Kaspersky decouvre un virus "fileless" qui s'installe dans la RAM
Et désactive le contrôle des accès utilisateurs de Windows

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Sur le même sujet
Le , par MiaowZedong, Membre Expert
Suite aux indications d’un chercheur indépendant qui « souhaite garder l’anonymat », le laboratoire Kaspersky a découvert un nouveau virus. Celui-ci se propageait via les annonces du réseau publicitaire Russe AdFox.ru, présentes sur des sites d’informations populaires.

Ce qui rend ce virus particulier est son mode opératoire. Si l’inclusion d’une iFrame renvoyant vers un site contenant du code malicieux (hébergé sur un site .eu) est classique, la stratégie d’exploitation utilisée est par contre rarissime. Le virus utilise une vulnérabilité critique de la machine virtuelle Java (CVE-2011-3544, pour laquelle il existe un patch depuis six mois) ; mais contrairement aux autres attaques sur cette faille, très populaire parmi les crackers, le virus ne s’installe pas sur le disque dur.

Au lieu de cela, le virus injecte directement en mémoire une DLL cryptée dans le processus javaw.exe. Cette stratégie le rend plus résistant aux antivirus, qui scannent les disques durs, les disques amovibles et souvent les connexions réseau, mais pas la RAM. De plus, le processus javaw.exe bénéficie habituellement de la confiance de l’antivirus et de l’utilisateur, ainsi que des pleins privilèges.


Le virus s'injecte dans la mémoire du processus javaw.exe avec toutes les permissions

Cela permet au virus de désactiver le contrôle des accès utilisateurs sur les postes Windows puis de se connecter sur le serveur des cybercriminels. Par la suite, celui-ci installe à distance le trojan Lurk. Détail important : c’est la logique du serveur qui installe le trojan. Le virus lui-même ne sert qu’à la rendre possible à l’insu de l’utilisateur, en contournant les protections de l’ordinateur.

Cela rend aussi le virus facile à maintenir et faire évoluer, puisqu’il suffit de modifier les programmes du serveur, et le virus déjà dans la nature continuera de faire son travail sans modifications. Sûrement le rêve de beaucoup de codeurs de virus !

Notons que si les virus résidant exclusivement en mémoire ne sont pas une stratégie nouvelle, ce type d’attaque n’avait pas été constaté depuis 2001, avec notamment le ver CodeRed.

Les chercheurs de Kaspersky concluent en recommandant d’effectuer les mises à jour critiques du JRE, qui sont bien sûr la meilleure défense contre l’exploitation des failles Java. Ils recommandent également de bloquer l’accès aux sites en .eu, qui selon eux « contiennent de nombreuses ressources malicieuses », et d’utiliser un antivirus qui scanne les pages Web. Ils mettent également en garde contre une réutilisation probable de ce virus, qui pourrait cibler prochainement des utilisateurs en dehors de la Russie et installer des trojans autres que Lurk, et également cibler des OS autres que Windows, car Java est multiplateforme.

Source : Kaspersky


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de lamerenoelle lamerenoelle
http://www.developpez.com
Invité de passage
le 21/03/2012 14:05
je ne suis pas très douée pour internet et je voudrais savoir comment interdir au navigateur "internet explorer" et "firefox" d'aller sur les sites en .eu ? J'ai essayé de rentré quelque "chose" mais apparemment je n'ai pas le bon "code" pour me faire comprendre !! Merci de votre réponse
Avatar de gangsoleil gangsoleil
http://www.developpez.com
Modérateur
le 21/03/2012 14:25
Citation Envoyé par lamerenoelle  Voir le message
je ne suis pas très douée pour internet et je voudrais savoir comment interdir au navigateur "internet explorer" et "firefox" d'aller sur les sites en .eu ? J'ai essayé de rentré quelque "chose" mais apparemment je n'ai pas le bon "code" pour me faire comprendre !! Merci de votre réponse

Ce n'est generalement pas au niveau du navigateur que tu fais cette configuration, mais au niveau de l'OS : cela permet de s'assurer que meme si tu installes un nouveau navigateur, il ne pourra pas se connecter a l'adresse indesirable.

Mais je le repete, comme d'autres, ce n'est pas une bonne solution. Si dans 3 mois tu veux acceder, par exemple, au site du parlement europeen, et que tu n'y arrives pas, tu ne sauras plus pourquoi, et l'analyse sera longue avant de penser que quelqu'un ne t'ait recommande de modifier ce type de regle.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 21/03/2012 14:53
En effet, de plus le virus ne passant certainement pas par le navigateur pour télécharger le trojan, bloquer l'accès aux sites .eu au niveau du navigateur ne te protègerais absolument pas.
Avatar de F@bien.fd F@bien.fd
http://www.developpez.com
Membre du Club
le 24/03/2012 7:35
En tant qu'utilisateur lambda... quelle est ou quelles sont les solutions a utiliser pour régler le compte à ce virus SVP ?
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 24/03/2012 8:36
Si tu as Java, mettre a jour ta JVM.
Avatar de Totony Totony
http://www.developpez.com
Membre du Club
le 25/03/2012 20:50
Citation Envoyé par Uther  Voir le message
Si tu as Java, mettre a jour ta JVM.

Si tu as Java, désinstalle le.
</troll>
Avatar de Jade_13 Jade_13
http://www.developpez.com
Membre éclairé
le 28/03/2012 10:08
Citation Envoyé par rt15  Voir le message
Java est tellement rarement utilisé dans le navigateur qu'il devrait être désactivé par défaut beaucoup plus souvent.

Désolée de te contredire.. mais dans la branche où je suis, nous avons plein d'établissements qui sont obligés de faire leur compta en ligne, et ça utilise java plein pot....
Mais bon... je doute qu'ils trainent sur les sites en .eu ^^
Avatar de rt15 rt15
http://www.developpez.com
Membre éclairé
le 28/03/2012 13:59
Citation Envoyé par Jade_13  Voir le message
Désolée de te contredire.. mais dans la branche où je suis, nous avons plein d'établissements qui sont obligés de faire leur compta en ligne, et ça utilise java plein pot....
Mais bon... je doute qu'ils trainent sur les sites en .eu ^^

Attention, on parle bien d'applet java ici, c'est à dire de java côté navigateur. Il y a moult application d'entreprises qui utilisent java côté serveur (servlet + n'importe quoi jsp ou autre), mais côté navigateur c'est quand même assez rare. Tu es peut être juste l'exception confirmant la règle. Et côté site web public, il y a encore moins d'applet.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 28/03/2012 14:19
Il y a plus d'entreprises qui utilisent les applets que tu le pense, j'en connais également pas mal qui sont dans ce cas.
Avatar de F@bien.fd F@bien.fd
http://www.developpez.com
Membre du Club
le 28/03/2012 22:33
Citation Envoyé par Totony  Voir le message
Si tu as Java, désinstalle le.

si je fais ça, tous mes graphiques de bourse tombent à l'eau et moi je suis mort...
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 03/04/2012 17:27
A noter que Firefox viens de se décider à placer les plug-ins java victimes de cette faille dans sa liste noire des plug-ins dangereux, ils seront désactivés par défaut et indiqués comme dangereux si l'on souhaite les réactiver.
Offres d'emploi IT
Développeur android
Freelance
Opensourcing - Ile de France - Paris (75000)
Parue le 28/07/2014
Assistant administrateur systèmes et réseaux
Alternance
IP-FORMATION - Ile de France - Paris (75000)
Parue le 25/07/2014
Développeur php poo/framework
Freelance
Intuition IT Solution Ltd - Ile de France - Neuilly-sur-Seine (92200)
Parue le 25/07/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula