IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des experts en sécurité tirent la sonnette d'alarme face à la résurgence du malware Sefnit
Plusieurs millions de machines infectées par le passé

Le , par Arsene Newman
28 commentaires

0PARTAGES

1  0 
Détecté au cours du mois d'août 2013, le malware Sefnit est à l'origine de l'explosion du trafic du réseau anonyme Tor (une augmentation du nombre d'utilisateurs de plus de 600 % en quelques semaines), alors que cette augmentation a été initialement attribuée à l'effet de choc des révélations d'Edward Snowden.

Sefnit a rapidement infecté plusieurs millions de machines pour réaliser de la fraude au clic à grande échelle et de l'exploitation minière Bitcoin intensive. L'infection avait atteint son paroxysme en début d'année avant de s'essouffler, en partie grâce à une initiative de Microsoft pour la contrecarrer.

Toutefois, aujourd'hui les spécialistes mettent de nouveau en garde les utilisateurs contre Sefnit et la menace qu'il représente, suite à la détection d'une nouvelle variante datant de fin mars 2014.

Pour mieux comprendre ce malware, il faut remonter au début du mois de janvier 2014. Jeff McDonald, membre de Microsoft Research, l'avait alors décrit comme étant un malware qui infecte ses victimes via une version corrompue du client Tor (la version 0.2.3.25). Cette dernière contient plusieurs failles de sécurité et ne se met pas à jour automatiquement.

Après avoir infecté la victime, le malware se connecte aux serveurs de C&C (Command and Control), ces derniers utilisant le réseau Tor pour préserver leur anonymat. Fort de ses informations collectées, Microsoft avait alors entrepris de supprimer à distance les clients Tor de plus de 2 millions de machines Windows infectées, neutralisant par la même occasion le malware.

Mais récemment, des chercheurs de Facebook ont détecté une nouvelle version qui n'utilise plus Tor, mais a recourt plutôt à des connexions Plink sécurisées pour communiquer avec ses serveurs de C&C. Cette nouvelle variante se propage rapidement vu la facilité avec laquelle elle dupe ses victimes.

En effet, le malware télécharge deux fichiers (file1.exe et file2.exe) dont l’exécution débouche sur l'activation de plusieurs services nécessaires pour contacter les serveurs de C&C ainsi que l'installation de plusieurs .dll qui se présentent à l'utilisateur sous la forme d'un thème Windows.

La résurgence de certains malwares n'est pas un phénomène nouveau, mais la rigueur reste de mise face à Sefnit, d'où la réaction alarmante des experts et des chercheurs.

Sources : première annonce de Microsoft, annonce de Facebook

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

28 commentaires
Commenter Signaler un problème