Des chercheurs découvrent le premier malware à pratiquer l'overwrite
Caché sous la forme d'un Adobe Updater

Le , par Katleen Erna, Expert éminent sénior
Des chercheurs découvrent le premier malware à pratiquer l'overwrite, caché sous la forme d'un Adobe Updater

Un code malicieux vient d'être repéré pour la première fois par des spécialistes en sécurité informatique.

En effet, des chercheurs viennent de découvrir un malware qui se substitue aux mises à jour de certaines applications. Habituellement, ce type de programmes ne pratique pas l'overwrite.

Seuls les ordinateurs tournant sous Windows sont touchés. Le malware se cache sous la forme d'un updater pour les produits Adobe ou Java. Une variante imite Adobe Reader v.9 et overwrite AdobeUpdater.exe, lequel a pour mission de se connecter régulièrement auprès des serveurs d'Adobe pour vérifier si une nouvelle version est disponible.

Une fois installé bien au chaud sur une machine, le malware active les services DHCP (Dynamic Host Configuration Protocol) client, DNS (Domain Name System) client, partage réseau (ces services sont pour la plupart déjà lancés) et ouvre un port, pour recevoir des commandes.

D'après un expert de Trend Micro, les bons antivirus devraient détecter cette menace. Il précise aussi que les ordinateurs infectés seront altérés même une fois le malware désinstallé, car ils perdront la fonctionnalité d'auto-mise à jour de n'importe quel logiciel infecté, ce qui exposera la machine a bien d'autres menaces si des patchs ne peuvent alors pas être rapidement installés (à cause de ce défaut). Il faudra en effet aux utilisateurs victime de ces codes malveillants, recommencer a télécharger leur mises à jour à la main, ce que certains ne sauront ou ne voudrons pas faire.

Source : Le blog de l'analyste en sécurité Nguyen Cong Cuong (avec captures d'écran)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Médinoc Médinoc - Expert éminent sénior http://www.developpez.com
le 29/03/2010 à 11:06
Si l'utilisateur accepte de télécharger la mise à jour, il aura un prompt d'élévation et exécutera l'updater en tant qu'admin...
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 29/03/2010 à 11:10
Citation Envoyé par Mens Pervincet  Voir le message
J'ai aucune experience en securite informatique, mais je me pose une question:
j'ai bien compris que pour lancer un service reseau il faut les droits admin, et qu'ici le probleme est que le virus ayant corrompu adobe updater, l'utilisateur a l impression d'avoir affaire a adobeUpdater.exe et lui accorde les droits necessaires.
Cependant il me semble que pour ecrire dans la zone de programme ( et donc corrompre adobe updater) il faut egalement une elevation de privilege. Je me trompe ?? Du coup je vois mal comment se fait la contamination si l'utilisateur est un minimum sur ses gardes. Auriez vous des elements de reponse ?

C'était justement pour ça que je demandais "le mode de diffusion", pour moi j'ai compris que l'utilisateur lançais AdobeUpdater.exe, du coup il va lui donner les droits admin sans méfiance. Et la solution pour éradiquer ce genre de problèmes est toute simple : vérifier l'intégrité des données, c'est déjà fait sur d'autres plateformes.
Il serait intéressant d'ailleurs de savoir le pourcentage de virus qui est installé de cette manière par l'utilisateur.
Avatar de Lyche Lyche - Expert confirmé http://www.developpez.com
le 29/03/2010 à 11:16
Trop fort, hier soir j'ai eu une demande d'AdobeUpdater pour faire une installation, c'est la seule fois de ma vie ou j'ai refusé d'ailleurs, en générale il ne demande pas ! Je ne sais pas si c'est le virus ou non, mais cette demande a été refusée.. Coup de chance !
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 29/03/2010 à 11:25
C'est quand même paradoxal : pour avoir un système au maximum sécurisé il faut le mettre à jour, mais pour éviter ce type de virus il faut refuser les mises à jour
Avatar de deadalnix deadalnix - Membre chevronné http://www.developpez.com
le 29/03/2010 à 17:22
Citation Envoyé par dams78  Voir le message
C'est quand même paradoxal : pour avoir un système au maximum sécurisé il faut le mettre à jour, mais pour éviter ce type de virus il faut refuser les mises à jour

