Les cartes de vœux ont toujours été exploitées par les auteurs de malwares pour diffuser des programmes malveillants. Et tout comme Win32.Worm.Waledac, qui envoie lui aussi de fausses cartes électroniques, Win32.Worm.Prolaco se retrouve dans les boîtes de réception des utilisateurs à l’occasion des différentes fêtes de l’année. Cette version du ver Prolaco ouvre la voie à Halloween et il y a de bonnes raisons d’avoir peur. Avec l’arrivée d’Halloween, mieux vaut se méfier des pièces jointes reçues dans votre boîte mail.

Prolaco se diffuse via des e-mails contenant des pièces jointes avec des fichiers exécutables se faisant passer pour une extension  .doc, .chm, .pdf, .jpg, ou .htm. Ils sont nommés « card.pdf.exe », « document.chm.exe », raison pour laquelle ils sont difficiles à détecter lorsque le système d’exploitation est paramétré pour ne pas afficher les types de fichiers connus.

Prolaco peut également se diffuser via des périphériques amovibles USB et des réseaux de partage de fichiers peer-to-peer. Ce ver crée un fichier  autorun.inf pointant vers un fichier exe, identifié actuellement sous le nom de « redmond.exe », bien que cela puisse changer dans les versions les plus récentes.

Prolaco fait plusieurs copies de lui-même : l’une, masquée, sera ajoutée au dossier système sous les noms de « wmimngr.exe », « jusched.exe » ou « wfmngr.exe », alors que d’autres seront « diffusées » via les sites de partage de fichiers, où elles se font passer pour des « cracks » ou « générateurs de clés » de différents programmes commerciaux.

Le ver est plus dangereux qu’il n’y paraît à première vue. Son objectif est l’installation d’un outil d’accès à distance qui permet à un attaquant de prendre le contrôle d’une machine infectée et de disposer des données qui y sont stockées comme bon lui semble.

Source : malwarecity