Rechercher
Fermer ce champ de recherche.

Attention ! Ce dangereux malware Windows se cache dans les fichiers d’aide de Microsoft

Crédit Photo : Fredzone

Facebook
Twitter
WhatsApp

Les experts en sécurité de Trustwave viennent de tirer le signal d’alarme : une nouvelle vague de diffusion de Vidar, un malware bien connu et particulièrement pernicieux, est en cours.

Cependant, plutôt que de se dissimuler dans un exécutable, le malware se cache cette fois dans un fichier d’aide de Microsoft.

Le malware se propage via un classique spam que vous recevez dans votre boîte mail. Le message contient une pièce jointe, que l’expéditeur vous encourage à ouvrir par ces mots : « Cette information importante vous est destinée. Merci de regarder la pièce jointe à cet email ». Et c’est là que le malware entre en action.

Pour encore mieux se dissimuler aux yeux de ses victimes, le logiciel malveillant se cache dans un fichier .DOC nommé “REQUEST.DOC”. Mais ne vous fiez pas à son extension, il s’agit en réalité d’un fichier .ISO. A l’intérieur, on y découvre un fichier HTLM compilé au format CHM, généralement baptisé “PSS10R.CHM”. Et toujours au sein de l’ISO se trouve un exécutable nommé “APP.EXE”.

Une fois le fichier CHM ou l’exécutable ouvert, un petit code JavaScript se lance. Le malware Vidar peut alors commettre ses méfaits. Il crée son propre dossier dans C:\ProgramData et envoie les données collectées à un serveur. Au besoin, il est aussi capable de télécharger un autre exécutable, un malware lui aussi. Une fois son forfait commis, le malware efface ses propres traces dans le dossier ProgramData et supprime les DLL créées pour l’occasion.

Vidar est capable de récupérer les données du système d’exploitation, mais aussi et surtout celles de l’utilisateur. Il peut également subtiliser toutes les données de paiement (carte de crédit, service de paiement en ligne…). Et pour le clore le tout, il lui est même possible de voler les informations permettant de s’identifier à un service de cryptomonnaie.

La première apparition du malware Vidar remonte à 2018. Le logiciel serait d’origine russe. Pourquoi une telle supposition de la part des experts en sécurité qui ont découvert Vidar ? Le malware stoppe immédiatement ses exactions dès lors qu’il est installé sur une machine située en Russie, ou que le clavier du PC infecté dispose d’un clavier russe.

Comme à l’accoutumée, nous vous conseillons de ne jamais ouvrir une pièce jointe provenant d’un expéditeur inconnu. Dans un second temps, scannez cette pièce jointe à l’aide d’un antivirus, comme BitDefender, Norton Security, Avast ou Microsoft Defender.

Avec PhonAndroid.