Pensez-vous que le fichier d’aide de Windows est sans danger ? Et bien détrompez-vous. Les auteurs de malwares peuvent créer des fichiers HLP piégés, conçus pour infecter votre ordinateur.
SophosLabs a mis la main à la fin du mois d’août, sur un étrange fichier portant l’extension .HLP et après étude, il s’est révélé être plus dangereux qu’il n’en a l’air !
Le fichier se nomme “Amministrazione.hlp” (mot italien pour désigner « Administration ») et il est un exemple parfait de la façon dont les cybercriminels peuvent utiliser l’ingénierie sociale pour tromper les utilisateurs peu méfiants et infecter leurs ordinateurs par des malwares.
A l’ouverture, le fichier indique qu’une erreur s’est produite et que le fichier ne peut être lu :
Sauf que ce n’est que la partie visible de l’iceberg… En effet, pendant ce temps, en tâche de fond, le fichier exécuté a téléchargé sur votre ordinateur un fichier depuis Internet nommé Windows Security Center.exe qui va à son tour être exécuté et créer un fichier appelé RECYCLER.DLL.
La DLL contient le malware. C’est le cheval de Troie faisant parti de Darkshell, étroitement lié à GhostNet. Le composant keylogger est utilisé pour enregistrer les frappes faites par l’utilisateur et sont ensuite stockées dans le fichier suivant :
\Documents and Settings\nom d’utilisateur\Local Settings\Application Data\UserData.dat
Le logiciel malveillant tente d’envoyer ces données à images.zyns.com (un domaine depuis longtemps associé avec des logiciels malveillants).
Afin de rester en sécurité, évitez si possible de cliquer sur les fichiers HLP trop souvent. Ils pourraient être porteur d’une charge malveillante.
Crédits/source : Sophos
Configurer son firewall, et balcklister ce site aussi c’est bien.
Les commentaires sont fermés.