Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs découvrent le premier malware à pratiquer l'overwrite
Caché sous la forme d'un Adobe Updater

Le , par Katleen Erna

0PARTAGES

0  0 
Des chercheurs découvrent le premier malware à pratiquer l'overwrite, caché sous la forme d'un Adobe Updater

Un code malicieux vient d'être repéré pour la première fois par des spécialistes en sécurité informatique.

En effet, des chercheurs viennent de découvrir un malware qui se substitue aux mises à jour de certaines applications. Habituellement, ce type de programmes ne pratique pas l'overwrite.

Seuls les ordinateurs tournant sous Windows sont touchés. Le malware se cache sous la forme d'un updater pour les produits Adobe ou Java. Une variante imite Adobe Reader v.9 et overwrite AdobeUpdater.exe, lequel a pour mission de se connecter régulièrement auprès des serveurs d'Adobe pour vérifier si une nouvelle version est disponible.

Une fois installé bien au chaud sur une machine, le malware active les services DHCP (Dynamic Host Configuration Protocol) client, DNS (Domain Name System) client, partage réseau (ces services sont pour la plupart déjà lancés) et ouvre un port, pour recevoir des commandes.

D'après un expert de Trend Micro, les bons antivirus devraient détecter cette menace. Il précise aussi que les ordinateurs infectés seront altérés même une fois le malware désinstallé, car ils perdront la fonctionnalité d'auto-mise à jour de n'importe quel logiciel infecté, ce qui exposera la machine a bien d'autres menaces si des patchs ne peuvent alors pas être rapidement installés (à cause de ce défaut). Il faudra en effet aux utilisateurs victime de ces codes malveillants, recommencer a télécharger leur mises à jour à la main, ce que certains ne sauront ou ne voudrons pas faire.

Source : Le blog de l'analyste en sécurité Nguyen Cong Cuong (avec captures d'écran)

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de dams78
Membre chevronné https://www.developpez.com
Le 26/03/2010 à 17:57
Et bah...
J'ai pas compris comment il s'installait pas contre? Il se présente sous la forme AdobeUpdater.exe c'est ça?
0  0 
Avatar de FotoXe33
Membre régulier https://www.developpez.com
Le 26/03/2010 à 18:00
C'est là où on dit "Vive UNIX" !!!
0  0 
Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 26/03/2010 à 18:40
Citation Envoyé par dams78 Voir le message
J'ai pas compris comment il s'installait pas contre? Il se présente sous la forme AdobeUpdater.exe c'est ça?
Ce que tu demandes c'est le vecteur d'infection, il n'à dans cette news que peu d'intérêt.

Citation Envoyé par dams78 Voir le message
Il se présente sous la forme AdobeUpdater.exe c'est ça?
C'est sa résidence. La manière qu'il utilise pour s"intégrer discrètement au système.
0  0 
Avatar de jaimepaslesmodozélés
Membre du Club https://www.developpez.com
Le 26/03/2010 à 19:00
Justement si, le vecteur d'infection est LA chose à connaître, et pourtant on n'en parle pas

j'ai une JRE correctement installée et à jour, Flash idem, pare-feu et antivirus à jour, configurés et actifs, je me pose donc la question essentielle : comment diable va t-on corrompre les updaters de ces deux logiciels ?
- S'il faut aller attraper un virus en faisant X bêtises, il n'y a pas lieu de s'alarmer (comme d'hab quoi, seuls les inconscients tombent dans le piège, pas les internautes avertis, ceci étant valable pour 99,9999% des virus, faut être honnête).
- Si mon install se corrompt "toute seule" (disons.... une faille non patchée permettant à quelqu'un de se connecter et corrompre l'updater), là oui, il y a un problème, mais sauf info contraire, tout va bien.

Rhalala, c'est toujours pareil : on vous parle d'une faille super dangereuse pouvant manger vos enfants, mais on se garde bien de vous dire que pour être attaqué, il faut passer 50h sur des warez, tout accepter sur la mule, ne pas avoir d'antivirus, ouvrir tous ses ports, et sacrifier un CD de la star'ac.
0  0 
Avatar de MadScratchy
Membre actif https://www.developpez.com
Le 26/03/2010 à 19:01
Citation Envoyé par FotoXe33 Voir le message
C'est là où on dit "Vive UNIX" !!!
0  0 
Avatar de Zenol
Membre éprouvé https://www.developpez.com
Le 26/03/2010 à 19:31
Citation Envoyé par Katleen Erna Voir le message
D'après un expert de Trend Micro, les bons antivirus devraient détecter cette menace. Il précise aussi que les ordinateurs infectés seront altérés même une fois le malware désinstallé, car ils perdront la fonctionnalité d'auto-mise à jour de n'importe quel logiciel infecté, ce qui exposera la machine a bien d'autres menaces si des patchs ne peuvent alors pas être rapidement installés (à cause de ce défaut).
Heu, je n'ai pas bien comprit ce passage. En quoi le malware supprimé, serait-il impossible de re-placer des binaires saint des updaters? Généralement, si l'on suprimer un ver, un trojan ou autre, on le vire et on restaure les binaires corrompus...
0  0 
Avatar de Skyounet
Expert éminent sénior https://www.developpez.com
Le 26/03/2010 à 19:32
Citation Envoyé par Zenol Voir le message
Heu, je n'ai pas bien comprit ce passage. En quoi le malware supprimé, serait-il impossible de re-placer des binaires saint des updaters? Généralement, si l'on suprimer un ver, un trojan ou autre, on le vire et on restaure les binaires corrompus...
Et tu le trouves où le binaire non corrompu à part en désinstallant/réinstallant l'application ?
0  0 
Avatar de El_Arby
Membre à l'essai https://www.developpez.com
Le 26/03/2010 à 20:01
bonsoir
j'aiemrait bien comprendre comment un tel malware puisse activer des services
(tel que DHCP ..) sans que windows defender ou l'antivirus puisse detecter
une telle activite?!
0  0 
Avatar de Skyounet
Expert éminent sénior https://www.developpez.com
Le 26/03/2010 à 20:06
Citation Envoyé par El_Arby Voir le message
bonsoir
j'aiemrait bien comprendre comment un tel malware puisse activer des services
(tel que DHCP ..) sans que windows defender ou l'antivirus puisse detecter
une telle activite?!
Euh, parce que tu peux activer des services avec simplement une ligne de commande.

Code : Sélectionner tout
net start tonservice
0  0 
Avatar de teddyalbina
Membre confirmé https://www.developpez.com
Le 26/03/2010 à 20:39
Citation Envoyé par Skyounet Voir le message
Euh, parce que tu peux activer des services avec simplement une ligne de commande.

Code : Sélectionner tout
net start tonservice
Ne pas oublier aussi que la plupart des utilisateurs se baladent sur le compte admin pour ceux sous XP y'a rien à faire ceux sous vista et 7 ne lisent pas le message de l'os quand il demande la validation user pour faire l'augmentation de privilège l'un dans l'autre ...
0  0