Duqu : la France et la Suisse contaminées
Le ver exploite une vulnérabilité Zero-day et les protocoles peer-to-peer d'après Symantec

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Retrouvez le dossier complet de la rédaction
Sur le même sujet
Le , par Idelways, Expert Confirmé Sénior
Mise à jour du 3 novembre 2011 par Idelways

Le ver extrêmement sophistiqué Duqu gagne du terrain et touche à présent (au moins) huit pays, dont la France et la Suisse.

C'est ce qui vient d'affirmer le spécialiste des solutions de sécurité Symantec, qui en sait désormais plus sur les voies empruntées par le Trojan pour se répandre et s'installer, sans pour autant arriver à cerner toute l'ampleur de la menace.

Des fichiers Word infectés, conçus par les cybercriminels, exploitent une faille Zero-day du noyau de Windows qui permet l'exécution du code et l'installation des binaires de Duqu. Symantec ne liste pas les versions de Windows concernées, mais précise que Microsoft travaille diligemment pour sortir un correctif et un bulletin de sécurité.

Mais ce n'est d'après Symantec que l'une des nombreuses formes d'attaques utilisées pour infecter les ordinateurs.

D'autres découvertes ont conduit à la fermeture d'un nouveau centre de contrôle et de commande localisé en Belgique. Les attaquants seraient par ailleurs « capables de répandre Duqu dans les ordinateurs des zones non sécurisées et les contrôler à travers un protocole de contrôle et de commande en peer-to-peer », affirme Symantec.

Il convient de préciser que le mérite d'une grande partie de ces avancées de recherche revient à la collaboration de Symantec avec CrySyS Labs, la petite firme de sécurité qui a découvert Duqu (lire ci-devant) et a préféré confier sa divulgation à Symantec par peur de représailles.

Les deux entreprises ne proposent pour le moment aucune parade pour éviter la contamination de son ordinateur.


Flux de l'infection par Duqu

Source : Symantec


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de SurferIX SurferIX
http://www.developpez.com
Membre émérite
le 03/11/2011 19:11
<troll>
Ils n'ont qu'à être sous Linux. Sisi c'est une réponse constructive : Linux n'a pas de virus et cet article n'aurait pas lieu d'exister si tout le monde était sous Linux. Même chose avec une autre firme dont l'éthique me dégoûte c'est pour ça que je ne la citerai pas
</troll>
Avatar de Robin56 Robin56
http://www.developpez.com
Modérateur
le 03/11/2011 20:13
@SurferIX : Eh bien heureusement que tu t'auto <troll> toi.

Moi ce qui m'intrigue là dedans c'est comment ont-ils pensé à ce nom ?
Avatar de pcdwarf pcdwarf
http://www.developpez.com
Membre confirmé
le 04/11/2011 11:43
Je ne voudrais pas nourrir le troll mais on est bien obligé de constater que windows reste quand même très vulnérable, en grande partie par sa tendance à exécuter automatiquement des programmes à l'insu de l'utilisateur pour lui "simplifier la vie".
Par ailleurs, de part sa conception très complexe, un système windows compromis est souvent difficile à récupérer. Quelques monstruosités comme les ADS se prètent particulièrement bien à la dissimulation de virus et complexifient largement leur éradication. Par ailleurs, modifier la base de registres depuis un liveCD est quand même une entreprise difficile alors que coté linux/unix, éditer des fichier de configuration est à la porté de n'importe quel éditeur texte.

Contrairement à ce qui a été dit, linux a des failles et même des grosses. J'ai déjà testé quelques exploits à faire pâlir... Simplement il est quand même plus rare de parvenir à exécuter du code sans action de l'utilisateur et encore plus rare de parvenir à devenir root sans entrer le mot de passe.

La plus grosse faille reste encore et toujours l'utilisateur. En général, plus le système est "User Friendly", plus il est vulnérable.

Voila pour le troll.

