Zbot se diffuse largement en exploitant le nom de Microsoft® Office® Outlook Web Access

Une campagne de diffusion de malwares exploite le nom de Microsoft Office Outlook Web Access.

Le message non sollicité demande aux utilisateurs naïfs d'” appliquer une nouvelle configuration ” à leurs boîtes de réception en raison de plusieurs ” mises à niveau de sécurité “. Le lien de l'e-mail conduit vers une page Web qui affiche illégalement les logos de Microsoft® et Microsoft® Office®, à partir de laquelle les utilisateurs naïfs sont censés télécharger et lancer le fichier contenant les paramètres de la messagerie.

Au lieu de cela, ils reçoivent des malwares :
1) L 'un des plus prolifiques et des plus anciens chevaux de Troie – Trojan.Spy.ZBot.EKF , largement utilisé dans la campagne de diffusion de malwares liée au virus AH1N1.
Zbot injecte du code dans plusieurs processus et ajoute des exceptions  au Pare-feu Microsoft® Windows®, offrant ainsi des fonctionnalités de backdoor et de serveur. Il envoie également des informations sensibles et surveille différents ports à l 'écoute d 'une éventuelle commande des pirates à distance. Les dernières variantes peuvent aussi dérober des informations bancaires, des données de connexion, l 'historique des sites Web visités et d 'autres éléments saisis par l 'utilisateur. Elles prennent également des captures d 'écran du bureau de la machine compromise.

2) Trojan.SWF.Dropper.E , nom générique d 'une famille de chevaux de Troie au comportement similaire : il s 'agit de fichiers Flash, qui n 'affichent habituellement aucune animation/image particulière mais déposent et exécutent plusieurs fichiers malveillants (en exploitant la vulnérabilité Shockwave Flash de logiciels Adobe). Les fichiers déposés sont susceptibles d 'évoluer (différentes variantes peuvent déposer et exécuter différents programmes malveillants).

3) Exploit.HTML.Agent.AM , qui utilise les vulnérabilités permettant d 'exécuter du code arbitraire en chargeant un objet flash spécialement construit dans une page Web. Une fois qu 'une page Web infectée est ouverte, le cheval de Troie crée un objet SWF spécialement conçu permettant l 'exécution d 'une charge utile dans le tas (au moment où nous rédigeons cet article, le fichier téléchargé est détecté sous le nom de Trojan.Spy.ZBot.EKG mais cela est susceptible de changer).

4) Exploit.PDF-JS.Gen : nom générique de fichiers PDF spécialement conçus exploitant différentes vulnérabilités détectées dans le moteur Javascript de PDF Reader, afin d 'exécuter du code malveillant sur les ordinateurs des utilisateurs.

Afin de profiter d'Internet en toute sécurité, BitDefender vous recommande de ne jamais suivre les liens contenus dans des messages provenant d'expéditeurs inconnus et d'installer et de mettre à jour une solution antimalware complète .