Le cheval de Troie SASFIS a acquis une notoriété douteuse grâce à des courriels usurpés prétendant provenir de Facebook. Les infections de SASFIS ont tendance à attirer un grand nombre d'autres infections de logiciels malveillants, car cette famille de logiciels malveillants rend les systèmes vulnérables aux attaques de réseaux de zombies, notamment de ZeuS et de BREDOLAB. En outre, ce malware est associé à plusieurs variantes de FAKEAV, notamment celles qui opèrent sur des sites pornographiques.
Une nouvelle variante de SASFIS
Shih-Hao Weng, chercheur chez TrendLabs, vient de découvrir une nouvelle variante de SASFIS qui utilise la technique dite RLO (right-to-left override). Auparavant, cette technique était connue pour le spamming, mais elle s'est transformée en une nouvelle tactique d'ingénierie sociale.
Ce cheval de Troie SASFIS se propage via un message de spam avec un fichier ".RAR" en pièce jointe. Il contient un fichier ".XLS" qui ressemble à un véritable document Excel. Cependant, il s'agit en fait d'un économiseur d'écran que Trend Micro a identifié comme étant TROJ_SASFIS.HBC. Le cheval de Troie place BKDR_SASFIS.AC sur le système, un malware qui permet d'insérer des fils dans le processus normal svchost.exe.
La fausse feuille de calcul Excel possède un en-tête binaire Win32 du type que seuls les fichiers exécutables possèdent. Le nom de fichier réel, sans les caractères chinois, est téléphone.
La technique utilise également d'autres noms de fichiers dans le même but : par exemple BACKS[U 2020e]FWS.BAT et I-LOVE-YOU-XOX[U 2020e]TXT.EXE, qui sont rendus par BACKSTAB.SWF et I-LOVE-YOU-XOXEXE.TXT. Dans le premier exemple, un fichier batch est "habillé" en Adobe Flash ; dans le second, un fichier exécutable est "habillé" en texte.
Comment se protéger contre les attaques?
Les utilisateurs peuvent se protéger de ces attaques sur leurs systèmes en adoptant les meilleures pratiques courantes, comme ne pas ouvrir les courriels suspects et ne pas télécharger les pièces jointes exécutables.