IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

ZeusVM, une variante du malware Zeus qui charge du code malveillant dans des images


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Avatar de Francis Walter
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2012
    Messages
    2 317
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2012
    Messages : 2 317
    Points : 26 931
    Points
    26 931
    Par défaut ZeusVM, une variante du malware Zeus qui charge du code malveillant dans des images
    ZeusVM, une variante du malware Zeus qui charge du code malveillant dans des images
    afin de voler des informations de comptes bancaires

    Des pirates ont trouvé un nouveau moyen pour exploiter le cheval de Troie Zeus. Zeus est un malware ayant pour objectif de dérober des informations bancaires lors des transactions en ligne. Il utilise des attaques « Man-In-The-Browser » pour opérer ses vols. « Le cheval de Troie Zeus est un des chevaux de Troie bancaires les plus célèbres jamais créés. Il est si populaire qu'il a donné naissance à de nombreuses ramifications et imitations », affirme Jerome Segura, chercheur sénior en sécurité chez Malwarebytes.

    La nouvelle variante de Zeus récemment découverte s’appelle ZeusVM. Elle utilise une technique sténographique qui consiste à « dissimuler des données à l’intérieur d’un fichier existant sans l’endommager ». Le comportement de ZeusVM aurait été remarqué par un chercheur français en sécurité connu sous le nom de Xylitol.

    Jerome Segura explique que le malware « récupérait une image JPG hébergée sur le même serveur que les autres composants du logiciel malveillant ». La technique consisterait à intégrer du code malveillant dans une image pour pouvoir voler les informations désirées comme dans l’image ci-dessous. Ainsi, les chances qu’un logiciel de sécurité laisse libre court à l’opération sont fortes. « Ce n'est pas la première fois que nous voyons des données des logiciels malveillants dans des fichiers inoffensifs », affirme Jerome Segura. La technique serait très ancienne. La résolution de l’énigme derrière cette technique est donc plaisante.


    Alors, pour vérifier si une image est truquée ou non, il suffit de retrouver la même image avec les mêmes caractéristiques (nom, dimension, extension) sur Internet et de faire une comparaison côte à côte en mode bitmap, soit faire une comparaison du code hexadécimal pour voir les informations qui ont été ajoutées par rapport au fichier original. Toutefois, Jerome Segura précise que cette pratique d’identification ne marche pas à tous les coups.


    Les pirates ont eu l’ingénieuse idée de crypter les informations supplémentaires avec les algorithmes d’encodage Base64, RC4 et XOR pour « rendre l’identification plus difficile ». Une fois qu’on arrive à déchiffrer les informations en surplus dans le fichier truqué, on peut savoir les banques visées par le malware. L’une de ces banques serait la Banque allemande (Deutsch Bank).


    Lorsqu’un utilisateur est infecté par ZeusVM, les informations de son compte bancaire sont dérobées. Ainsi, le pirate peut vider le compte de l’utilisateur sans qu’il ne s’en rende compte. La banque n’a cependant aucun moyen de détecter si l’utilisateur est le vrai ou non.

    Source : blog Malwarebytes

    Et vous ?

    Avez-vous déjà remarqué un fichier truqué ?
    Qu'en pensez-vous ?
    Vous avez envie de contribuer au sein du Club Developpez.com ?

    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, ...etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    lvr
    lvr est déconnecté
    Membre extrêmement actif Avatar de lvr
    Profil pro
    Responsable de projet fonctionnel
    Inscrit en
    avril 2006
    Messages
    880
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de projet fonctionnel
    Secteur : Arts - Culture

    Informations forums :
    Inscription : avril 2006
    Messages : 880
    Points : 1 233
    Points
    1 233
    Par défaut
    Ca fonctionne comment ?
    - On ouvre une image sur le web (en gros toutes les images sur le web sont suspectes maintenant ???)
    - Quand le browser (firefox par exemple) l'ouvre, Firefox exécute à son insu le code malveillant contenu dans l'image
    - Ce code malveillant vient infecter notre pc ?

  3. #3
    Membre éclairé
    Profil pro
    Ingénieur sécurité
    Inscrit en
    février 2007
    Messages
    574
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : février 2007
    Messages : 574
    Points : 748
    Points
    748
    Par défaut
    Citation Envoyé par lvr Voir le message
    Ca fonctionne comment ?
    - On ouvre une image sur le web (en gros toutes les images sur le web sont suspectes maintenant ???)
    - Quand le browser (firefox par exemple) l'ouvre, Firefox exécute à son insu le code malveillant contenu dans l'image
    - Ce code malveillant vient infecter notre pc ?
    C'est pas une execution de code. Zeus utilise l'image comme transport pour son fichier de config. En fait, il cache son fichier de config (chiffre grace a un XOR et RC4) a la fin de l'image. Ensuite cette image est mise a dispo sur le C&C et Zeus la telecharge, et applique le procede inverse locallement (dechiffrage, + stegano).
    Sa permet de mettre a jour sa conf, sans genere d'alerte des NIDS/HIPS/Antivirus.

