Anserin est un programme malicieux de type cheval
de Troie. Il se présente sous la forme d'un fichier, d'une pièce
jointe ou d'une page web piégée. Si ce fichier est exécuté,
le troyen tente d'effectuer diverses actions destinées à abaisser
ou compromettre la sécurité de l'ordinateur contaminé, puis
il espionne les frappes au clavier en attente d'identifiants et mots
de passe de connexion aux sites de certaines banques en ligne françaises
et étrangères.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Les utilisateurs de Windows ont intérêt
à mettre à jour leurs logiciels afin de corriger
les failles de sécurité
exploitables par le troyen pour s'installer automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne ou l'utilitaire
MSRT pour rechercher et éliminer ce troyen.
|
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/PWS.Sinowal.Gen (Antivir)
Win32/Anserin.A (CA)
Trojan-PSW.Win32.Sinowal.a (F-Secure)
Trojan-PSW.Win32.Sinowal.a (Kaspersky)
Win32/Sinowal (Microsoft)
Trj/Torpig.A (Panda)
Troj/Torpig-A (Sophos)
Trojan.Anserin (Symantec)
TROJ_SINOWAL.A (Trend Micro)
TAILLE :
variable
DECOUVERTE :
08/07/2005
DESCRIPTION DETAILLEE :
Anserin est un programme malicieux de type cheval de Troie,
c'est-à-dire un programme hostile incapable de se multiplier et
de se propager par lui-même, contrairement aux virus. Il peut cependant
arriver en pièce jointe d'un courrier électronique
via la technique du spamming,
être dissimulé dans un programme ou document prétendument
utile ou attrayant provenant d'une source non sûre, être
installé par un virus tel que les vers MSN Messenger ou par
un autre cheval de Troie, ou encore tenter de s'installer automatiquement
sur l'ordinateur de sa victime lors de l'affichage d'une page web
piégée exploitant une faille
de sécurité d'un de ses logiciels.
Si ce fichier est exécuté, le troyen se copie sur
le disque dur sous les noms ibm[5 chiffres].dll (par exemple ibm00001.dll),
ibm[5 chiffres].exe (par exemple ibm00001.exe) et ibm[5 chiffres+1].dll
(par exemple ibm00002.dll), modifie la base de registres pour s'exécuter
à chaque démarrage de l'ordinateur, puis il tente
de désactiver les antivirus les plus courants et d'espionner
les frappes au clavier en attente d'identifiants/mots de passe de
connexion et d'autres données confidentielles relatives aux
sites de certaines banques en ligne françaises (dont BNP
Paribas, Crédit Mutuel et CIC) et étrangères,
qu'il transmet alors à un serveur distant contrôlé
par un individu malveillant.
Contrairement au phishing, l'utilisateur n'est pas redirigé
vers un faux site dont l'adresse est différente du site de
la banque, mais vers un faux site dont l'adresse est identique
à celui de la banque, grâce à une technique
dite de pharming (sans entrer dans les détails, le troyen
court-circuite les serveurs DNS du fournisseur d'accès de
l'internaute et change la correspondance entre le nom de domaine
de la banque et l'adresse IP de son site web au niveau de l'ordinateur
infecté, de sorte qu'en saisissant la bonne adresse l'internaute
est dirigé vers la copie pirate).
Pour aussi spectaculaires que soient les effets du pharming, le
troyen Anserin/Torpig ne peut rien faire sans avoir au préalable
été exécuté et installé sur l'ordinateur
: les internautes prudents appliquant régulièrement
les correctifs de sécurité
de leurs applications et téléchargeant des programmes
depuis des sources sûres ont donc peu de risques d'être
contaminés. En cas d'infection, prenez contact avec votre
banque et suivez ses instructions. Les clients des banques citées
peuvent également consulter les alertes émises par
BNP
Paribas, Crédit
Mutuel et CIC.
11/11/05 : diffusion d'une
nouvelle variante du cheval de Troie, identifiée sous les
noms Trojan-Spy.Win32.Small.dg (Kasperky), PWS-JA, Troj/Torpig-K
(Sophos).
28/05/06 : diffusion d'une
nouvelle variante, identifiée sous les noms Trojan-PSW.Win32.Sinowal.r
(Kasperky), Trojan.Spy.Sinowal-25, Win32/TrojanDropper.Small.NEA,
Troj/Torpig-AX (Sophos).
31/05/07 : diffusion d'une
nouvelle variante, identifiée sous le nom Troj/Torpig-BV
(Sophos).
23/07/07 : diffusion d'une
nouvelle variante, identifiée sous le nom Win32/Anserin.CA
(Computer Associates).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|