lundi 24 septembre 2007

Un virus dans un patch de sécurité de Microsoft

Un patch officiel de sécurité publié par Microsoft intitulé "Cumulative Security Update for Internet Explorer = (6576375)" contient un virus, plus exactement un Troyen malveillant.
Selon Symantec, ce patch contient un code malicieux qui infecte le PC de la victime. L'utilisateur reçoit un e-mail, en fait du spam, se faisant passer par un bulletin de sécurité de Microsoft prétendant offrir un patch pour le navigateur Internet Explorer.
Mais ce n'est pas le cas, explique Vikram Thakur, l'ingénieur responsable de la sécurité informatique chez Symantec. L'e-mail contient soit un fichier attaché verolé soit propose un lien vers une page piratée contenant le code malicieux qui sera immédiatement télécharger sur le PC à l'insu de l'utilisateur si celui-ci à l'imprudence de cliquer sur le lien.
Plus vicieux encore, afin de semer davantage la confusion chez l'utilistateur, "l'installer distribué avec l'e-mail contient une mise à jour officielle publiée par Microsoft. Mais ce n'est évidemment pas le seul fichier qui se trouve dans le package. Si vous essayez de lancer l'exécutable, en complément de la signature digitalisée du patch, un logiciel malveillant (malware) sera installé sur votre ordinateur. Nous avons détecté ce fichier comme étant un Downloader. Il télécharge et installe un Browser Helper Object (BHO) pour Internet Explorer. Ce BHO est téléchargé aussitôt que vous accédez à Internet. Les spécialistes noteront que le nom de ce site est associé à des applications malicieuses qui ont été utilisées plusieurs fois dernièrement", a expliqué Thakur.
Apprendre à identifier l'intrus
Un utilisateur bien informé et astucieux découvrira que le message décrit dans l'e-mail de spam ci-dessous contient des informations erronées qui doivent lui mettre la puce à l'oreille.
Tout d'abord, la mise à jour prétend avoir été émise le 9 septembre 2007. Or, si on consulte le "TechNet", la base de connaissances de Microsoft à la recherche des bulletins de sécurité publiés ce mois là, cette date, bien que proche du cycle des patches mensuels de Microsoft aurait dû coïncider avec la date du 11 septembre.
De plus, non seulement la référence du bulletin "MS06-602" n'existe pas, mais les bulletins de sécurité publiés en 2007 commencent tous par "MS07", le préfixe "MS06" faisant référence à l'année passée.
Enfin, en septembre, Microsoft n'a publié aucun patch de sécurité pour Internet Explorer.
Les utilisateurs doivent donc être très prudents quand ils recoivent des e-mails venant soi-disant de sociétés qu'ils n'ont pas contacté, qu'il s'agisse de Microsoft dans ce cas-ci ou d'une banque avec laquelle ils sont éventuellement en relation, d'autant plus si le message leur demande de télécharger un programme ou un patch correctif. N'accédez jamais à ce genre de demande et supprimez immédiatement cet e-mail.
En cas de doute, et si vous aimez jouer avec le feu, déplacez l'e-mail suspect dans un répertoire "virus" et interrogez Internet à la recherche de la mise à jour en question sur le site du fournisseur mais également sur celui des fabricants d'anti-virus (Symantec, F-Secure, McAfee, Norton, Kaspersky, etc). En général, l'alerte a déjà été rapportée. Quant à votre PC, veillez toujours à ce que votre anti-virus soit à jour afin qu'il détecte immédiatement toute intrusion.

2 commentaires :

  1. Bizarre...

    J'ai demandé la confirmation à un labo russe en virologie et il ne confirme pas cette info....

    RépondreSupprimer
  2. En effet, un labo de virologie est spécialisé en microbiologie...

    RépondreSupprimer