Ma rencontre avec trojan-downloader.win32.injecter.lim

Après quelques mois d’absence, je ne résiste pas à partager ma petite expérience du jour: j’ai reçu un mail infecté !

Incroyable! J’avais presque oublié que cela avait existé!

Le plus troublant c’est que j’ai « détecté » le probléme avant mon antivirus….

 

Voici le mail en question:

Ce mail visiblement en provenance de DHL à l’air tout à fait authentique, en particulier quand il est noyé dans des dizaines d’autres reçus le même jour.

Pour être crédible en fait le mail en html affiche le vrai logo de DHL depuis le site dhl-usa.com!

Difficile de faire plus authentique…

De plus, si on regarde en détail l’en-tête du mail, on a un peu de mal à faire le lien avec DHL.

A priori, il viendrait plutôt d’une boîte chez  financial-tracking.com.

Après une rapide recherche, il semble que cette adresse IP soit localisée en Chine.

(le régime chinois fait peut être bien de brider Internet dans son pays)

Je n’ai finalement pas été surpris de voir mon anti-virus détecté « trojan-downloader.win32.injecter.lim » et désinfecté mon mail. En revanche, je suis un peu plus intérrogatif sur le temps nécessaire pour cela… Plusieurs minutes, c’est un peu long.

Prudence donc! Les vieilles menaces demeurent …

Sans être aussi technique, ce mail était suspect pour 3 excellentes raisons:

  • Je n’ai rien envoyé par DHL depuis des années,
  • Je ne suis pas convaincu que DHL parle à ses clients français en anglais,
  • L’adresse où j’ai reçu ce mail ne sert que pour des tests (je ne la donne jamais).

Un bon anti-virus ne remplacera jamais un minimum de bon sens ! 🙂

 

 

 

 

 

Tester son antivirus

Généralement, les gens se cachent derrière ce qu’ils espèrent être un « bon antivirus  » et se moque bien de savoir s’il fonctionne effectivement.

On est très loin de se demander si l’antivirus est à jour… mais c’est, me semble-t-il, un pré-requis fondamental! 🙂

Donc, comment savoir si son antivirus est bien opérationnel?

Il y a une petite icône à côte de l’heure? C’est un début rassurant mais  :

– Cela ne signifie pas qu’il est (toujours) correctement paramétré

– Beaucoup de codes malveillants aujourd’hui laisse cette icône même si ce qu’il y a derrière est désactivé!

Une bonne méthode est donc vérifier de temps en temps qu’il sait encore détecter un « virus » témoin (connu et …inoffensif)

C’est le rôle du fichier de test proposé par l’European Institute for Computer Antivirus Research. Ce fichier contient simplement la code suivant :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Tous les antivirus reconnaissent ce code et doivent réagir en présence de ce fichier de test (même compressé).

C’est aussi une magnifique occasion de reconnaître les notifications de son antivirus (histoire ne plus confondre avec les faux antivirus du web).

Le site Officiel: http://www.eicar.org/

La page de téléchargement : http://www.eicar.org/anti_virus_test_file.htm

Comme les gens ne se méfient que de ce qui est légitime, je vous le répète :

c’est sans risque !