Il est possible que le navigateur Web actuellement utilisé n'affiche pas ce site correctement.

TrendSecure fonctionne au mieux lorsqu’il est ouvert avec la dernière version de Microsoft Internet Explorer ou Mozilla Firefox .

Première ligne de défense

Programme espion détecté sur Skype

Un ver ayant pour cible les utilisateurs de Skype, l'application téléphonique VoIP, a récemment été découvert en région Asie-Pacifique, particulièrement en Corée. Selon Websense, le ver se sert du chat Skype pour télécharger et exécuter un fichier nommé sp.exe. Il semble que le fichier dépose un cheval de Troie volant les mots de passe ainsi que le ver dans un format compressé à l'aide de NTKrnl Secure Suite, un outil de compression rare, mais connu.

« La (plus ou moins) bonne nouvelle est qu'aucune épidémie n'a été identifiée à ce jour », affirme Paul Oliveria de Trend Micro. « Cela ne veut pas dire pour autant que les utilisateurs de Skype doivent ignorer ce phénomène et continuer à cliquer sur les liens qu'ils reçoivent lors d'une conversation. »

Étant donné que le programme espion ne semble pas exploiter de failles de Skype, il est demandé aux utilisateurs d'envoyer le lien aux contacts disponibles d'un utilisateur Skype affecté. Un utilisateur affecté est averti de la tentative d'accès d'un programme et doit l'accepter ou la refuser. Par conséquent, les utilisateurs ne doivent pas autoriser l'accès à Skype aux programmes douteux et doivent aussi éviter de cliquer sur des liens provenant de sources inattendues.

Trend Micro identifie actuellement le composant qui vole les mots de passe sous le nom de TSPY_SKPE, celui-ci n'étant pas le premier programme malveillant/programme espion à utiliser Skype : en octobre dernier, le programme TSPY_SKPE.A a été identifié.

Selon Oliveria, « La différence entre ce programme espion et le ver du mois d'octobre est que celui-ci utilise déjà un code plus malveillant (vol d'informations) alors que le ver se duplique uniquement vers d'autres utilisateurs ».

Bien que la technique de propagation de ce ver soit courante, la technologie VoIP est en bonne voie de devenir un nouveau vecteur de programmes malveillants que les malfaiteurs peuvent exploiter à souhait. En outre, la routine de vol de mots de passe, la compression polymorphique servant à compliquer la détection et un pays d'origine spécifique sont autant d'éléments indicateurs d'une attaque locale/ciblée motivée par l'appât du gain.

Trend Micro peut déjà détecter ce programme espion à l'aide du dernier fichier de signatures. En suivant les instructions de suppression manuelle de programmes, les utilisateurs affectés peuvent effacer le fichier détecté en supprimant l'entrée de registre qu'il crée.

Le cheval de Troie est hébergé par un site Web malveillant. Un lien vers ce site est envoyé aux contacts Skype via la fonction de chat, invitant les utilisateurs à cliquer dessus. Ce cheval de Troie peut utiliser une forme d'ingénierie sociale en se présentant comme un programme inoffensif. Depuis l'écriture de cet article, le site n'est déjà plus disponible.

L'analyse initiale de l'échantillon reçu par l'équipe du service technique révèle que ce programme espion est un enregistreur de frappe type, qui enregistre la saisie au clavier des utilisateurs et sauvegarde les données collectées dans un fichier texte. Cette routine peut autoriser l'accès d'utilisateurs malveillants, y compris de pirates à distance, au compte Skype d'un utilisateur affecté, à des comptes bancaires en ligne et bien d'autres encore.

Comme l'équipe du service technique n'a reçu que deux notifications de ce problème jusqu'à présent, Trend Micro considère qu'il s'agit d'un cas isolé.

« Selon nos ingénieurs antivirus, le nombre restreint de signalements du cas est en partie dû au fait que la fonction de scan en temps réel de nos produits détecte et supprime déjà le programme espion », affirme Oliveria. « Cela indique peut-être aussi que les utilisateurs Skype sont assez intelligents pour ne PAS cliquer sur ce lien suspect ou que les auteurs de programmes malveillants tâtent seulement le terrain. »

Il est possible que nous assistions à l'avenir à l'apparition de menaces supplémentaires via VoIP. Il est vrai que le vishing (phishing à l'aide de la technologie VoIP) fait déjà parler de lui sur Internet. En outre, Wikipédia inclut déjà un article en anglais (http://en.wikipedia.org/wiki/VoIP_spam) traitant du « problème pas encore déclaré » de spam utilisant la technologie VoIP, appelé le SPIT (Spam over Internet Telephony). On peut s'attendre à d'autres menaces similaires basées sur VoIP, voire plus sophistiquées.