Malware sur messagerie Facebook
Depuis quelques jours, sur Facebook, des messages comme “hey is this your ex?? Lol” ou “omg you look so cute ”, incitent le destinataire à cliquer sur le lien communiqué et à télécharger le fichier qui est un exécutable qui se dissimule derrière une image .jpg.
En réalité, l'icône du fichier ressemble à un fichier image standard, mais en cliquant dessus, un programme est exécuté et l’infection commence.
Le programme génère tout d’abord une fenêtre indiquant que l’image n’a pas pu être affichée, mais en arrière-plan, il télécharge un trojan sur l'ordinateur qui ouvre une connexion avec un canal IRC. Il reçoit par ce biais des URL pour télécharger deux autres fichiers. L'un est appelé GoogleTool.exe (Trojan.Generic.KDV.320671) et le second killproc.exe.
Le GoogleTool.exe reçoit lui-même un fichier appelé url.txt qui contient des URL plus récentes menant vers de nouvelles "images". Le trojan s’introduit alors dans le navigateur Internet Explorer pour récupérer la liste d’utilisateurs Facebook de la victime et l’utilise pour propager les faux messages à l’ensemble de ses amis, et ainsi de suite.
Dans ce cas précis, les dommages sont assez limités puisque le code malveillant procède uniquement à l’envoi de liens aux amis. Mais attention, les attaquants peuvent échanger à tout moment le virus téléchargé pour récupérer non plus les identifiants Facebook mais d’autres informations plus personnelles.
Si vous souhaitez plus d’informations consultez le G Data Security blog.
En réalité, l'icône du fichier ressemble à un fichier image standard, mais en cliquant dessus, un programme est exécuté et l’infection commence.
Le programme génère tout d’abord une fenêtre indiquant que l’image n’a pas pu être affichée, mais en arrière-plan, il télécharge un trojan sur l'ordinateur qui ouvre une connexion avec un canal IRC. Il reçoit par ce biais des URL pour télécharger deux autres fichiers. L'un est appelé GoogleTool.exe (Trojan.Generic.KDV.320671) et le second killproc.exe.
Le GoogleTool.exe reçoit lui-même un fichier appelé url.txt qui contient des URL plus récentes menant vers de nouvelles "images". Le trojan s’introduit alors dans le navigateur Internet Explorer pour récupérer la liste d’utilisateurs Facebook de la victime et l’utilise pour propager les faux messages à l’ensemble de ses amis, et ainsi de suite.
Dans ce cas précis, les dommages sont assez limités puisque le code malveillant procède uniquement à l’envoi de liens aux amis. Mais attention, les attaquants peuvent échanger à tout moment le virus téléchargé pour récupérer non plus les identifiants Facebook mais d’autres informations plus personnelles.
Si vous souhaitez plus d’informations consultez le G Data Security blog.
Accueil
Envoyer à un ami
Version imprimable
Partager