[Virus-Malware] Dernier film Harry Poter gratuit... enfin pas vraiment

Pas vraiment, sauf si vous ne craignez pas d'abîmer votre ordinateur. En effet, le message ainsi intitulé s'avère être en fait un malware suffisamment puissant pour déposer un cheval de Troie, vider les comptes bancaires et faire perdre beaucoup de temps à ses victimes.

Mieux vaut donc acheter une entrée de cinéma, conseille Bitdefender aux fans de Harry Potter (vivant heureux sans protection antivirus ou trop crédules) que cliquer sur des liens supposés permettre de visionner gratuitement le dernier volet cinématographique de l'œuvre de J.K Rowling.

La diffusion du malware comprend cinq étapes simples et implique au moins deux types de charges utiles malveillantes, précise l'éditeur d'antivirus :

1. Le faux lien ne conduit pas vers une page Web présentant le film, mais redirige automatiquement le navigateur vers un site Web contenant des malwares. La fenêtre du navigateur est réduite et en même temps, un message s'affiche, signalant à l'utilisateur la présence de plusieurs infections sur son ordinateur et lui proposant d'utiliser Personal Antivirus pour supprimer les menaces.

2. S'il clique sur le bouton OK ou sur Annuler, l'utilisateur lance un faux processus d'analyse qui s'affiche dans la fenêtre du navigateur qui a été restaurée. Ce processus est censé détecter les malwares présents sur le système. Pour plus de crédibilité, les cyber-criminels ont ajouté un panneau d'informations à gauche de la fenêtre « My Computer Online Scan » (Analyse en ligne du Poste de travail), qui affiche des détails concernant l'adresse IP, le pays et la ville de l'ordinateur de l'utilisateur. Une fois l'analyse terminée (après environ 10 secondes), on recommande à l'utilisateur de télécharger et d'installer le faux logiciel antivirus afin de supprimer plus de 500 fichiers endommagés par différents types de malwares.

3. Que l'utilisateur clique sur OK ou sur Annuler, il active une fausse alerte de sécurité Windows® (notez le bouclier doré dans le coin supérieur gauche) qui est en fait une simple capture d'écran déclenchant le téléchargement du faux antivirus (voir le curseur en forme de main sur l'image ci-dessous).

4. Si l'utilisateur clique à l'intérieur de la fausse fenêtre, il lance le téléchargement du malware.

5. Lorsque le téléchargement se termine, si aucune suite de sécurité n'est installée et si le binaire s'exécute, le système de l'utilisateur est alors infecté avec Trojan.Downloader.PersonalAntivirus.A.
Une fois installé, ce malware à l'accord de licence crypté tente de télécharger l'un des nouveaux membres de la famille des faux antivirus, Personal Antivirus, en se connectant à plusieurs serveurs enregistrés dans des domaines .com et .cn. Pour ne pas être détecté, il termine le processus Windows Defender.

Sans doute pour réaliser d'autres attaques à l'avenir, il collecte également des données sur la machine qui sera compromise : la date d'installation de Microsoft Windows® et le numéro de sa version, le type de navigateur par défaut, le nombre de processus en cours, l'espace disque disponible et la taille de la mémoire RAM, ainsi que le nombre de programme installés.

Une fois que le composant chargé de l'installation termine le téléchargement de Personal Antivirus, il se connecte à la page de remerciement de Microsoft® Windows® Update, pour faire croire que le logiciel provient d'une source de confiance et est sûr.

Personal Antivirus modifie les paramètres du registre, demande à l'utilisateur d'acheter/de renouveler une licence et télécharge des malwares supplémentaires à l'origine des fausses alertes qu'il affiche. Ces alertes ne sont plus visibles lorsque l'utilisateur visite les pages Web qui hébergent le faux logiciel antivirus, lesquelles sont incluses dans une liste cryptée du cheval de Troie.