Les faux antivirus affûtent leurs armes

Trojan.Fakealert.CAW est le dernier du genre. Ce package de 1,164 Ko est un malware extrêmement grand, mais son objectif n 'est pas de passer inaperçu. Une fois déployé, ce faux logiciel antivirus crée son propre dossier dans ” %systemdrive%\Documents and Settings\ All Users\Application Data\ ” et le renomme à l 'aide d 'une chaîne aléatoire de 8 chiffres. Trojan.Fakealert.CAW crée une copie de lui-même dans ce dossier, sous le même nom aléatoire, ainsi qu 'un fichier batch qui exécute la copie venant d 'être créée avec le paramètre ” install “.

 

Ensuite, le fichier d 'origine et le fichier batch sont supprimés tous les deux. Après avoir infecté le système, le malware affiche des alertes informant l 'utilisateur de l 'installation de ” Security Tool “, crée des raccourcis sur le bureau, dans le menu ” démarrer ” et une icône dans la zone de notification. Afin de démarrer automatiquement, il crée une nouvelle entrée dans le registre sous la clé ” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ” avec le chemin d 'accès à son fichier comme valeur.  

 

 

 

Sa magie commence alors à opérer : l 'utilisateur est informé que son ordinateur est infecté par plusieurs types de malwares et qu 'il doit acheter la version complète de Security Tool pour lancer le processus de désinfection. Pour inquiéter l 'utilisateur, différents messages d 'avertissement apparaissent à l 'écran.

 

Après une analyse approfondie le (faux) antivirus Security Tool demande à l 'utilisateur de redémarrer le système, ce qui ne fait qu 'augmenter les dommages : les éléments du bureau sont masqués et presque toutes les applications auxquelles l 'utilisateur essaie d 'accéder sont fermées. De plus, si l 'utilisateur ouvre un navigateur Internet, des alertes pare-feu s 'affichent.

 

 

 
La comédie se poursuit : un écran de veille représentant un faux ” écran bleu ” nécessitant d 'éteindre l 'ordinateur apparaît, dans le but d 'effrayer l 'utilisateur et de lui faire acheter un logiciel antivirus rogue.
 

Outre le faux composant antivirus,  Trojan.Fakealert.CAW dispose d 'une fonctionnalité de spyware qui tente d 'envoyer des informations sur la machine infectée à un serveur distant.

 

 Informations de cet article disponibles gr?ce à l 'aimable contribution de George Cabău, spécialiste BitDefender des virus informatiques.