Il est possible que le navigateur Web actuellement utilisé n'affiche pas ce site correctement.

TrendSecure fonctionne au mieux lorsqu’il est ouvert avec la dernière version de Microsoft Internet Explorer ou Mozilla Firefox .

Première ligne de défense

Attaques de codecs vidéo

Le téléchargement de vidéos devient de plus en plus populaire, tout comme le téléchargement de logiciels malveillants. Depuis le mois de mars de cette année, TrendLabs a enregistré un pic dans le nombre des menaces téléchargées via des fichiers codecs contenant des chevaux de Troie.

Ce problème concerne les fichiers codecs (fichiers servant à prendre en charge la lecture en transit ou la transmission de signaux vidéo) présentant les extensions .ASX and .ASF. ASF (Advanced Streaming Format) est un format de support créé par Microsoft. Les fichiers audio et/ou vidéo compressés à l'aide de plusieurs codecs peuvent être stockés au format ASF puis transmis en continu pour être lus. Les fichiers ASX (Advanced Streaming Redirector) sont des fichiers de commande textuelle gérant la lecture en transit des fichiers ASF.

Le processus d'infection commence lorsqu'un utilisateur télécharge un soi-disant fichier film d'extension .ASX. Ces fichiers ASX peuvent contenir des liens redirigeant vers des sites malveillants qui hébergent du faux contenu ASF. TROJ_ASXLOAD et ses variantes en sont un exemple. Ce programme malveillant charge un fichier ASF vierge affichant un message stipulant qu'un codec supplémentaire doit être installé pour pouvoir lire la vidéo.

Un lien « utile » s'affiche pour aider l'utilisateur à trouver le codec supplémentaire à télécharger.

Le codec supplémentaire est en fait un cheval de Troie téléchargeur appelé TROJ_ADLOAD.EK.

Le cheval de Troie téléchargeur s'infiltre dans le système. Il peut agir en tant que BHO comme la barre d'outils Google, Yahoo ou Earthlink. Il peut également utiliser des contrôles ActiveX pour permettre d'afficher différentes fenêtres publicitaires.

Il se peut que d'autres téléchargeurs se soient installés. Les TrendLabs ont noté l'installation de TROJ_ZLOB.ANT qui modifie les entrées DNS sur l'ordinateur hôte pour rediriger les utilisateurs vers d'autres sites malveillants.

Les variantes de TROJ_ZLOB téléchargent à leur tour d'autres fragments de code malveillants issus de différents sites Web. Ce code malveillant peut être une fausse fenêtre publicitaire affichant un faux résultat de scan. Le faux résultat de scan fournit alors aux utilisateurs un lien vers un site trompeur de téléchargement de logiciels anti-programmes espions.

« Nous avons entendu parler de gangs qui créent des spams et se livrent à d'autres activités illégales », explique Jamz Yaneza, premier analyste des menaces chez Trend Micro.

« L'un de ces gangs vole des données codec. Il est présent en Italie, aux États-Unis et dans de nombreux autres pays. Il utilise les codecs réels ou le site Web sur lequel vous devez acheter le codec ou il tente de vous vendre des prétendus anti-programmes espions en installant des programmes espions sur votre système. En fait, le logiciel anti-programmes espions est bien un programme espion, mais il affiche une fenêtre contextuelle annonçant : "Vous avez été infecté. Nous ne pouvons pas nettoyer votre système avant que vous achetiez ce produit anti-programmes espions. Veuillez saisir votre numéro de carte de crédit et vos coordonnées." Les coordonnées bancaires de l'utilisateur sont volées lors de l'achat du prétendu anti-programmes espions. »

L'augmentation des menaces issues des installations ZLOB est attribuée au nombre croissant de personnes expérimentées en technologie de lecture vidéo en transit et à l'augmentation correspondante du nombre de sites d'hébergement tels que YouTube et Rocket Boom.

L'augmentation subite enregistrée entre les mois d'avril et d'août est en partie due au fait que de nombreux adeptes de la télévision téléchargent au cours de cette période les épisodes manqués de leurs feuilletons préférés. Le dernier épisode d'une saison est généralement diffusé après le mois d'avril et la nouvelle saison ne commence pas avant octobre ou novembre.

Au niveau des réseaux poste à poste (P2P) où la plupart des téléchargements sont effectués, les contenus malveillants sont quasiment toujours aussi nombreux. (Voir le tableau joint : un seul exemple indique des infections uniques ; plusieurs exemples indiquent la répétition réelle des infections depuis le même parc d'utilisateur).

L'utilisation de codecs constitue un autre problème lié aux menaces Internet téléchargées et ouvre une nouvelle voie aux malfaiteurs pour réaliser des profits illicites grâce à des utilisateurs peu méfiants. En plus des codecs, les e-mails de phishing constituent une autre méthode pour tromper les utilisateurs.

Par exemple, TROJ_SMITFRAUD.A modifie un fichier DLL (Dynamic Link Library) de Windows et télécharge un cheval de Troie qui contrôle le trafic (voir #5 ci-dessus).

Selon Jamz, « La plupart de ces attaques sont basées sur du code ».

« Auparavant, après avoir chargé une vidéo, on pouvait renommer l'extension en .AVI ou .WMV. Mais maintenant, lorsque l'on ouvre Windows Media Player, il reconnaît ces fichiers et renvoie automatiquement vers des fichiers .ASF et .ASX. Il s'agit ni plus ni moins d'une activité frauduleuse. Nous continuerons à rencontrer ces types de menaces dans la mesure où de plus en plus de personnes et de pays se connectent et pratiquent des activités avancées telles que le visionnage de vidéos. »