Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Troyen
Scob

Scob est un troyen qui se présente sous la forme d'un bout de code Javascript inséré dans une page web. Si ce script est exécuté, Scob redirige l'internaute vers un site web piégé qui déclenche le téléchargement et l'exécution automatique d'un fichier hostile (généralement un cheval de Troie) si l'internaute utilise une version vulnérable du navigateur Internet Explorer.

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs d'Internet Explorer doivent aussi mettre à jour leur système via le service WindowsUpdate afin de corriger une éventuelle faille exploitée par le troyen pour s'exécuter automatiquement à l'insu de l'utilisateur.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le troyen. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire Microsoft MSRT pour rechercher et éliminer le troyen.

TYPE :
Téléchargeur de fichiers (downloader trojan)

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Berbew
JS.Toofer (Computer Associates)
Download.Ject (F-Secure)
JS/Exploit-DialogArg.b (McAfee)
BackDoor-AXJ.gen (Mc Afee)
JS/Scob-A (Sophos)
JS.Scob.Trojan (Symantec)
Backdoor.Berbew (Symantec)
Backdoor.Berbew.G (Symantec)
JS_SCOB.A (Trend Micro)
Trojan.JS.Scob.a
Webber

TAILLE :
variable

DECOUVERTE :
24/06/2004

DESCRIPTION DETAILLEE :
Scob est un troyen, c'est-à-dire un script hostile incapable de se propager par lui-même, contrairement aux virus. Plusieurs sites web hébergés sur des serveurs Microsoft IIS 5.0 - dont certains seraient relativement populaires - ont été compromis à partir du 22 juin 2004. Leurs pages intégraient ainsi un exemplaire du troyen Scob et provoquaient le téléchargement du troyen Berbew (également connu sous les nom Webber ou Padodor) chez les internautes utilisant une version vulnérable du navigateur Internet Explorer, avant la fermeture du serveur utilisé par Scob. Le troyen Berbew installe un keylogger espionnant les frappes au clavier (nom d'utilisateur/mot de passe pour les service .paypal.com, signin.ebay., .earthlink., .juno.com, my.juno.com/s/, webmail.juno.com et.yahoo.com ainsi que les numéros de cartes bancaires) et envoie ces données à un probable individu malveillant.

Selon l'hypothèse la plus probable, ces serveurs auraient été piratés en utilisant la faille PCT (serveurs non patchés ou compromis avant l'installation du patch au moyen d'une porte dérobée) afin d'installer le troyen Scob et de tenter de compromettre les visiteurs des sites correspondants utilisant Internet Explorer. Contrairement à ce qu'ont affirmé certains médias, il n'a pas été constaté de propagation d'un nouveau virus ciblant les internautes ni ciblant les serveurs Microsoft IIS 5.0. Le serveur utilisé par Scob étant est fermé depuis le jeudi 24/06/04 dans la soirée, tout risque d'infection par cette version du troyen est désormais écarté.

La liste des sites infectés par Scob n'a pas été rendue publique mais il est probable que la majorité sont américains ou étrangers. Les utilisateurs désireux de se rassurer peuvent analyser leur disque dur avec un antivirus à jour ou avec l'antivirus gratuit en ligne afin de s'assurer de l'absence de Scob ou de tout autre troyen connu. Il est possible de désactiver Javascript et ActiveScripting pour limiter les risques d'infection par une éventuelle nouvelle variante mais cela altère de façon significative la navigation : au moins en attendant le correctif ou le prochain Service Pack, les utilisateurs soucieux de leur sécurité peuvent remplacer Internet Explorer par le navigateur Mozilla, alternative gratuite et libre par définition insensible aux failles affectant IE.

L'utilisation d'un site web piégé pour infecter les internautes, le fait qu'un site web connu soit piraté et que son contenu soit modifié, ou le fait que les internautes soient massivement exposés à un troyen ne sont pas des éléments nouveaux : le virus Bizex utilisait déjà un tel procédé, des dizaines de sites sont "défacés" chaque jour et des virus majeurs comme Bugbear (30/09/2002) ou plus récemment Dumaru.Y (24/01/04) installaient déjà un troyen keylogger sur l'ordinateur de leurs victimes. L'originalité de l'attaque provient d'une part de la combinaison de ces différents éléments et d'autre part de son envergure, afin d'utiliser le piratage de sites web plus ou moins connus dans le but de s'attaquer directement à leurs visiteurs. Pour l'instant il n'est pas possible de déterminer si cette attaque a été organisée dans un but véritablement frauduleux ou si elle constitue uniquement un coup médiatique destiné à profiter du retard dans la disponibilité du Service Pack 2 de Windows XP, une mise à jour majeure destinée à améliorer la sécurité des utilisateurs (les internautes ayant installé le Service Pack 2 RC2 sont protégés contre Scob), dans le but de décrédibiliser Microsoft.

INFORMATIONS COMPLEMENTAIRES :
-> What You Should Know About Download.Ject (en anglais)
-> Internet Information Services (IIS) 5.0 – Download.Ject Detection and Recovery Advisory (en anglais)
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons