Passer au contenu

Sécurité : un nouveau virus surfant sur le slogan “je suis Charlie”

Bien souvent, les pirates tentent d’exploiter les actualités afin de pousser les internautes à exécuter des programmes malveillants. Le laboratoire de recherche des menaces sur Internet…

Bien souvent, les pirates tentent d’exploiter les actualités afin de pousser les internautes à exécuter des programmes malveillants. Le laboratoire de recherche des menaces sur Internet de Blue Coat surveille ces activités, et le dernier cas recensé fait état d’un logiciel malveillant redoutable sur le thème “Je suis Charlie”, un slogan qui s’est propagé de manière virale suite à l’attaque des bureaux de Charlie Hebdo à Paris le 7 Janvier 2015.

Le code malicieux en question est le tristement célèbre DarkComet RAT (aka Fynloski), un outil de prise de contrôle à distance des ordinateurs, disponible gratuitement, et qui peut également se doubler d’un cheval de Troie qui crée une porte d’accès à l’ordinateur pour le pirate (backdoor). DarkComet a été initialement développé par le pirate français DarkCoderSc, qui a arrêté son développement en 2012. Néanmoins, sa facilité d’utilisation et la richesse de ses fonctionnalités l’ont rendu populaire auprès de de nombreux types d’attaquants – des créateurs de scripts très simples et des activistes jusqu’aux acteurs beaucoup plus sinistres.

La variante utilisée dans cette attaque est camouflée pour la rendre plus difficilement détectable par les scanners des antivirus. Le virus DarkComet Delphi est contenu dans un emballage de .NET, ce qui rend les éléments d’identification de DarkComet difficiles à repérer. En effet, au moment de la rédaction de ce texte, le taux de détection de cet exécutable par les antivirus est très faible – seulement 2 antivirus sur les 53 disponibles sur le service de scanner en ligne VirusTotal le détectent.

unnamed

Comme vous pouvez le voir ci-dessus, l’échantillon créé une copie de lui-même sous le nom svchost.exeet lance une image d’un nouveau-né avec une bande portant le slogan “Je suis Charlie”. Cette image semble avoir été récoltée à partir de sources publiques.

L’échantillon affiche également un message en français pour tromper l’utilisateur et lui faire croire que le code a été créé par une version précédente de MovieMaker. L’adresse actuelle du domaine qui héberge le centre de commande de ce virus renvoie sur une adresse IP chez le fournisseur d’accès Internet Orange. L’adresse IP française et le message d’erreur en français renforce l’impression que ce virus cible les utilisateurs français. La société Blue Coat a informé les autorités françaises de la découverte de ce malware.

unnamed

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

11 commentaires
  1. C’est sympa de prévenir, mais on pourrait en savoir davantage sur l’essentiel, c’est à dire comment choper cette saloperie, comment savoir si on est infecté, comment faire pour s’en débarrasser, ce genre de choses …

  2. J’ai ete infecte,ma mere a telecharge un lien qu’elle a trouvé dans un mail, ce qui a telecharge une dizaine d’app degueulasse, entre autre un navigateur qui nous a supprimé google chrome.
    Je tiens a vous dire de faire tres attention, cela prend une plombe a sortir cette saloperie de son ordi.

  3. Par contre faire la pub de ce genre de logiciel “gratuit”, “simple d’utilisation” est pas top je trouve, je suis personnellement contre tous ces pseudos hackers qui utilisent des logiciels tels que DC et qui se croient surpuissants.

  4. Malwarebytes ?
    il n’a jamais pu enlever le virus “félicitations, vous avez gagné …. ”
    le seul remède :
    1. installer Windows proprement
    2. déplacer “Mes Documents” ( ou “Documents” ) dans D: ou E:
    3. faire un backup avec Ghost / True Image Home / ….
    quand rien ne va plus oubliez Malwarebytes et autres placébos :
    restaurez votre image du disque C propre et vous prenez plus la teté.

  5. @master il faut relativiser, tous les antivirus détecte Darkcomet aujourd’hui 😉

    Sinon c’est navrant d’utiliser cet événement, tout autant que ceux qui ont tenté d’en profiter pour se faire de l’argent.

  6. Bonjour,

    j’ai vu cette photo sur le mur d’une personne sur facebook
    je suppose que je ne risque rien

    merci

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *