Comme les autres membres de la famille Conficker, il limite l’accès aux sites web des antivirus et supprime des outils antimalwares.
Si Yahoo! Messenger et MSN Messenger ont été attaqués massivement par des vers de messagerie instantanée, les utilisateurs de Skype ont été jusqu’à présent relativement épargnés par ce type d’e-menace. Il est vrai que les vers envoyant des liens hypertextes sont fréquents et de multiples variantes affectent différents services de messagerie instantanée, mais la plupart d’entre eux sont extrêmement faciles à supprimer et ne bénéficient pas d’une protection supplémentaire. Contrairement aux vers de messagerie standard, Backdoor.Tofsee dispose de nombreux moyens pour éviter d’être détecté et supprimé, et pour porter préjudice à la fois aux utilisateurs et à leur ordinateur.
Le ver a recours à une technique d’ingénierie sociale pour tromper les utilisateurs et leur faire télécharger et exécuter une copie de lui-même sur leur machine. Il recherche les paramètres régionaux du système (pays, langue et devise) afin de déterminer dans quelle langue envoyer ses messages à des contacts de messagerie. Il peut utiliser l’anglais, l’espagnol, l’italien, le néerlandais, l’allemand et le français pour se diffuser via Skype ou Yahoo! Messenger. Ces fausses conversations sont toujours différentes des messages envoyés auparavant et sont constamment mises à jour à distance. Afin d’éviter d’éveiller les soupçons, le ver transmet uniquement son message au cours d’une conversation, au lieu d’envoyer son lien directement, de manière aléatoire. Si l’utilisateur clique sur le lien infecté, il est redirigé vers une page « spoofée » imitant Rapidshare. S’il clique ensuite sur le faux lien de téléchargement Rapidshare, il obtient une archive compressée nommée NewPhoto024.JPG.zip. Une fois extraite, l’archive révèle un fichier exécutable au nom trompeur : NewPhoto024.JPG_www.tinyfilehost.com, qui a l’apparence d’un fichier JPG suivi d’une URL.
Lire la suite : malwarecity.fr
Si Yahoo! Messenger et MSN Messenger ont été attaqués massivement par des vers de messagerie instantanée, les utilisateurs de Skype ont été jusqu’à présent relativement épargnés par ce type d’e-menace. Il est vrai que les vers envoyant des liens hypertextes sont fréquents et de multiples variantes affectent différents services de messagerie instantanée, mais la plupart d’entre eux sont extrêmement faciles à supprimer et ne bénéficient pas d’une protection supplémentaire. Contrairement aux vers de messagerie standard, Backdoor.Tofsee dispose de nombreux moyens pour éviter d’être détecté et supprimé, et pour porter préjudice à la fois aux utilisateurs et à leur ordinateur.
Le ver a recours à une technique d’ingénierie sociale pour tromper les utilisateurs et leur faire télécharger et exécuter une copie de lui-même sur leur machine. Il recherche les paramètres régionaux du système (pays, langue et devise) afin de déterminer dans quelle langue envoyer ses messages à des contacts de messagerie. Il peut utiliser l’anglais, l’espagnol, l’italien, le néerlandais, l’allemand et le français pour se diffuser via Skype ou Yahoo! Messenger. Ces fausses conversations sont toujours différentes des messages envoyés auparavant et sont constamment mises à jour à distance. Afin d’éviter d’éveiller les soupçons, le ver transmet uniquement son message au cours d’une conversation, au lieu d’envoyer son lien directement, de manière aléatoire. Si l’utilisateur clique sur le lien infecté, il est redirigé vers une page « spoofée » imitant Rapidshare. S’il clique ensuite sur le faux lien de téléchargement Rapidshare, il obtient une archive compressée nommée NewPhoto024.JPG.zip. Une fois extraite, l’archive révèle un fichier exécutable au nom trompeur : NewPhoto024.JPG_www.tinyfilehost.com, qui a l’apparence d’un fichier JPG suivi d’une URL.
Lire la suite : malwarecity.fr
Commentaires