Des malwares sophistiqués écrits en PowerShell refont surface
Symantec et Trend Micro tirent la sonnette d'alarme
Le 2014-04-14 01:01:56, par Arsene Newman, Expert éminent sénior
Les éditeurs de logiciels d’antivirus ont récemment mis en garde les utilisateurs contre d’éventuels malwares écrits en PowerShell, le shell en ligne de commande, utilisé sous les systèmes Microsoft pour automatiser les taches via des scripts.
Même si ces types d’attaques ne sont pas nouveaux, il est important de noter que ces nouveaux malwares sont sophistiqués et difficiles à détecter, d’où les mises en garde conjointes de Symantec et Trend Micro.
Ainsi, l’équipe de Symantec a détecté un malware sous forme de script PowerShell, dénommé Backdoor.Trojan, de plus « il a différentes couches d’offuscation et est capable d’injecter un code malicieux dans le processus rundll32.exe pour rester cacher tout en agissant comme un backdoor », selon le chercheur en sécurité de chez Symantec, Roberto Sponchioni.
En outre, lorsque le malware s’exécute, il est en mesure de compiler et d’exécuter à la volée du code qu’il embarque. Le code compilé injecte à son tour plus de code malicieux dans rundll32.exe, puis il se connecte au serveur C&C (Command and Control).
Quant à l’équipe de Trend Micro, elle a découvert le malware CRIGENT (ou PowerWorm) qui est téléchargé par d’autres malwares et se présente sous forme de fichiers Word et Excel.
Après avoir infecté un ordinateur, il est en mesure de télécharger d’autres composants ou outils (comme Tor ou le proxy web Polipo) mais aussi d’infecter d’autres fichiers Word et Excel grâce à des routines internes, ce qui en fait un ver informatique qui peut facilement s’autopropager.
Au final, ces deux annonces révèlent que les cybercriminels ont développé des malwares plus sophistiqués que par le passé sous PowerShell, ce qui en fait des malwares redoutables. Les chercheurs de Symantec recommandent aux utilisateurs « d’éviter d’exécuter de scripts PowerShell inconnus et de ne pas diminuer le niveau de privilège nécessaire par défaut à l’exécution des scripts PowerShell, afin d’éviter toute exécution de script malicieux »
Source : Annonce de Symantec, Annonce de TrendMicro
Et vous ?
Même si ces types d’attaques ne sont pas nouveaux, il est important de noter que ces nouveaux malwares sont sophistiqués et difficiles à détecter, d’où les mises en garde conjointes de Symantec et Trend Micro.
Ainsi, l’équipe de Symantec a détecté un malware sous forme de script PowerShell, dénommé Backdoor.Trojan, de plus « il a différentes couches d’offuscation et est capable d’injecter un code malicieux dans le processus rundll32.exe pour rester cacher tout en agissant comme un backdoor », selon le chercheur en sécurité de chez Symantec, Roberto Sponchioni.
En outre, lorsque le malware s’exécute, il est en mesure de compiler et d’exécuter à la volée du code qu’il embarque. Le code compilé injecte à son tour plus de code malicieux dans rundll32.exe, puis il se connecte au serveur C&C (Command and Control).
Quant à l’équipe de Trend Micro, elle a découvert le malware CRIGENT (ou PowerWorm) qui est téléchargé par d’autres malwares et se présente sous forme de fichiers Word et Excel.
Après avoir infecté un ordinateur, il est en mesure de télécharger d’autres composants ou outils (comme Tor ou le proxy web Polipo) mais aussi d’infecter d’autres fichiers Word et Excel grâce à des routines internes, ce qui en fait un ver informatique qui peut facilement s’autopropager.
Au final, ces deux annonces révèlent que les cybercriminels ont développé des malwares plus sophistiqués que par le passé sous PowerShell, ce qui en fait des malwares redoutables. Les chercheurs de Symantec recommandent aux utilisateurs « d’éviter d’exécuter de scripts PowerShell inconnus et de ne pas diminuer le niveau de privilège nécessaire par défaut à l’exécution des scripts PowerShell, afin d’éviter toute exécution de script malicieux »
Source : Annonce de Symantec, Annonce de TrendMicro
Et vous ?
-
TiranusKBXExpert confirmépersonnellement mon premier programme était fait pour faire planter les postes de mes camarades de classe et il était écris en scripts shellle 14/04/2014 à 12:20
-
23JFKMembre expert
Le mien fut un faux logon screen en tcl/tk avec reboot après capture des paires pseudo/pwd. Et ma cible était les profs qui n'ont jamais percutéle 14/04/2014 à 19:09 -
imikadoRédacteurJe pense que les macros restent les plus dangereux moyens de propager des virus, il est très simple d'écrire sur le disque, voir d'embarquer un autre virus pour le reconstituer sur le poste de la victime avant de l'executer: et ceci dans un simple powerpoint de blague ou autrele 14/04/2014 à 22:44