Google prévoit aujourd’hui de commencer à avertir les internautes si leurs ordinateurs présentent des signes révélateurs d’infection par le Cheval de Troie DNSChanger. La société estime que plus de 500 000 systèmes restent infectés par le logiciel malveillant, malgré une échéance imminente qui menace de mettre en quarantaine les ordinateurs malades du reste d’Internet.
L’année dernière, des experts en sécurité ont obtenu l’approbation du tribunal pour prendre le contrôle de l’infrastructure qui alimentait le cheval de Troie piratant la recherche dans le but d’aider les utilisateurs à nettoyer les infections. Mais un délai imposé par le tribunal pour éteindre cette infrastructure coupera l’accès à Internet pour les PC qui ne sont pas débarrassés du logiciel malveillant avant le 9 juillet 2012.
L’entreprise mentionné l’avertissement (illustré ci-dessus) n’apparaîtra que lorsqu’un utilisateur dont le système est infecté visite une propriété de résultats de recherche Google (google.com, google.co.uk, etc.) et inclura le message : « Votre ordinateur semble être infecté .” Ingénieur sécurité Google Damien Menscher a déclaré que la société prévoit d’informer environ un demi-million d’utilisateurs au cours de la première semaine des avis.
« En général, nous voulons informer les utilisateurs [of malware infections] chaque fois que nous sommes capables de le faire, mais le fait que nous ne le fassions pas plus souvent est simplement dû au fait qu’il est difficile de trouver des cas où nous pouvons le faire avec autant de précision », a déclaré Menscher. « Dans de nombreux cas, nous n’avons peut-être qu’une confiance de 90 % dans le fait qu’une personne est infectée, et le taux de faux positifs de 10 % est tout simplement trop élevé pour être réalisable. Mais dans ce cas, nous pouvons être essentiellement certains que quelqu’un est infecté.
L’avertissement que les utilisateurs infectés verront est presque identique à une alerte similaire utilisée par Google l’année dernière dans une campagne visant à débarrasser le Web d’un autre pirate de recherche qui tentait d’effrayer les utilisateurs pour qu’ils achètent un faux logiciel antivirus – également connu sous le nom de « scareware ».
DNSChanger ne détourne peut-être plus les résultats de recherche, mais le logiciel malveillant comporte toujours des menaces et des risques secondaires. Il était fréquemment associé à d’autres logiciels malveillants et, par conséquent, les machines malades de DNSChanger hébergent probablement également d’autres infestations de logiciels malveillants. De plus, DNSChanger désactive la protection antivirus sur les machines hôtes, les exposant davantage aux menaces en ligne.
Pour répondre à ces préoccupations, Google oriente les utilisateurs de systèmes infectés vers un ensemble d’instructions comprenant des étapes pour éradiquer DNSChanger et vers des outils de nettoyage tiers qui peuvent aider à nettoyer les infections d’autres logiciels malveillants.
Menscher a déclaré que Google affichera l’avertissement dans des dizaines de langues différentes.
« Nous pensons que cela tient en partie au fait que jusqu’à présent, toute la presse publique à ce sujet a été en anglais ou dans une poignée d’autres langues », a déclaré Menscher. « Il s’avère que seulement la moitié de ces utilisateurs infectés parlent l’anglais comme langue principale. »
DNSChanger modifie les paramètres d’un PC hôte qui indiquent à l’ordinateur comment trouver des sites Web sur Internet, détournant les résultats de recherche des victimes et les empêchant de visiter des sites de sécurité qui pourraient aider à détecter et à nettoyer les infections. Les serveurs Internet utilisés pour contrôler les ordinateurs infectés étaient situés aux États-Unis et, en coordination avec l’arrestation en novembre dernier des hommes estoniens soupçonnés d’être responsables de l’exploitation du réseau de chevaux de Troie, un tribunal de district de New York a ordonné à une société privée américaine de prendre le contrôle de ces serveurs.
Le gouvernement a fait valoir que l’arrangement donnerait aux FAI et aux entreprises le temps d’identifier et de nettoyer les PC infectés, des systèmes qui seraient autrement déconnectés d’Internet si les serveurs de contrôle étaient arrêtés. Le tribunal a accepté et a ordonné que les serveurs de contrôle de substitution restent opérationnels jusqu’au 8 mars. Lorsque la date limite du 8 mars s’est approchée et qu’il a été découvert que le nettoyage prenait plus de temps que prévu, le tribunal a accepté de reporter la date limite au 9 juillet 2012.