, .HTM, .RTF et .TXT) présents sur le système infecté. Après avoir compilé une liste d 'e-mails, le ver effectue ensuite des envois en masse dans lesquels il s 'envoie lui-même en utilisant son moteur SMTP intégré.
 
Afin de profiter d 'Internet en toute sécurité, BitDefender® vous recommande de télécharger, d 'installer et de mettre à jour régulièrement une suite antimalware complète comprenant un antivirus, un antispam, un antiphishing et un pare-feu. Nous vous recommandons la plus grande vigilance lorsqu'il vous est demandé d'ouvrir des fichiers provenant d'emplacements inconnus.