  4. #4
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 235
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 235
    Points : 19 642
    Points
    19 642
    Billets dans le blog
    17
    Par défaut
    "Le virus se transmet par simple visite sur un site infecté"
    source: http://fr.wikipedia.org/wiki/Zeus_(cheval_de_Troie)

    Système d'exploitation visé
    Zeus cible les ordinateurs sous Windows. Il ne peut marcher sous Mac OS et Linux. En 2012, des chercheurs du laboratoire Kaspersky ont découvert cinq nouvelles variantes de Zeus infectant les téléphones BlackBerry et ceux utilisant Android.
    Détection et retrait

    Zeus est furtif, il est très difficilement détectable même avec un antivirus à jour. C'est la principale raison pour laquelle cette famille de malware a le plus grand Botnet d'Internet: rien qu'aux États-Unis, 3.6 millions d'ordinateurs sont infectés.
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  5. #5
    lvr
    lvr est déconnecté
    Membre extrêmement actif Avatar de lvr
    Profil pro
    Responsable de projet fonctionnel
    Inscrit en
    avril 2006
    Messages
    880
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de projet fonctionnel
    Secteur : Arts - Culture

    Informations forums :
    Inscription : avril 2006
    Messages : 880
    Points : 1 233
    Points
    1 233
    Par défaut
    Citation Envoyé par dahtah Voir le message
    C'est pas une execution de code. Zeus utilise l'image comme transport pour son fichier de config. En fait, il cache son fichier de config (chiffre grace a un XOR et RC4) a la fin de l'image. Ensuite cette image est mise a dispo sur le C&C et Zeus la telecharge, et applique le procede inverse locallement (dechiffrage, + stegano).
    Sa permet de mettre a jour sa conf, sans genere d'alerte des NIDS/HIPS/Antivirus.
    Ca veut dire qu'il doit déjà être présent sur le pc. Pourquoi les AV ne le détecte-t-il pas à ce moment ?

  6. #6
    Membre actif
    Avatar de Thomas404
    Homme Profil pro
    dev
    Inscrit en
    novembre 2009
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : dev

    Informations forums :
    Inscription : novembre 2009
    Messages : 99
    Points : 231
    Points
    231
    Par défaut
    Figure toi, que les AV sont loins d'être fiable ... Alors certe ils arrivent à detecter les petites menaces, mais rien sur celles qui sont plus sérieuses,

    Les écrivains de malware font des beta-test pour trouvé comment passé la vérification des AV, je n'en sais pas plus.

  7. #7
    lvr
    lvr est déconnecté
    Membre extrêmement actif Avatar de lvr
    Profil pro
    Responsable de projet fonctionnel
    Inscrit en
    avril 2006
    Messages
    880
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de projet fonctionnel
    Secteur : Arts - Culture

    Informations forums :
    Inscription : avril 2006
    Messages : 880
    Points : 1 233
    Points
    1 233
    Par défaut
    Donc en gros, ils envoient un 1er virus très light qui ne contient pratiquement aucun code malicieux.
    Une fois passé l'AV, celui récupère dans une image le réel code/configuration dangereuse.
    C'est ça ?

  8. #8
    Nouveau membre du Club
    Profil pro
    Inscrit en
    mars 2006
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 27
    Points : 37
    Points
    37
    Par défaut
    Oui c'est ça.
    Et comme il charge une image (en apparence anodine) pour récupérer sa config, l'antivirus a encore plus de mal à identifier le "programme" comme un virus.

  9. #9
    Membre à l'essai
    Homme Profil pro
    Gestionnaire de parc micro-informatique
    Inscrit en
    août 2012
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Gestionnaire de parc micro-informatique
    Secteur : Associations - ONG

    Informations forums :
    Inscription : août 2012
    Messages : 11
    Points : 23
    Points
    23
    Par défaut Stéganographie
    Ne serait-ce pas plutôt une technique stéganographique?

  10. #10
    Nouveau membre du Club
    Inscrit en
    septembre 2009
    Messages
    36
    Détails du profil
    Informations forums :
    Inscription : septembre 2009
    Messages : 36
    Points : 36
    Points
    36
    Par défaut Nurses
    Les anti-virus sont de simple nurses. Pour détecter ce genre de malware, il faut une équipe de médecins-chercheurs.
    Et que vive Windows.

Discussions similaires

  1. Une variante du malware Pony subtilise 2 000 000 de mots de passe
    Par Cedric Chevalier dans le forum Sécurité
    Réponses: 12
    Dernier message: 13/01/2014, 14h38
  2. Réponses: 12
    Dernier message: 15/09/2010, 11h53
  3. dll qui charge une autre dll
    Par simoryl dans le forum Visual C++
    Réponses: 2
    Dernier message: 11/09/2007, 17h23
  4. Réponses: 5
    Dernier message: 14/05/2006, 12h57
  5. Boutons Radios qui charge une page php différente
    Par nebule dans le forum Général JavaScript
    Réponses: 2
    Dernier message: 18/11/2004, 15h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo