Des pages X (pornos) cacheraient un nouveau virus

La vente en ligne du code du ver Briz aboutit à l’apparition de nouvelles versions du cheval de Troie.

Briz.F est la dernière version de cette menace qui pourrait se multiplier dans les mois à venir. « Les caractéristiques de Briz.F laissent penser que les créateurs de l’arnaque ont décidé de profiter des modifications du cheval de Troie original, ou ont créé une nouvelle méthode pour développer et vendre un code malveillant« , a indiqué Luis Corrons, directeur de PandaLabs. Briz.F se cache derrière des pages Web pornographiques. Il peut aussi se diffuser via des e-mails ou des fichiers téléchargés illégalement ou en ‘peer-to-peer‘. Un mode opératoire complexe et élaboré L’attaque de Briz.F commence avec l’installation d’un fichier nommé ‘iexplorer.exe‘ qui sert à préparer le terrain et à détecter la prochaine connexion Internet. Dans ce cas, il se connecte à une certaine page web pour télécharger un autre fichier nommé ‘ieschedule.exe‘. Enfin iexplore.exe déconnecte le service de centre de sécurité Windows et partage l’accès à Internet. Ensuite, ieschedule.exe envoie les informations concernant l’ordinateur infecté (nom, adresse IP, localisation géographique, etc.) à une adresse établie par le pirate. En même temps, il télécharge d’autres fichiers, comme ‘smss.exe‘ qui modifie les fichiers serveurs pour empêcher l’accès aux sites des fournisseurs de solutions de sécurité. Il télécharge aussi ‘ieredir.exe‘ qui redirige les utilisateurs vers de fausses pages s’ils tentent de se connecter à leur service de banque en ligne. Il collecte aussi des informations relatives à la protection du stockage Windows et aux logiciels de mails Outlook, mais aussi Eudora et The Bat, qu’il envoie au pirate. La majorité des fichiers que ce cheval de Troie installe sur le système s’autodétruisent une fois leur ‘travail’ accompli, ce qui renforce la difficulté à déterminer si un utilisateur à été victime d’une attaque par Briz.F.