Le social engineering est résolument la technique de propagation de ces dernières années. En effet, nos amis néophytes de l’informatique, cliquant sur tout ce qui bouge sans douter de l’intégrité des informations, tomberont bien souvent dans les pièges tendus par les créateurs de programmes infectieux. Combinée à l’utilisation des messagerie instantanées comme moyen de diffusion, cette technique s’avère particulièrement sournoise.
Ainsi, il n’est pas rare de recevoir par MSN des messages envoyé à l’insu des contacts infectés, invitants à cliquer sur un lien menant vers une page vérolée.
Dernier en date, reçu en ce mois de Février 2010 (en milieu de conversation):
« et des photos de toi 🙂 httq://www-viewpic.com/getphoto.php?=xxx@hotmail.fr »
Ce lien mène vers le téléchargement direct du fichier « IM88532.JPG-www.facebook.com.exe » qui infectera la machine qui l’exécute et utilisera le compte Live Messenger pour continuer sa propagation.
Le rapport VirusTotal de ce fichier prouve que cette nouvelle infection n’est à ce jour détectée que par peu d’antivirus.
Peu évoluée dans sa mécanique d’infection, ce programme se révèle plus particulièrement par sa capacité à tromper l’utilisateur, et à s’installer depuis un compte limité (sans droits administrateur). Utilisant les méthodes classiques et grossières de camouflage (à commencer par le nommage du fichier infectieux), il sera facilement supprimé par qui connait son système.
MAJ du 18/02/2010: l’antivirus Antivir détecte depuis ce jour cette infection comme étant un cheval de Troie de type TR/Buzus.dfdt. Avira se montre une fois encore des plus réactifs quant aux nouvelles menaces, lorsque d’autres solutions anti-virales n’y voient encore que du feu.
Se protéger:
La méfiance reste la meilleur protection contre ce genre d’attaque.
– Utiliser un antivirus à jour avec scanner temps réel. (Antivir: gratuit et bénéficiant d’une bonne réactivité face aux nouvelles menaces).
– Spybot empêche l’ouverture des pages web infectieuses connues en patchant le fichier « hosts ».
Désinfection:
– Malwarebytes’ Anti-Malware bénéficie d’une bonne base de signatures et permet de se débarrasser de la plupart de ces infections.
– SuperAntiSpyware a également une bonne réputation dans la matière.
– ComboFix permet de nettoyer un grand nombre de vers et autres chevaux de Troie (nécessite une bonne connaissance de ces outils).
– CleanMSN a pour vocation de s’occuper des vers MSN. Dommage qu’il ne soit pas assez actualisé.
Désinfection manuelle:
Cette infection étant de type cheval de Troie, il sera judicieux de couper en premier lieu l’accès internet de la machine infectée.
S’installant sur un système sans droit administrateurs, ce programme crée l’exécutable « Infocard.exe » sous le profil « Public » (à ne pas confondre avec le fichier légitime infocard.exe du répertoire Windows, appartenant au Framework .Net). Le processus sera lancé par le registre au démarrage de la machine.
1- Tuer le processus infocard.exe exécuté sur le compte courant
2- Supprimer le fichier Users/Public/Infocard.exe
3- Supprimer l’entrée « Firewall Administrating » se trouvant sous « HKCUSoftwareMicrosoftCurrentVersionRun »
4- Ne pas oublier de supprimer le fichier téléchargé qui est à l’origine de l’infection ainsi que de vider le cache du navigateur utilisé.
