Un faux virus pour un vrai cheval de Troie

La société de conseil en sécurité Websense Security Labs vient de découvrir une nouvelle tentative d’intrusion par phishing qui s’appuie sur un acteur mondialement connu, McAfee. Un e-mail envoyé avec l’en-tête de l’éditeur de solutions de sécurité invite les destinataires à installer un correctif contre le virus Kongo31.XRW. Lequel n’existe pas.

Le lien proposé dans le courrier électronique falsifié renvoie sur un faux site aux couleurs de celui de McAfee, qui invite à télécharger le correctif. Le lien proposé déclenche le téléchargement d’un cheval de Troie qui, de toute évidence, cherchera à installer une porte dérobée afin de permettre à son commanditaire de prendre le contrôle de l’ordinateur infecté (probablement via le protocole IRC) et de créer ainsi un réseau de PC zombies (un botnet).

Tests comportementaux

Websense ne précise pas le nombre de faux courriers électroniques signés McAfee, ni si les envois ont été ciblés régionalement. La fausse page McAfee est rédigée en anglais et le serveur qui l’héberge serait installé aux Etats-Unis. A l’heure où Websense lançait son alerte (le 13 décembre, dans la nuit pour les Européens), le serveur incriminé était toujours en service.

Ce n’est pas la première fois que ce type de méthode est employé pour tenter d’infecter les ordinateurs d’utilisateurs crédules. Microsoft en a fait les frais à plusieurs reprises (voir notamment édition du 11 avril 2005). Mais à chaque fois, les noms de virus (ou correctifs dans le cas de Microsoft) sont grossiers et ne peuvent tromper la vigilance d’un utilisateur un tant soit peu informé.

Il se pourrait donc que ces tentatives d’infection ne soient que des tests pour jauger le comportement des utilisateurs. McAfee, de son côté, n’a pas jugé utile de communiquer l’information sur son site. Même pas dans sa rubrique dédiée aux canulars (Virus Hoaxes).