Maintenant ce qui m'intéresse, c'est le fonctionnement de ces saletés, admettons que word ait une vulnérabilité permettant d'exécuter du code. Ca peut toujours arriver, même aux meilleurs codeurs, et l'important c'est plus d'arriver à limiter la casse quand ça arrive que d'empêcher à tout prix que ça arrive. Admettons, disais-je que word ait une vulnérabilité permettant d'exécuter du code, comment le dit code arrive-t-il à s'installer si le compte utilisateur est limité comme ce devrait systématiquement être le cas ou sans déclancher l'UAC sur le vista et 7 ?
Il y aurait donc au moins 2 failles successives ? Une dans le programme et une autre dans le bac à sable où il est sensé tourner ? (Je ne voit strictement aucune raison valable pour laquelle un traitement de texte aurait besoin de privilèges)

Maintenant, si tout repose sur le fait que les utilisateurs sont admin de leur poste et cliquent OK quand ils ont un message d'avertissement, c'est plus un PEBKAC qu'autre chose....
Avatar de Elendhil Elendhil
http://www.developpez.com
Membre éclairé
le 05/11/2011 16:03
Maintenant, si tout repose sur le fait que les utilisateurs sont admin de leur poste et cliquent OK quand ils ont un message d'avertissement, c'est plus un PEBKAC qu'autre chose....

Windows XP existe toujours avec plus de 30% de part de marché et dans les services publiques xp est omniprésent. Même quand un professionnel installe XP sur un pc d'un particulier, il y aura un seul compte en admin et sans login. C'est volontaire tout simplement si tu fais pas ça bcp de gens ne seront pas capable d'installer de nouveaux logiciels.
Avatar de VassR VassR
http://www.developpez.com
Candidat au titre de Membre du Club
le 07/11/2011 17:08
Linux n'a pas de virus

Vu le pourcentage d'utilisateurs de Linux, tu m'étonnes .
Avatar de pcdwarf pcdwarf
http://www.developpez.com
Membre confirmé
le 09/11/2011 21:15
Linux n'a pas de virus

Oh que si !
Je suis un fervent linuxien, simplement il me parait essentiel de rester lucide sur les limitations de son OS.

Simplement ce ne sont généralement pas les même types de virus que sous windows. Ce sont plutot des espions/backdoor conçus pour rester discrets et pas des trucs qui prennent tout le CPU en en balançant des popups de pub dans tous les coins. Niveau discrétion, certains sont même horriblement astucieux. Il y a quelques années j'ai eu un troyen qui remplaçait tout les outils de base comme ps, et ls pour masquer sa présence. même md5sum ne renvoyait pas les vrais hashs.
Je m'en suis rendu compte par chance, en cherchant pourquoi ma commande ls se mettait subitement à appeler des fonction dépréciées de la libc qui faisaient des warning.

Pour en revenir à duqu, et autres saloperies du genre, je ne comprends toujours pas le mode d'infection, en particulier l'étape numero 5 du schéma.
J'ai déjà vu des trucs qui ont réussi à s'installer en tant que service à partir d'une session d'utilisateur limité. (sous winXP) le tout avec kill automatique d'outils comme procxp ou hijackthis. Je n'ai pas eu d'autre choix que de réinstaller l'OS.
Avatar de Gluups Gluups
http://www.developpez.com
Membre régulier
le 13/11/2011 15:08
Citation Envoyé par Robin56  Voir le message
@SurferIX : Eh bien heureusement que tu t'auto <troll> toi.

Moi ce qui m'intrigue là dedans c'est comment ont-ils pensé à ce nom ?

çà, il faut reconnaître que pour un logiciel censé exploiter des trous de sécurité, ils ont fait fort
Avatar de Gluups Gluups
http://www.developpez.com
Membre régulier
le 13/11/2011 15:16
Citation Envoyé par pcdwarf  Voir le message
Maintenant, si tout repose sur le fait que les utilisateurs sont admin de leur poste et cliquent OK quand ils ont un message d'avertissement, c'est plus un PEBKAC qu'autre chose....

Effectivement. Le bon sens voudrait qu'un salarié digne de confiance (pour l'utilisation de l'informatique) dispose de deux comptes sur sa machine, un pour installer les logiciels, l'autre pour les utiliser.

Jamais vu pratiquer ça.
Offres d'emploi IT
Développeur / intégrateur web (h/f)
CDD
Observatoire de Banyuls / UPMC - Languedoc Roussillon - Banyuls-sur-mer (66650)
Parue le 26/07/2014
Responsable catalogue produit h/f
Stage
Lagardere Active Digital - Ile de France - Île-de-France
Parue le 01/08/2014
Ingénieur développement ntic confirmé h/f
CDI
BULL FR - Aquitaine - Bordeaux (33000)
Parue le 20/08/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula