BitDefender met les entreprises en garde contre un Trojan espion

L'éditeur BitDefender met en garde contre les dangers d'un nouveau cheval de Troie. Qualifié de « menace sérieuse », le Trojan.Spy.YEK peut être utilisé pour des opérations d'espionnage.

Selon le communiqué de BitDefender, ce cheval de Troie serait capable de renifler les données critiques et les fichiers contenant des informations privées pour les renvoyer ensuite à l'attaquant. Doina Cosovan et Octave Minea, deux chercheurs en malware travaillant pour BitDefender pensent en effet que Trojan.Spy.YEK est un logiciel espion capable de s'introduire derrière les backdoors, ce qui le rend, selon eux, particulièrement dangereux. « Un logiciel espion malveillant dans le réseau local d'une entreprise est un danger et, malheureusement, le nombre de menaces de ce type est en constante augmentation, » ont-ils indiqué. « Utilisant une dll cryptée, ce cheval de Troie se retrouve facilement sauvegardé dans windows/system32/netconf32.dll et une fois injecté dans explorer.exe, rien ne peut l'empêcher de communiquer (si nécessaire) avec l'attaquant,» précisent-ils.

Un logiciel espion derrière le Backdoor

« Le composant backdoor l'aide à se faire enregistrer en tant que service, de manière à recevoir et à suivre les instructions émises depuis un centre de commandement et de contrôle, tandis que le composant espion renvoie les données contenues dans les fichiers, le système d'exploitation, et réalise des captures d'écran des processus en cours. » Parmi les commandes que le Trojan.Spy.YEK est capable d'exécuter il y a l'envoi des fichiers collectés via une requête GET, l'expédition d'informations sur le système d'exploitation et l'ordinateur, les captures d'écran et l'envoi des résultats, le catalogue des processus en cours au sein du système, la recherche de fichiers ciblés en fonction de leur extension. « En résumé, il télécharge toutes les données intéressantes sur un serveur FTP sans le consentement de l'utilisateur, » disent les chercheurs. « Le fait qu'il cherche tout ce qui est lié à des archives, des e-mails (.eml, .dbx), des carnets d'adresses (.wab), des bases de données et des documents (.doc, .odt, .pdf, etc...) fait de Trojan.Spy.YEK l'un des principaux suspects en matière d'espionnage industriel, car il semble cibler les données privées des entreprises. » Doina Cosovan et Octave Minea disent que le cheval de Troie peut fonctionner sans difficulté sur toutes les versions de Windows, depuis Win 95 jusqu'à Windows 7. « Si vous ne l'avez pas encore fait, ce serait peut-être le bon moment de passer vos systèmes à l'antivirus, » conseillent-ils.

Dans la lignée de Stuxnet

Cette dernière mise en garde intervient à la suite d'un nouveau type de menaces connues sous le nom de Stuxnet, un ver malveillant, identifié en juillet 2010. Ce cheval de Troie vise les systèmes Scada (Supervisory Control and Data Acquisition) de Siemens - largement diffusés dans le monde - et utilisés pour le contrôle des systèmes automatisés dans les usines, depuis le traitement des eaux et sa distribution jusqu'à la production d'électricité. Lors de la conférence Govware qui s'est tenue à Singapour en septembre, le professeur Ho Peng Kee, ministre d'État pour la Justice et les affaires intérieures a mis en garde contre les « conséquences catastrophiques qui résulteraient de la prise de contrôle de ces systèmes industriels par des personnes mal intentionnées par le biais des Stuxnet ». En octobre, BitDefender a livré aux utilisateurs infectés un outil gratuit pour supprimer le worm Win32.Worm.Stuxnet.