News
PandaLabs met en garde contre de faux emails d’UPS visant à propager le cheval de Troie Agent.JEN
juillet 2008 par Panda
PandaLabs alerte les utilisateurs face à l’apparition d’emails frauduleux destinés à propager le cheval de Troie Agent.JEN.
Ces emails prétendent provenir de la société de transport de colis et documents UPS. L’objet est par exemple "UPS packet N3621583925". Le message informe que le colis postal n’a pas pu être transmis à son destinateur et propose de télécharger la facture en pièce jointe.
La pièce jointe est une archive ".zip" contenant la prétendue facture : un fichier exécutable qui se fait passer pour un document Microsoft Word et portant un nom tel que "UPS_invoice". Si l’utilisateur ouvre ce fichier, il installe une copie du cheval de Troie Agent.JEN sur son ordinateur.
Le code malicieux effectue alors des copies de lui-même sur le système, remplaçant le fichier Userinit.exe du système d’exploitation Windows. Ce fichier sert à lancer le navigateur Internet Explorer, l’interface du système et d’autres processus essentiels. Pour que l’ordinateur continue à fonctionner correctement et éviter ainsi que l’utilisateur suspecte une infection, le cheval de Troie copie le fichier système à un autre endroit sous le nom userini.exe.
"Tous ces efforts pour ne pas être remarqué correspondent à la nouvelle dynamique des malwares : les cyber-criminels ne sont plus intéressés par la gloire mais par les retours financiers de leurs actions et ils ont besoin pour cela d’être les plus discrets possible", indique Luis Corrons, directeur technique de PandaLabs.
Enfin, Agent.JEN se connecte à un domaine russe (déjà utilisé par d’autres chevaux de Troie bancaires) depuis lequel il envoie une requête à un domaine allemand afin de télécharger un rootkit et un adware détectés par PandaLabs comme Rootkit/Agent.JEP et Adware/AntivirusXP2008. Le risque d’infection en est d’autant accru.
"Pour inciter les utilisateurs à exécuter des fichiers infectés, les pirates utilisent fréquemment des images érotiques, cartes de Noël, messages d’amour, informations sur les derniers films sortis en salle, etc. Cependant, l’utilisation de thèmes tels que celui-ci n’est pas courante", précise Luis Corrons. "Cela nous indique clairement que les cyber-criminels essaient d’utiliser des leurres qui n’attirent pas la suspicion".
