Les pirates informatiques transforment les noms des fichiers pour créer des extensions soi-disant "sécurisées"

en détournant la fonction Unicode pour infecter les ordinateurs des internautes

PRAGUE, République tchèque, le 8 septembre 2011 – Une nouvelle vague de logiciels malveillants qui utilisent un dispositif d'affichage bien spécifique a vu le jour, amenant les internautes à ouvrir des fichiers soi-disant «sécurisés». Cette nouvelle ruse des hackers consiste à utiliser la fonction Unicode - standard de l'industrie informatique pour représenter le texte - pour masquer les logiciels malveillants dans les extensions des fichiers en format.doc ou .jpg. Les analystes d’AVAST Software ont appelé cette nouvelle vague de programmes malveillants "Unitrix".

La fonction Unicode est conçue pour afficher des alphabets écrits dans un schéma de droite à gauche comme l'arabe ou l'hébreu et renverser le texte affiché après que des codescachés spécifiques tels que 0x202E aient été ajoutés au nom du fichier. Par exemple, le fichier exécutable du malware se terminant par "gpj.exe" s’affiche sous le nom "photo_D18727_Collexe.jpg", plus rassurant pour le destinataire.


Source: AVAST Virus Lab

« L'utilisateur lambda regarde juste l'extension à la fin du nom d’un fichier, par exemple: .jpg pour une photo.Et c'est là qu’est tout le danger », déclare Jindrich Kubec, Directeur des laboratoires AVAST. « Le seul moyen pour les utilisateurs de savoir si un fichier est exécutable ou non est de voir s’ils disposent de quelques éléments supplémentaires affichés ailleurs sur leur ordinateur ou si un message d'avertissement apparaît quand ils essayent d‘exécuter le fichier en question.»

Les laboratoires Avast ont noté une augmentation régulière du nombre de détections de virus au mois d'août, avec un pic quotidien de plus de 25 000. «A partir des emails et de la configuration du trafic, on remarque ainsi que ces virusvisent clairement les entreprises »,déclare Jindrich Kubec. En effet, ces attaques sont presque exclusivement portées en semaine pendant les heures de travail, alors que le week-end les détections quotidiennes réalisées par AVAST peuvent descendre en-dessous de 5 000.

Le fichier d'Unitrix le plus commun est un téléchargeur de logiciel malveillant avec des connexions à plusieurs adresses URL qui agissent comme des centres de contrôle. « D‘après notre analyse sur plus de cinquante échantillons, ce virus semble faire partie d'un réseau "pay-per-installer" avec la capacité d‘envoyer aux utilisateurs infectés une variété de programmes malveillants »,souligne Jindrich Kubec.

« Il n'est pas possible de détecter de manière universelle ces virus, car cela créerait beaucoup de faux positifs, mais il existe des solutions précises pour faire face à cette nouvelle menace » explique Mr. Kubec. Les utilisateurs d’avast! sont effet protégés de deux façons:

  1. La détection simple quand un nom de fichier utilisant cette nouvelle astuce des pirates informatiques apparaît dans le mail entrant.
  2. L’antivirus avast! suggère automatiquement que le fichier suspect soit ouvert dans le bac à sable du logiciel, un environnement virtualisé sécurisé.

« Le problème est qu'il s'agit d'une fonctionnalité Unicode. Bien que les conséquences en termes de sécurité soient mentionnées, la plupart des gens l’utilisent comme tel et ne s’en soucient pas. La nouvelle menace Unitrix a pourtant déjà été évoquée par d’autres laboratoires antivirus, mais elle n'est pas très connue »,explique Jindrich Kubec.

Plus d‘informations sur Unitrix directement sur le blog AVAST.

X