La version 1.4 de Skype est sortie le 10 octobre. Ceci n'a pas échappé à certains concepteurs de programmes malveillants. En effet des mails proposant la mise à jour de ce programme de téléphonie sur IP bien connu commencent à circuler, mais la pièce jointe est un cheval de Troie.


au sommaire


    Un cheval de Troie déguisé en Skype

    Un cheval de Troie déguisé en Skype

    Si l'on tente d'ouvrir cette pièce jointe une fenêtrefenêtre avec un message "Installation error" ou "The file could not be opened" s'affiche. C'est un leurre pour faire croire que rien ne s'est passé. En fait le cheval de Troie s'est bien installé dans le répertoire du système sous le nom remote.exe, et a modifié la base de registre. Il s'agirait d'une variante d'un malware bien connu : IRCbot.

    À partir de ce moment les catastrophes vont commencer à pleuvoir : blocage de l'accès à Windows Update, blocage des partages réseau, tentative de connexion à un serveur IRCIRC, probablement pour transférer des informations relatives à l'ordinateur infecté. Le ver installe une porte dérobéeporte dérobée sur le port 5652, ce qui peut permettre à un pirate de prendre le contrôle de l'ordinateur. Bien entendu il tente de s'envoyer en massemasse vers d'autres adresses de mail en utilisant son propre serveur SMTP, mais il s'installe aussi sous des noms attrayants (allant de Harry Potter à Britney Spears and Eminem porn, en passant par Adobe Photoshop ou Acrobat Reader... il y en a pour tous les goûts) dans des répertoires partagés en P2PP2P de façon à pièger les adeptes du téléchargement.

    En fait le sujet du message peut faire clairement référence à SkypeSkype :

    • Share Skype.
    • What is Skype?
    • Skype for Windows 1.4 - Have you got the new Skype?

    ...

    ou être très différent :

    • Your Account is Suspended.
    • *DETECTED* Online User Violation.
    • Your Account is Suspended For Security Reasons.
    • Warning Message: Your services near to be closed.
    • Important Notification!

    ...

    En conclusion, ne vous fiez jamais à des mails, même s'il semble s'agir de mails de publicité pour un produit connu : aucun éditeur ne vous proposera une mise à jour sous forme de pièce attachée. Et méfiez-vous de ce que vous téléchargez !

    L'alerte a été donnée par Message Labs, un spécialiste de la protection du courrier électronique. Symantec le classe comme ver sous le nom W32.Fanbot.A@mm (alias W32/Fanbot-H Sophos, WORM_FANBOT.A Trend Micro)).