|
Scob est un troyen qui se présente sous la forme d'un
bout de code Javascript inséré dans une page
web. Si ce script est exécuté, Scob redirige l'internaute
vers un site web piégé qui déclenche
le téléchargement et l'exécution automatique
d'un fichier hostile (généralement un cheval
de Troie) si l'internaute utilise une version vulnérable
du navigateur Internet Explorer.
|
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer doivent aussi mettre à jour
leur système via le service WindowsUpdate
afin de corriger une éventuelle faille exploitée
par le troyen pour s'exécuter automatiquement
à l'insu de l'utilisateur.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection de
l'ordinateur par le troyen.
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser
gratuitement l'utilitaire
Microsoft MSRT pour rechercher et éliminer le troyen.
|
TYPE :
Téléchargeur de fichiers (downloader trojan)
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Berbew
JS.Toofer (Computer Associates)
Download.Ject (F-Secure)
JS/Exploit-DialogArg.b (McAfee)
BackDoor-AXJ.gen (Mc Afee)
JS/Scob-A (Sophos)
JS.Scob.Trojan (Symantec)
Backdoor.Berbew (Symantec)
Backdoor.Berbew.G (Symantec)
JS_SCOB.A (Trend Micro)
Trojan.JS.Scob.a
Webber
TAILLE :
variable
DECOUVERTE :
24/06/2004
DESCRIPTION DETAILLEE :
Scob est un troyen, c'est-à-dire un script hostile incapable
de se propager par lui-même, contrairement aux virus. Plusieurs
sites web hébergés sur des serveurs Microsoft
IIS 5.0 - dont certains seraient relativement populaires -
ont été compromis à partir du 22 juin
2004. Leurs pages intégraient ainsi un exemplaire du
troyen Scob et provoquaient le téléchargement
du troyen Berbew (également connu sous les nom Webber
ou Padodor) chez les internautes utilisant une version vulnérable
du navigateur Internet Explorer, avant la fermeture du serveur
utilisé par Scob. Le troyen Berbew installe un keylogger
espionnant les frappes au clavier (nom d'utilisateur/mot de
passe pour les service .paypal.com, signin.ebay., .earthlink.,
.juno.com, my.juno.com/s/, webmail.juno.com et.yahoo.com ainsi
que les numéros de cartes bancaires) et envoie ces
données à un probable individu malveillant.
Selon l'hypothèse la plus probable, ces serveurs auraient
été piratés en utilisant la faille
PCT (serveurs non patchés ou compromis avant l'installation
du patch au moyen d'une porte dérobée) afin
d'installer le troyen Scob et de tenter de compromettre les
visiteurs des sites correspondants utilisant Internet Explorer.
Contrairement à ce qu'ont affirmé certains
médias, il n'a pas été constaté
de propagation d'un nouveau virus ciblant les internautes
ni ciblant les serveurs Microsoft IIS 5.0. Le serveur
utilisé par Scob étant est fermé depuis
le jeudi 24/06/04 dans la soirée, tout risque d'infection
par cette version du troyen est désormais écarté.
La liste des sites infectés par Scob n'a pas été
rendue publique mais il est probable que la majorité
sont américains ou étrangers. Les utilisateurs
désireux de se rassurer peuvent analyser leur disque
dur avec un antivirus à jour ou avec l'antivirus
gratuit en ligne afin de s'assurer de l'absence de Scob
ou de tout autre troyen connu. Il est possible de désactiver
Javascript et ActiveScripting pour limiter les risques d'infection
par une éventuelle nouvelle variante mais cela altère
de façon significative la navigation : au moins en
attendant le correctif ou le prochain Service Pack, les utilisateurs
soucieux de leur sécurité peuvent remplacer
Internet Explorer par le navigateur
Mozilla, alternative gratuite et libre par définition
insensible aux failles affectant IE.
L'utilisation d'un site web piégé pour infecter
les internautes, le fait qu'un site web connu soit piraté
et que son contenu soit modifié, ou le fait que les
internautes soient massivement exposés à un
troyen ne sont pas des éléments nouveaux : le
virus Bizex utilisait déjà
un tel procédé, des dizaines de sites sont "défacés"
chaque jour et des virus majeurs comme Bugbear
(30/09/2002) ou plus récemment Dumaru.Y
(24/01/04) installaient déjà un troyen keylogger
sur l'ordinateur de leurs victimes. L'originalité de
l'attaque provient d'une part de la combinaison de ces différents
éléments et d'autre part de son envergure, afin
d'utiliser le piratage de sites web plus ou moins connus dans
le but de s'attaquer directement à leurs visiteurs.
Pour l'instant il n'est pas possible de déterminer
si cette attaque a été organisée dans
un but véritablement frauduleux ou si elle constitue
uniquement un coup médiatique destiné à
profiter du retard dans la disponibilité du Service
Pack 2 de Windows XP, une mise à jour majeure destinée
à améliorer la sécurité des utilisateurs
(les internautes ayant installé le Service
Pack 2 RC2 sont protégés contre Scob), dans
le but de décrédibiliser Microsoft.
INFORMATIONS COMPLEMENTAIRES :
-> What
You Should Know About Download.Ject (en anglais)
-> Internet
Information Services (IIS) 5.0 – Download.Ject Detection and
Recovery Advisory (en anglais)
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
