Kaspersky, McAfee et Lafool: le bon, l’usurpé et le Trojan

L’imagination des auteurs de vers et virus n’a pas de limite, et rien de vaut un nom connu pour tromper la vigilance de l’internaute?

L’éditeur russe de solutions antivirales Kaspersky a révélé l’existence du cheval de Troie Trojan-Dropper.MSWord.Lafool.v, un programme pernicieux diffusé en masse via un spam, qui se cache pour dérober les mots de passe saisis par l’internaute.

L’originalité de Lafool.v est marketing ! Il se cache derrière un email spammé prétendument expédié par l’éditeur McAfee à l’adresse ‘macafee@europe.com‘, accompagné un document Word attaché ‘McAfee Inc. Reports.doc‘ qui contiendrait un rapport de l’éditeur sur la propagation des programmes malveillants sur Internet.

Le document Word contient en réalité une macro écrite en Visual Basic for Applications, qui n’est en réalité qu’une variante de LdPinch, ‘Trojan-PSW.Win32.LdPinch.bbg‘, un cheval de Troie voleur de mot de passe bien connu qui dérobe en particulier des données confidentielles de l’internaute, dont ses identifiants de messagerie instantanée AOL ou ICQ.

Si l’internaute inconscient commet l’erreur d’ouvrir le fichier, il lance la macro commande qui ouvre LdPinch, récolte les données confidentielles, ouvre un navigateur Internet avec des paramètres spécifiques et expédie les informations collectées, sans que l’utilisateur en soit averti, bien évidemment.

Si l’antivirus présent sur le poste est à jour, il va très certainement reconnaître la signature de LdPinch, et donc Lafool.v ne pourra s’exécuter. Pour les autres…