Première ligne de défense
Storm a déclenché une tempête
Le cheval de Troie « Storm », détecté par Trend Micro sous le nom de TROJ_SMALL.EDW, a fait son apparition le 19 janvier 2007, infectant des ordinateurs dans le monde entier, la majorité des attaques ayant eu lieu dans la région Asie Pacifique. Il s'agit d'une menace Internet regroupant plusieurs composants de programmes malveillants et utilisant un rootkit pour contourner le filtrage. Son objectif ultime est de créer un réseau de zombies pair à pair.
Le cheval de Troie utilise deux vecteurs d'infection :
- En tant que fichier introduit par un autre programme malveillant, plus particulièrement WORM_NUWAR.CQ, un ver de publipostage qui se propage en utilisant des titres relatifs à l'amour. Parmi les lignes d'objet de ces messages frauduleux, on peut par exemple trouver : « Le miracle de l'amour », « Le parfait amour », « Un parfum d'amour ».
- En tant que fichier joint à un message de spam ayant pour ligne d'objet un événement d'actualité tel que « 230 morts dans la tempête qui ravage l'Europe » afin d'inciter les destinataires à l'ouvrir. On peut aussi trouver comme sujet : « Tueur à 11 ans, en liberté à 21 ans pour récidiver », « Génocide des musulmans britanniques » et « Coup de pied de la secrétaire d'État américaine Condoleeza Rice à la chancelière allemande Angela Merkel. »
La méthode de transmission du courrier électronique fait usage de techniques courantes d'ingénierie sociale reprenant des titres relatifs à l'actualité et aux sujets dérivés de l'amour, pouvant être inspirés de la Saint Valentin. Cela incite les utilisateurs à ouvrir les pièces jointes correspondantes qui s'avèrent être une vidéo sur la soi-disante histoire d'actualité. Les fichiers malveillants portent des noms tels que Tout l'extrait.exe, Toute l'histoire.exe, Toute la vidéo.exe, ou En savoir plus.exe.
Selon Ivan Macalintal, premier analyste des menaces chez Trend Micro, ce cheval de Troie qui utilise des techniques de propagation courantes est unique. « C'est l'un des premiers chevaux de Troie observés capable de créer un réseau de zombies pair à pair étendu. En général, les réseaux de zombies se servent de services IRC (Internet Relay Chat) pour exécuter des fonctions de commande et de contrôle. Les réseaux de zombies IRC étant de plus en plus faciles à détecter, il semble que les auteurs de programmes malveillants se tournent vers de nouvelles techniques. »
Les infections par le cheval de Troie Storm ont atteint leur plus haut niveau le 22 janvier 2007 et ont commencé à décroître le 23 janvier. Trend Micro recommande les méthodes suivantes pour protéger les entreprises et les particuliers :
- Protégez votre PC et/ou réseau à l'aide de fonctions de filtrage d'URL, de scan de rootkits et de scan de messagerie électronique.
- Si vous êtes administrateur informatique, protégez vos utilisateurs et votre réseau an bloquant tous les URL figurant sur la liste de la page Détails techniques dans la description de TROJ_SMALL.EDW fournie par Trend Micro.
- Si vous ne disposez pas d'une fonction de filtrage d'URL appropriée, bloquez l'accès aux URL répertoriés dans cette liste. Visitez uniquement des sites Web fiables et ne téléchargez pas de fichiers de sources inconnues.
- N'ouvrez pas de messages électroniques ni de pièces jointes provenant de destinataires inconnus. N'ouvrez pas les fichiers exécutables (.exe) joints aux messages électroniques.
- Si vous voulez vous assurer de ne pas avoir été infecté par ce cheval de Troie, exécutez un scan manuel à l'aide de votre produit Trend Micro mis à jour ou à l'aide d'HouseCall, le scan antivirus en ligne gratuit de Trend Micro. HouseCall est disponible ici.
Pour obtenir de plus amples informations et actualités sur cette menace, consultez l'encyclopédie des virus de Trend Micro.
Pour obtenir des informations spécifiques sur la prévention et le nettoyage, consultez la rubrique Informations sur les solutions Trend Micro.
