Agent.AF est un programme malicieux de type cheval de Troie. Avec ses multiples variantes, il fait partie de l'infection Storm Worm destinée à contaminer un grand nombre d'ordinateurs au niveau mondial. Il se présente sous la forme d'un courriel sans fichier joint renvoyant le destinataire vers une page web piégée, en tentant de se faire passer notamment pour une carte électronique prétendument envoyé par un proche, avec plusieurs variantes dont une dédiée à la fête nationale américaine, pour une fausse alerte sécurité, pour des cartes d'anniversaire, de félicitations ou d'amour, ainsi que pour des photographiques coquines envoyées par un(e) mystérieux inconnu(e).
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. Les utilisateurs de Windows doivent également à mettre à jour leurs logiciels afin de corriger les failles de sécurité exploitables par Agent.AF et ses variantes pour s'installer automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et supprimer Agent.AF et ses variantes.
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
SPR/Spam.Agent.AF.9 (Antivir)
Downloader.Tibs.5.BI (AVG)
Trojan.Peed.HXN (BitDefender)
Trojan.Small-2718 (ClamAV)
Trojan.Packed.140 (Dr.Web)
W32/Tibs.TU (F-Prot)
SpamTool.Win32.Agent.af (Kaspersky)
Downloader-ASH.gen (McAfee)
W32/Zhelatin.gen!eml (Mc Afee)
Spammer:Win32/Agent.AA (Microsoft)
Tibs.gen118 (Norman)
Trj/Downloader.MDW (Panda)
Mal/EncPk-Q (Sophos)
Trojan.Packed.13 (Symantec)
WORM_NUWAR.GU (Trend Micro)
Storm Worm
StormWorm
Ver de la tempête
TAILLE :
8 Ko
DECOUVERTE :
22/06/2007
DESCRIPTION DETAILLEE :
Agent.AF est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.
Il se présente sous la forme d'un courrier électronique en anglais prétendument envoyé de la part d'un proche depuis un site web de cartes postales électroniques de Hong Kong (nom de domaine avec une extension en .hk) et invitant le destinataire à cliquer sur un lien hypertexte afin de découvrir le message reçu :
Good day.
Your family member has sent you an ecard from du****.hk.
Send free ecards from du****.hk with your choice of colors, words and music.
Your ecard will be available with us for the next 30 days. If you wish
to keep the ecard longer, you may save it on your computer or take a print.
To view your ecard, choose from any of the following options:
--------
OPTION 1
--------
Click on the following Internet address or
copy & paste it into your browser's address box.
http://du****.hk/?01cba46921636c804814655 --------
OPTION 2
--------
Copy & paste the ecard number in the "View Your Card" box at
http://du****.hk/ Your ecard number is
01cba46921636c804814655
Best wishes,
Postmaster,
du****.hk
*If you would like to send someone an ecard, you can do so at
http://du****.hk/ Si l'utilisateur clique sur un des liens proposés, il est renvoyé vers une page web doublement piégée. Elle tente en effet d'exploiter plusieurs failles de sécurité via le navigateur (QuickTime, Winzip et Microsoft WebViewFolderIcon) pour exécuter du code malveillant automatiquement et sous prétexte d'une nouvelle fonctionnalité propose de télécharger un fichier ecard.exe, qui se trouve être malicieux et non encore détecté par tous les antivirus :
Si ce fichier est exécuté, le cheval de Troie s'installe et permet la prise de contrôle à distance de l'ordinateur contaminé par une personne malveillante, constituant un gigantesque réseau de PC "zombies".
http://www.secuser.com/alertes/2007/agentaf.htm#070709
Accueil 
Lun 20 Aoû - 7:25