Pidief.A est un programme malicieux de type cheval
de Troie. Il se présente sous la forme d'un courrier électronique
accompagné d'un fichier PDF, en tentant de se faire passer
pour une facture ou un autre document.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Les utilisateurs de Windows XP et du
navigateur Internet Explorer 7.0 doivent également
à mettre à jour leur système afin de
corriger la faille
de sécurité exploitée par
Pidief.A pour s'exécuter.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter une réinfection. Les
utilisateurs ne disposant pas d'un antivirus peuvent utiliser
l'antivirus gratuit en
ligne pour supprimer Pidief.A.
|
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
EXP/PDF.URI.Gen (Antivir)
Exploit.PDF-1 (ClamAV)
PDF/CVE-2007-5020 (eTrust)
Exploit.Win32.AdobeReader.b (Kaspersky)
Exploit.Win32.AdobeReader.k (Kaspersky)
Exploit:W32/AdobeReader.K (F-Secure)
Exploit-PDF.Shell (Mc Afee)
Exploit:Win32/RdrJmp.A (Microsoft)
Troj/PDFex-A (Sophos)
Trojan.Pidief.A (Symantec)
EXPL_PIDIEF.B (Trend Micro)
Gozi Trojan
TAILLE :
4 Ko
DECOUVERTE :
23/10/2007
DESCRIPTION DETAILLEE :
Pidief.A est un programme malicieux de type cheval de Troie,
c'est-à-dire un programme hostile incapable de se multiplier et
de se propager par lui-même contrairement aux virus. Il peut cependant
arriver en pièce jointe d'un courrier électronique
car son auteur utilise la technique du spamming
pour le diffuser.
Le cheval de Troie se présente sous la forme d'un courrier électronique
dont le titre, le corps et le nom du fichier joint sont variables.
L'adresse de l'expéditeur du message est usurpée ou
composée aléatoirement.
Quelques titres de messages :
- INVOICE alacrity
- INVOICE depredate
- STATEMET indigene
La pièce jointe est un fichier possédant une extension
.pdf, dont la taille est environ 4 Ko :
- INVOICE.pdf
- YOUR_BILL.pdf
- BILL.pdf
- STATEMET.pdf
Si ce fichier est ouvert sur un ordinateur Windows XP non à
jour dans ses correctifs de sécurité, le cheval de
Troie se copie sur le disque sous le nom ldr.exe, s'exécute
en exploitant la faille
PDF, désactive le pare-feu de Windows puis tente de télécharger
et d'exécuter d'autres programmes malicieux depuis un site
distant. Ces documents PDF piégés et leurs variantes
ne présentent aucun risque pour les ordinateurs mis à
jour suite à l'alerte
du 22/10/07.
26/10/07
: nouvelle vague de PDF piégés. Le titre du courrier
électronique est "Statement of retained earnings",
le corps du message est "Your document is attached." et
le nom du fichier joint overdraft.2007.10.26.5049835.pdf.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|