SECURITE - UN MALWARE CAPTURE LES MOTS DE PASSE BANCAIRES
Publié : 01 juil. 2004 13:00
L'Internet Storm Center annonce la découverte d'un logiciel nuisible qui se
télécharge et s'installe secrètement en exploitant une faille d'Internet
Explorer.
Il surveille ensuite la navigation et capture toutes les frappes au clavier lors
de visites sur des sites de banques.
(Cet incident est indépendant de l'attaque Scob/IIS/Internet Explorer).
Le module espion serait téléchargé sans avertissement sous la forme d'un
fichier GIF («img1big.gif») qui, contrairement à ce qu'indique son
extension, n'est pas une image mais plutôt deux exécutables compressés,
dont un fichier DLL.
Ce dernier est installé, avec un nom généré aléatoirement, en tant
qu'«objet d'aide à la navigation» (Browser Helper Object ou BHO) dans le
sous-dossier System32 du dossier d'installation de Windows.
Selon le document de l'Internet Storm Center, le module malicieux
déroberait ensuite les frappes au clavier, avant qu'elle ne soient cryptées,
lorsque le fureteur charge des sites sécurisés (HTTPS) de banques qui
contiennent, dans le cas des institutions canadiennes, les chaînes de
caractères suivantes: «www1.bmo.com» (Groupe financier BMO),
«www.scotiaonline.scotiabank.com» (Banque Scotia),
«cibconline.cibc.com» (CIBC) et «easyweb.tdcanadatrust.com» (TD
Canada Trust).
Parallèlement à son avertissement, l'Internet Storm Center suggère
l'utilisation de BHODemon, un petit outil gratuit qui permet d'obtenir la
liste des modules «BHO» lancés automatiquement avec Internet Explorer.
En cas de doute sur l'identité ou l'utilité d'un de ces objets (certains sont
des logiciels espions ou publicitaires), il est possible de le désactiver dans
la boîte de dialogue qui apparaît lors d'un clic sur le bouton Details.
La même procédure peut également servir à réactiver un module qui
s'avérait utile.
Afin de contourner les failles actuelles d'Internet Explorer, Microsoft
suggère d'augmenter le niveau de sécurité de son fureteur.
Avec la multiplication des menaces, une partie des internautes peuvent se
résoudre à adopter un autre navigateur.
Jean-Charles Condo (Le 30 Juin 2004 )
scott
télécharge et s'installe secrètement en exploitant une faille d'Internet
Explorer.
Il surveille ensuite la navigation et capture toutes les frappes au clavier lors
de visites sur des sites de banques.
(Cet incident est indépendant de l'attaque Scob/IIS/Internet Explorer).
Le module espion serait téléchargé sans avertissement sous la forme d'un
fichier GIF («img1big.gif») qui, contrairement à ce qu'indique son
extension, n'est pas une image mais plutôt deux exécutables compressés,
dont un fichier DLL.
Ce dernier est installé, avec un nom généré aléatoirement, en tant
qu'«objet d'aide à la navigation» (Browser Helper Object ou BHO) dans le
sous-dossier System32 du dossier d'installation de Windows.
Selon le document de l'Internet Storm Center, le module malicieux
déroberait ensuite les frappes au clavier, avant qu'elle ne soient cryptées,
lorsque le fureteur charge des sites sécurisés (HTTPS) de banques qui
contiennent, dans le cas des institutions canadiennes, les chaînes de
caractères suivantes: «www1.bmo.com» (Groupe financier BMO),
«www.scotiaonline.scotiabank.com» (Banque Scotia),
«cibconline.cibc.com» (CIBC) et «easyweb.tdcanadatrust.com» (TD
Canada Trust).
Parallèlement à son avertissement, l'Internet Storm Center suggère
l'utilisation de BHODemon, un petit outil gratuit qui permet d'obtenir la
liste des modules «BHO» lancés automatiquement avec Internet Explorer.
En cas de doute sur l'identité ou l'utilité d'un de ces objets (certains sont
des logiciels espions ou publicitaires), il est possible de le désactiver dans
la boîte de dialogue qui apparaît lors d'un clic sur le bouton Details.
La même procédure peut également servir à réactiver un module qui
s'avérait utile.
Afin de contourner les failles actuelles d'Internet Explorer, Microsoft
suggère d'augmenter le niveau de sécurité de son fureteur.
Avec la multiplication des menaces, une partie des internautes peuvent se
résoudre à adopter un autre navigateur.
Jean-Charles Condo (Le 30 Juin 2004 )
scott
