Un ver extrêmement agressif s 'attaque aux messageries instantanées

Le dernier-né de la famille Palevo se diffuse ces jours-ci via une vague massive de spam de messagerie instantanée générée de façon automatique. Le message non sollicité incite les destinataires à cliquer sur un lien accompagné d 'un smiley souriant, censé les diriger vers une image ou une galerie de photos.  

 

 

Figure 1 – Le message de spam reçu via messagerie instantanée diffusant Palevo

Au lieu d 'ouvrir ce qui est censé être un ensemble d 'images, les utilisateurs sont invités à enregistrer un faux fichier JPG, qui est en fait un exécutable contenant la charge utile malveillante Worm.P2P.Palevo.DP.

 

Figure 2 -Le faux fichier .JPG est en fait un fichier .EXE diffusant le ver

 

Palevo.DP cause des dommages aux systèmes non protégés qu 'il infecte. Il commence par créer plusieurs fichiers cachés dans le dossier Windows : mds.sys, mdt.sys, winbrd.jpg, infocard.exe et modifie certaines clés de registre pour qu 'elles pointent vers ces fichiers afin de neutraliser le pare-feu du système d 'exploitation.

 
Comme les autres membres de sa famille, Palevo.DP dispose d 'un composant de type backdoor qui permet aux attaquants distants de prendre le contrôle total de l 'ordinateur compromis  pour y installer d 'autres malwares, voler des fichiers, lancer des campagnes de spam et des attaques de  malwares sur d 'autres systèmes.
La famille Palevo est également capable d 'intercepter des mots de passe et d 'autres données sensibles entrées dans les navigateurs web Mozilla® Firefox® et Microsoft® Internet Explorer®, ce qui la rend extrêmement dangereuse pour les internautes utilisant des services bancaires en ligne ou faisant des achats sur Internet.

Le mécanisme de diffusion comprend également l 'infection de partages réseau et de supports de stockage amovibles USB, où il crée des fichiers autorun.inf pointant vers sa copie. Lorsqu 'un disque amovible ou une carte mémoire sont insérés dans des ordinateurs ayant la fonction d 'exécution automatique activée ou non protégés par une solution de sécurité d 'analyse à l 'accès, le système est automatiquement infecté.

Les vers Palevo affectent les utilisateurs de plateformes de partage P2P telles qu 'Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule et LimeWire, en ajoutant leur code aux fichiers partagés.

Nous recommandons aux utilisateurs d 'être extrêmement prudents et de ne cliquer sur aucun lien reçu via des clients de messagerie instantanée sans avoir vérifié auprès de l 'expéditeur la validité des sites Web vers lesquels ces liens pointent. Cette offensive du ver Palevo est extrêmement agressive et nous avons assisté au début de cette attaque à des taux d 'infection dépassant largement les 500% par heure pour des pays comme la Roumanie, la Mongolie ou l 'Indonésie.

Article réalisé gr?ce à l 'aimable contribution de Bogdan Timofte, spécialiste BitDefender des menaces informatiques.

Tous les noms de produits et  d 'entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.