Détecter et désactiver le logiciel malveillant pro-syrien “X-treme RAT” sur votre ordinateur

Il y a quelques semaines, nous avons appris l'existence d'un cheval de Troie baptisé “Darkcomet RAT” ayant infecté des ordinateurs appartenant à des activistes syriens et conçu pour capturer l'activité de la webcam, désactiver les paramètres de notification de plusieurs logiciels antivirus, pour enregistrer l'activité du clavier, voler les mots de passe notamment — ainsi que pour envoyer ces informations sensibles à une adresse située dans l'espace des adresses IP syriennes. Les documents et les recommandations de Symantec sont disponibles ici.

Entretemps, nous avons été informés de l'existence d'un nouveau logiciel malveillant, connu sous le nom “Xtreme RAT”, et chargé de renvoyer des données à la même adresse dans l'espace des adresses IP syriennes et dont la diffusion semble être antérieure à celle du cheval de Troie “Darkcomet RAT”. Des rapports indiquent que le cheval de Troie se propage par le biais de programmes de courrier électronique et de messagerie instantanée. Le logiciel malveillant était utilisé pour enregistrer l'activité du clavier et pour prendre des captures d'écran de l'ordinateur de la victime. Il n'est pas exclu qu'il ait été conçu pour réaliser d'autres fonctions.

Vous pouvez vous protéger contre les risques d'être infecté en évitant d'exécuter tout logiciel reçu par courrier électronique, ou d'installer des logiciels hormis en HTTPS, ou d'installer des logiciels provenant de sources inconnues, même si l'opération est recommandée par une fenêtre surgissante ou par un ami. L’EFF (Electronic Frontier Foundation) recommande par ailleurs de veiller à maintenir le système d'exploitation de votre ordinateur à jour en installant immédiatement les mises à jour de sécurité publiées par l'éditeur du système. N'utilisez pas de système d'exploitation obsolète et ne bénéficiant plus de mises à jour de sécurité.

La découverte de l'un des fichiers ou processus ci-après est un indice de ce que votre système a été compromis par Xtreme RAT. La présence d'indices supplémentaires tend à corroborer la suspicion de compromission.

Comment identifier Xtreme RAT lorsqu'il est exécuté sur votre ordinateur, dans le cas où vous utilisez Microsoft Windows :

1. Lancez le Gestionnaire des tâches en exécutant Ctrl+MAJ+Échap puis cliquez sur l'onglet Processus.
Recherchez un processus nommé svchost.exe qui s'exécute sous votre nom d'utilisateur. Dans l'exemple donné ici, l'utilisateur est “Administrator”.

2. Ouvrez votre Dossier “Documents and Settings” (“Utilisateurs” ou anciennement “Mes documents et paramètres”). Cliquez sur votre identifiant (ici, “Administrator”). Cliquez sur “Tous les programmes (All Programs). Cliquez sur “Démarrer” (Startup). Recherchez un lien nommé “(Empty)”, qui révèle que l'ordinateur est infecté.

3. Ouvrez votre dossier “Utilisateurs” (“Documents and Settings”). Cliquez sur votre nom d'utilisateur (dans notre exemple, “Administrator”). Ouvrez le dossier “Paramètres locaux” (Local Settings). Ouvrez le dossier “Temp”. Recherchez deux fichiers : _$SdKdwi.bin et System.exe. Si le paramètre d'affichage de l'extension des fichiers est activée, le fichier se présente sous le nom “System.exe”. Dans le cas contraire, il apparaît sous le nom “System Project Up-date DMW”.

4. Ouvrez votre dossier “Utilisateurs” (“Documents and Settings”). Cliquez sur votre nom d'utilisateur (dans cet exemple, “Administrator). Ouvrez le dossier “Paramètres locaux”. Ouvrez le dossier “Application Data”. Ouvrez le dossier Microsoft. Ouvrez le dossier Windows. Recherchez les deux fichiers : fQoFaScoN.dat et fQoFaScoN.cfg.

5. Cliquez sur le bouton Démarrer. Tapez “cmd” pour ouvrir le terminal de commande. Tapez “netstat”. La liste de connexions actives s'affiche alors. Recherchez une connexion sortante vers l'adresse IP : 216.6.0.28.

Que faire en cas d'infection :

Si votre ordinateur est infecté, la suppression des fichiers précités ou l'utilisation d'un logiciel antivirus pour éliminer le cheval de Troie ne garantit pas que votre ordinateur aura été nettoyé ou sécurisé. Ce logiciel malveillant permet à un attaquant d'exécuter un code arbitraire sur l'ordinateur infecté. Rien ne garantit que l'attaquant n'a pas installé d'autres logiciels malicieux lorsqu'il contrôlait votre ordinateur.

À la date du 6 mars 2011, un seul éditeur d'antivirus sait détecter ce cheval de Troie. Vous pouvez essayer de mettre à jour votre logiciel antivirus, en l'exécutant et en l'utilisant pour éliminer le cheval de Troie s'il apparaît mais le plus sûr est de réinstaller le système d'exploitation sur votre ordinateur.

Commentez

Merci de... S'identifier »

Règles de modération des commentaires

  • Tous les commentaires sont modérés. N'envoyez pas plus d'une fois votre commentaire. Il pourrait être pris pour un spam par notre anti-virus.
  • Traitez les autres avec respect. Les commentaires contenant des incitations à la haine, des obscénités et des attaques nominatives contre des personnes ne seront pas approuvés.