Le cheval de Troie qui modifie les pubs AdSense

lotusss — Fri, 28 Dec 2007 14:25:00 +0100

L'éditeur BitDefender a lancé le 17 décembre dernier une alerte relative à un cheval de Troie capable de modifier le contenus des liens sponsorisés du programme AdSense de Google, de façon à entraîner l'internaute vers les sites de son choix.

Google AdSense est un programme publicitaire, accessible à tous, qui affiche sur votre site des publicités contextuelles, dont le contenu est censé entretenir un rapport avec le contenu de vos pages. L'affichage des publicités se faitau moyen de quelques lignes de code fournies par Google et combinant HTML et JavaScript. C'est l'exécution de ce code qui lance un appel vers les serveurs de Google afin de déterminer quelles sont les publicités à afficher après analyse du contenu.

Ce cheval de Troie, baptisé Trojan.Qhost.WU, opère une modification sur le fichier « hosts » des systèmes d'exploitation. A chaque tentative de connexion vers un serveur distant, ce fichier est consulté afin de vérifier qu'une adresse IP n'est pas déjà associée à un nom de domaine, avant qu'une requête soit envoyée aux serveurs DNS qui se chargent habituellement de la redirection des internautes. Aujourd'hui inutile, ou presque, le fichier hosts n'est plus guère utilisé que pour interdire l'accès à certains sites, dans le cadre par exemple d'un contrôle parental.

Ici, le fichiers hosts est modifié de façon à ce que le script AdSense n'appelle pas les serveurs de Google (pagead2.googlesyndication.com) mais le serveur de l'attaquant, à partir duquel celui-ci diffusera le message de son choix.

L'affaire est ennuyeuse pour Google, bien sûr, mais également pour les internautes que cette usurpation met en danger, ainsi que pour les annonceurs et webmasters qui font confiance au programme publicitaire du numéro un mondial des moteurs de recherche. Ce cheval de Troie ne semble cependant pas opposer de résistance aux programmes de désinfection les plus courants.

Attention au spam PDF malicieux !

lotusss — Sun, 11 Nov 2007 10:19:00 +0100

Les spammeurs n'auront finalement pas trop tardé pour tirer profit de la faille présente dans les précédentes versions d'Acrobat Reader. Ainsi, un spam qui s'est bien répandu dans les boîtes aux lettres électroniques présentait il y a quelques jours un fichier PDF bien particulier. Ce fichier nommé « report.pdf » prenait la forme d'un pseudo relevé de compte bancaire.

Si ce fichier était ouvert sur des machines vulnérables, il se chargeait de télécharger un malware depuis des serveurs distants placés en Malaisie et en Suède. Depuis, ces serveurs ont été fermés. Toutefois, cette première opération pourrait inspirer d'autres spammeurs... Surtout que les fichiers PDF ne sont généralement pas filtrés / stoppés par les antispam, contrairement aux fichiers malicieux au format .exe...

Il est donc plus que conseillé d'installer la dernière version d'Adobe Reader (Acrobat) qui corrige la faille en question (voir Acrobat Reader : Adobe corrige la faille sur le PDF). Evitez également d'ouvrir les fichiers PDF suspects provenant de sources que vous ne connaissez pas.

Netactualité - trojan

Le cheval de Troie qui modifie les pubs AdSense

Attention au spam PDF malicieux !