UPS sert de cheval de Troie à un malware

Le par  |  2 commentaire(s)
trojan (Small)

PandaLabs émet une alerte concernant un cheval de Troie actuellement véhiculé en pièce jointe d'un message semblant provenir de la société UPS.

trojan (Small)Pas de vacances pour les cybercriminels qui tentent encore et toujours de trouver LE courrier  électronique suffisamment aguicheur qui leur permettra d'arriver à leurs fins. Beaucoup plus sérieux que la promesse d'images coquines de telle ou telle starlette, et donc plus vicieux, la nouvelle campagne de spam à la mode met en scène la société de transport de colis et documents UPS.

Pas de chance, votre colis postal n'a pu être acheminé et vous pourrez trouver la facture en pièce jointe. C'est bien sûr un mail frauduleux prétendument envoyé par UPS, et en guise de facture contenue dans une archive .zip, un cheval de Troie identifié sous le nom de Agent.JEN attend patiemment le signal de sortie. Ce  dernier prend l'apparence d'un document Microsoft Word, UPS_invoice, un exécutable en réalité dont l'ouverture provoque l'installation de Agent.JEN sur l'ordinateur.

PandaLabs explique que le code malicieux effectue des copies de lui-même sur le système, et  remplace le fichier Userinit.exe de Windows servant à lancer Internet Explorer et des processus. " Pour que l'ordinateur continue à fonctionner correctement et éviter ainsi que l'utilisateur suspecte une infection, le cheval de Troie copie le fichier système à un autre endroit sous le nom userini.exe ".

Tout cela pour quoi ? Se connecter à un domaine russe depuis lequel Agent.JEN envoie une requête à un domaine allemand pour télécharger un rootkit et un adware, car c'est bien l'appât du gain financier qui est le moteur de l'infection.

" Pour inciter les utilisateurs à exécuter des fichiers infectés, les pirates utilisent fréquemment des images érotiques, cartes de Noël, messages d'amour, informations sur les derniers films sortis en salle, etc. Cependant, l'utilisation de thèmes tels que celui-ci n'est pas courante. Cela nous indique clairement que les cybercriminels essaient d'utiliser des leurres qui n'attirent pas la suspicion ", précise Luis Corrons, directeur technique de PandaLabs.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #280251
Je l'ai reçu: il est facilement détectable décompacté puisqu'il se présente sous la forme d'un .exe, et je ne crois pas qu'UPS est l'habitude d'envoyer des exécutables pour le suivi d'un paquet précis.

De plus, comme je filtre mon courrier tout simplement en ne le recevant uniquement que sur mes Mac, il est quasi inoffensif ;-)


Le #280441
Euh, on pourrait quand meme preciser, que Userinit, et surtout là pour mettre en place correctement la session utilisateur

D'ailleur :
http://www.generation-nt.com/user-initialization-userinit-exe-processus-27657.html

D'ou a mon avis, la problematique concernant l'infection, le processus etant bien encré dans le systeme, et en meme temps facile a remplacer.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]