L'époque où les malwares étaient diffusés principalement sous forme de mail est derrière nous car ils utilisent maintenant d'autres voies. Ceci rend d'autant plus nécessaire une alerte si cette méthode est à nouveau employée. C'est en effet ce que fait le cheval de Troie Exchanger.
Le piège se présente sous la forme d'une lettre d'information envoyée par mail intitulée msnbc.com - BREAKING NEWS. Attention : ce mail ne contient aucune pièce jointe, contrairement à ce qui se pratiquait dans les anciennes infections. Son corps contient l'annonce d'une information parfois véridique, parfois totalement inventée, qui semble émaner de MSNBC-Microsoft. Il invite à cliquer sur un lien pour avoir plus d'informations.
On aboutit alors à une page qui semble bien être celle du service MSNBC, sauf qu'il apparaît une petite fenêtre d'alerte invitant à faire une mise à jour du lecteur Flash en chargeant le fichier adobe_flash.exe. C'est là qu'est le piège car ce fichier est, bien entendu, un cheval de Troie qui entre dans la catégorie des Trojan Downloaders. C'est à dire qu'installé sur l'ordinateur il permet le téléchargement d'autres malwares.
Pris d'un doute un lecteur un peu soupçonneux pourra se méfier de cette invitation à télécharger un programme. Il remarquera alors un bouton Close page, mais c'est en réalité un autre piège S'il clique sur ce bouton il verra en effet s'ouvrir une nouvelle fenêtre intitulée Antivirus XP 2008 qui l'avertira que des infections ont été trouvées sur l'ordinateur (ce qui est faux) et qui proposera le téléchargement d'un antivirus sous la forme d'un fichier scaner.exe. En réalité ce fichier est le même cheval de Troie que adobe_flash.exe. Ce type de fausse détection est un piège classique qu'on rencontre dans de nombreux autres cas.
Ce malware semble faire partie d'une famille connue depuis pas mal de temps, seul son mode de diffusion étant nouveau. Sa diffusion est assez active car à titre personnel, j'ai déjà reçu une dizaine d'exemplaires d'un message de ce type, correspondant à deux variantes A et B. Heureusement il a été détecté dès son arrivée d'une part par l'antispam, d'autre part par l'antivirus.
Si vous avez malencontreusement ouvert ce message et suivi le lien qu'il indique il ne vous reste plus qu'à faire désinfecter votre ordinateur.
Source : Futura-Science