Sécurité - Installé sur le système, ce programme malveillant chiffre des données et les protège par un mot de passe. Pour récupérer ses données, la victime doit verser 300 dollars sur un compte en ligne.
Les éditeurs de logiciels antivirus alertent les internautes sur l'apparition d'un programme malveillant dont la particularité est de chiffrer les données du système, puis d'exiger 300 dollars de rançon contre un mot de passe qui permet de les récupérer.
Baptisé "Troj/Zippo-A" (alias Cryzip), il s'agit d'un cheval de Troie pour plate-forme Windows; il n'est donc doté d'aucune faculté de propagation autonome. Par conséquent, les experts en sécurité ne tablent pas sur une large diffusion. «C'est plus son principe de rançon qui a retenu l'attention de nos chercheurs», explique à ZDNet.fr, Michel Lanaspèze, directeur marketing chez Sophos France.
Les quelques cas de contamination ont été rapportés par des utilisateurs ayant téléchargé volontairement un fichier sur le Net et découvert ensuite qu'il s'agissait de ce cheval de Troie. Théoriquement, ce programme malveillant peut être également envoyé en pièce jointe d'un e-mail.
Une fois sur le système, Zippo recherche une grande variété de documents, notamment ceux avec les extensions ".doc", ".xls" ou ".xml ". Il compresse alors ces documents en fichiers Zip protégés par un mot de passe.
Dans le même répertoire, Zippo crée, par ailleurs, un fichier texte dans lequel il propose à l'utilisateur de lui fournir le précieux mot de passe contre la modique somme de 300 dollars, à déposer sur un compte de la plate-forme de paiement en ligne eGold.
À ce jour, les experts en sécurité ont découvert ce mot de passe. Il s'agit de: C:\Program Files\Microsoft Visual Studio\VC98, qui ne ressemble pas vraiment à un mot de passe, mais fonctionne pour récupérer les données, explique Sophos.
Un principe déjà utilisé en 1989
Pour éradiquer le cheval de Troie, les éditeurs conseillent simplement de scanner le disque dur avec un antivirus à jour, qui nettoiera le système. Manuellement, supprimer le fichier "vcmauth.dll" devrait empêcher le programme de fonctionner.
«Ce cheval de Troie illustre la tendance actuelle qui consiste pour les auteurs de programmes malveillants à chercher à gagner de l'argent plutôt qu'à réaliser des exploits techniques», explique François Paget, chercheur de l'éditeur McAfee France. Il est également intervenant pour le Club de la sécurité des systèmes d'information français (Clusif) dont le "Panorama de la cybercriminalité 2005" expose également ce phénomène.
Le chantage à la rançon utilisé par Zippo a déjà été exploité dans au moins deux autres cas, rappelle le chercheur. Il s'agissait du cheval de Troie PGPcoder apparu en mai 2005, ainsi que d'un autre troyen datant de 1989 et enregistré sur disquette, baptisé Aids Info Disk ou PC Cyborg Trojan.
Dans les deux cas, les données étaient chiffrées et protégées par un mot de passe pour lequel une rançon de 200 à 400 dollars environ était réclamée.
Par Christophe Guillemin
Copyright © 2006 CNET Networks, Inc. All Rights Reserved.
Commentaires