Si on se place du point de vue de l'analyste, les programmes malveillants utilisent des astuces parfois assez amusantes. L'utilisateur infecté qui ne fait que constater les effets indésirables ne perçoit certainement pas les choses de la même façon.

Setup.exe est un trojan qui se fait passer pour ce qu'il n'est pas, une installation de faux codecs, et les ruses pour inciter l'utilisateur à exécuter le programme sont nombreuses. Ce binaire à la propriété d'être très léger, il va d'abord télécharger un fichier PHP via mshta.exe (Microsoft HTML Application Host). Si un pare-feu se met à "hurler", les probabilités que l'application soit autorisée par l'utilisateur sont élevées car celui-ci imagine qu'il s'agit d'un composant légitime de son système d'exploitation.

Le fichier PHP va délivrer un code Javascript qui va ensuite exécuter localement un script VBA.

Celui-ci va d'abord inscrire dans le registre plusieurs exécutions automatiques d'un nouvel exécutable (AdWare.Win32.CashOn) puis va écrire à la volée un script FTP pour télécharger l'AdWare et enfin va programmer le planificateur de tâches afin que toutes les 10mn des traitements soient réalisés.

L'infection est bien au chaud.

Le programme est téléchargé et exécuté plusieurs fois ; à chacune des instances, il se connecte sur une nouvelle page PHP afin d'obtenir des adresses. Une fois obtenues, il va visiter les pages web de façon dissimulée et automatique générant ainsi du trafic et rémunérant les affiliés. Parfois, une vidéo s'exécutera au fil de la navigation... Je vous laisse imaginer la surprise de l'utilisateur infecté qui se retrouve nez à nez avec des vidéos pornos. Mais le plus grave et c'est un sérieux problème, c'est que le cache de votre navigateur va se remplir d'images et de contenus divers et variés (hétéros, homos, mineurs...). Enfin, si une des pages visitées contient des exploits et que le système n'est pas mis à jour, la machine se retrouve avec d'autres malwares (rogues ou botnets).