Windows : deux malwares s'entraident pour défier les antivirus
La suppression de l'un sans l'autre serait inutile

Le , par Cedric Chevalier, Chroniqueur Actualités
Sécurité Microsoft : deux malwares usent de coopération pour se maintenir dans les systèmes Windows

Les solutions antivirus du marché peinent à les détecter simultanément

Initialement découverte en 2009, la famille de vers Win32/Vobfus (écrite en Visual Basic), malgré les multiples patchs de sécurité et mises à jour des programmes antivirus, persiste encore de nos jours. La raison d’une telle longévité réside dans le mécanisme de fonctionnement de ce programme malveillant.

Vobfus, en plus de se répliquer dans tous les médias amovibles et disques disponibles (sous différents noms comme passwords.exe, porn.exe, secret.exe, sexy.exe, subst.exe, video.exe) télécharge un autre programme malveillant appelé « Beebone » (cheval de Troie écrit en Visual Basic) qui à son tour télécharge une série de programmes malveillants (Zbot, Sirefef, Fareit, Nedsym, Cutwail, Vobfus).

Détecter et supprimer Vobfus pour ensuite le retrouver le jour d’après dans votre système. Ce qui complique la tâche d’éradication de ce dernier, c’est que les solutions antivirus présentes sur le marché ne peuvent le détecter simultanément avec Beebone. Or la présence d’un seul de ces exécutables malicieux est largement suffisante. En effet, Vobfus peut télécharger une version mise à jour de Beebone que n’arrivent pas à détecter les logiciels antivirus et il en est de même avec Beebone.


Que faire ? À titre préventif, Hyun Choi de Microsoft recommande de désactiver la fonctionnalité « Autorun » de Windows, ceci parce que cette dernière est requise pour la propagation de Vobfus. De plus, dans de nombreux cas de figure, Vobfus s'installe avant Beebone.

Source : blog Microsoft

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de imikado imikado
http://www.developpez.com
Rédacteur
le 03/07/2013 19:20
Il y a une vrai R&D chez les développeurs de virus, si ca continue on aura des systèmes de virus fonctionnant en équipe comme des fourmis

Il pourrait être intéressant de travailler sur le même principe que les disque live: le système est stoquée sur un stoquage non inscriptible, à chaque démarrage de la machine on charge en mémoire un système propre
Avatar de Zipyz Zipyz
http://www.developpez.com
Membre chevronné
le 03/07/2013 20:51
Citation Envoyé par imikado  Voir le message
Il y a une vrai R&D chez les développeurs de virus, si ca continue on aura des systèmes de virus fonctionnant en équipe comme des fourmis

Il pourrait être intéressant de travailler sur le même principe que les disque live: le système est stoquée sur un stoquage non inscriptible, à chaque démarrage de la machine on charge en mémoire un système propre

Ca existe : le vdi, ton poste de travail est une vm qui est réinitialisée à chaque démarrage et les seuls données persistantes sont sur ton disque utilisateur
Avatar de imikado imikado
http://www.developpez.com
Rédacteur
le 03/07/2013 21:01
Vous parlez de ceci ? http://fr.wikipedia.org/wiki/Virtual...Infrastructure
Il faut investir dans un windows server ou un citrix ?
Avatar de atha2 atha2
http://www.developpez.com
Membre émérite
le 03/07/2013 21:02
Tiens ça me fait penser à MSE. Il me semble qu'il a un peu le même comportement, si on kill le processus UI, il relance le service background et vice-versa

Plus sérieusement, l'autorun sur les clés USB est désactivé depuis windows 7 (pour les mêmes raisons), donc je ne suis pas sur de comprendre la recommandation de Hyun Choi de Microsoft. A part, s'il parle des versions antérieures mais j'ose espérer qu'a l'époque, ils avaient sorti un patch pour XP et Vista...
Offres d'emploi IT
Ingenieur de production
CDI
Additeam - Nord Pas-de-Calais - Villeneuve-d'Ascq
Parue le 04/08/2014
Développeur java j2ee pour
CDI
Mobiskill - Ile de France - Paris (75000)
Parue le 08/08/2014
Ingénieur réseau h/f
CDI
D&B SÉLECTION - Provence Alpes Côte d'Azur - Marseille (13000)
Parue le 28/07/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula