|
Optix
est un cheval de Troie qui permet à une personne malveillante
de télécharger et d'exécuter des fichiers
sur l'ordinateur de sa victime. Il se présente sous
la forme d'un fichier dont le nom est aléatoire, mais
généralement attractif afin de pousser la victime
à l'exécuter : faux antivirus gratuit, fausse
mise à jour logicielle, faux outil de hacking, etc.
Le
troyen se copie dans le répertoire Windows et modifie
la base de registres pour être exécuté
automatiquement au démarrage de l'ordinateur. Il ouvre
ensuite un port et attend les instructions d'un utilisateur
distant exécutant la partie cliente du troyen (Optix
Lite Remote Administrator) :
L'entrée
dans la base de registres, le nom du fichier exécutable,
le numéro de port écouté et le message
s'affichant après l'exécution du troyen (généralement
un message d'erreur) sont modifiables par la personne malveillante.
Par ailleurs,
d'après Optix désactive les principaux firewalls
(ZoneAlarm, ZoneAlarm Pro, BlackIce, ConSeal PC Firewall,
Tiny Personal Firewall, Lockdown) et antivirus (AntiViral
Toolkit Pro, Norton AntiVirus, Sophos AntiVirus, Panda Antivirus
6.0 Platinum, Ants Anti-Trojan, The Cleaner, Dr. Solomon Virus
Scan, McAfee Virus Scan) du marché afin de se rendre
indétectable.
Une
variante de Optix vise les abonnés du FAI Wanadoo.
Elle se présente sous la forme d'un message intitulé
"Mise à jour base de données Mail" prétendument envoyé
par le support technique, accompagné d'un fichier jont
nommé MISEAJOUR.EXE, et incitant à exécuter la pièce
jointe : "Chers adhérents, chères adhérentes, suite à
un problème technique de notre base de données, nous mettons
à jour l'actualisation du serveur SMTP pour la réception et
l'envoi de vos messages (...) il est indispensable d'installer
cette mise à jour, etc.". Pour s'en préserver, il suffit
de supprimer le mail dès son arrivée dans la boîte de réception.
En cas d'infection, le troyen peut être neutralisé
en supprimant le fichier C:\Windows\Olefiles\Windat.exe en
mode DOS ou à partir d'une disquette de secours.
Dépourvu
de mécanisme d'autoreproduction, Optix nécessite d'être directement
envoyé par mail à chaque victime, ce qui limite sa diffusion
à un nombre réduit d'abonnés. Cependant, étant donné la médiatisation
dont a récemment fait l'objet cette alerte, des utilisations
de ce même troyen sont à craindre sous d'autres faux prétextes,
notamment faux antivirus gratuits, fausses mises à jour logicielles
ou faux outils de hacking.
Dossier
Secuser.com sur les troyens
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Un
cheval de Troie cible les utilisateurs de Wanadoo
13/11 - 01net (lire
l'article)
Le
faux email de Wanadoo cache bien un cheval de Troie
08/11 - ZDNet (lire
l'article)
Les
abonnés de Wanadoo menacés par un email piégé
07/11 - ZDNet (lire
l'article)
|