C'est pourquoi il faut un système de MAJ unifié afin d'éviter de multiplier les daemon de maj, et donc les risque potentiels.
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 29/03/2010 à 17:26
Citation Envoyé par deadalnix  Voir le message
C'est pourquoi il faut un système de MAJ unifié afin d'éviter de multiplier les daemon de maj, et donc les risque potentiels.

Alors là je suis tout à fait d'accord, j'ai toujours connu ça sous Debian (Linux) et je n'ai jamais compris pourquoi ce n'était pas aussi utilisé dans un OS orienté utilisateurs plus ou moins confirmés comme Windows.
Avatar de deadalnix deadalnix - Membre chevronné http://www.developpez.com
le 29/03/2010 à 17:33
Si ça peut te rassurer, Bill gates non plus. Il s'est prononcé la dessus par le passé.

Mais bon, il est à la retraite maintenant, c'est Steve qui gère . . .
Avatar de JeitEmgie JeitEmgie - Membre expert http://www.developpez.com
le 29/03/2010 à 18:16
Avatar de kaymak kaymak - Membre chevronné http://www.developpez.com
le 31/03/2010 à 17:28
Citation Envoyé par dams78  Voir le message
Justement, je trouve que ça a son importance, pour moi il y a deux types d'attaque :
- Les attaques sur des failles de sécurité, et là l'utilisateur n'y peut rien (sauf ceux qui prétendent n'avoir jamais eu de virus, ils doivent être vraiment balèze d'ailleurs) à ça tu peux rajouter les ports ouverts, les mots de passe légers comme certains l'ont préciser.
- Et les virus à mon avis plus présents et pourtant les plus faciles à éviter avec une réelle volonté de la part des éditeurs. Je pense au virus qui est installé par l'utilisateur à son insu : et quand on a un soft AdobeUpdate.exe on a beau être prudent, on ne peut pas savoir qu'il s'agit d'un virus. A cela tu rajoutes le phishing, etc. Et pourtant des solutions existent : il s'agit de tester l'intégrité des données reçues...

Mais bon après on se retrouve comme sous Linux, avec un système qui n'a pas besoin d'anti virus, mais seulement d'un système de mises à jour et d'un par feu, et ça, pour le business c'est pas bon

Oui c'est une information importante, mais c'était par rapport à la news en elle-même.
Ici, qu'importe le vecteur d'infection, ce qui est grave c'est que le virus se fait passer pour adibeUpdater.
Et donc si il fait poper une demande d'accès aux droits d'admin tu vas tomber dans le panneau.
Et lui donner les droits d'admin.

Ce n'est pas clair, mais je ne pense pas que le virus se diffuse via adobe updater.

Après les vecteurs que tu cites son commun à toutes formes d'attaques, quelle qu'en soit son but, ce n'est qu'un moyen comme un autre pour s'infiltrer dans un système, au pif le social engineering.
Avatar de kaymak kaymak - Membre chevronné http://www.developpez.com
le 31/03/2010 à 17:34
Ils sont balèze quand même les chercheurs en sécurité.
Avatar de kenji_getpowered kenji_getpowered - Membre habitué http://www.developpez.com
le 01/04/2010 à 8:40
Un code malicieux vient d'être repéré pour la première fois par des spécialistes en sécurité informatique.

Bien la preuve qu'on les payait à rien faire avant !!! Ils avaient même pas découvert un truc, sont cons ces spécialistes en sécurité

Offres d'emploi IT
Chef de projet - data warehouse h/f
DAILYMOTION - Ile de France - Paris (75017)
Développeur back-end h/f
Antadis - Ile de France - Rambouillet (78120)
Développeur Informatique H/F
BOURSE DE L'IMMOBILIER - Aquitaine - Bordeaux (33300)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil