IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    5 819
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 5 819
    Points : 145 587
    Points
    145 587
    Par défaut Zberp : le malware qui combine les caractéristiques de Zeus et Carbep
    Zberp : le malware qui combine les caractéristiques de Zeus et Carberp
    est « un monstre hybride » pour des chercheurs de Trusteer

    Les chercheurs en sécurité de Trusteer, une filiale d’IBM, ont mis le doigt sur un nouveau cheval de Troie qui combine les caractéristiques de Zeus et de Carberp, deux malwares qui ont fait des attaques contre les sites de banque en ligne leur spécialité. Baptisé Zberp (Zeus + Carberp), le Trojan a déjà attaqué plus de 450 institutions financières de par le monde, principalement aux Etats-Unis, au Royaume Unis et en Australie.

    La panoplie de fonctionnalités dont dispose Zberp est assez vaste : il peut collecter des informations sur les ordinateurs infectés parmi lesquelles adresse IP et noms, effectuer une capture d’écran et l’envoyer à un serveur distant, voler les identifiants FTP et POP3, récupérer les certificats SSL et les informations saisies dans les formulaires web, détourner les sessions de navigation et insérer du contenu malveillant dans les sites web consultés, initier des connexions distantes en utilisant les protocoles VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol).

    Pour les chercheurs de Trusteer, il s’agit là d’une variante du cheval de Troie ZeusVM lui-même une variante de Zeus dont le code source avait été partagé sur des forums illégaux. ZeusVM qui a été découvert en février se distingue des autres déclinaisons du malware Zeus par son procédé de stéganographie qui lui permet de dissimuler ses données de configuration dans des images. Les auteurs de Zberp ont fait appel à la même technique pour échapper à la détection des programmes antivirus. Ses mises à jour sont effectuées en intégrant des données de configuration dans une image au logo d’Apple. De plus, le Trojan utilise des techniques de hameçonnage empruntées à Carberp pour prendre le contrôle d’un navigateur.


    Fichier de configuration déguisé dans une image Apple

    « Quand le code source du cheval de Troie Carberp a été livré au public, nous avions émis l'hypothèse que les cybercriminels ne mettraient pas longtemps à combiner le code source de Carberp avec celui de Zeus pour créer un monstre » ont déclaré deux chercheurs de Trusteer qui ont vu leur hypothèse confirmée avec les échantillons du botnet Andromeda qui « téléchargeaient ce monstre hybride ».

    Zberp fait appel à d'autres techniques empruntées à ZeusVM pour échapper à la détection par un antivirus et ainsi assurer sa durabilité. Par exemple, le programme malveillant supprime sa clé de registre de démarrage quand il tourne et la recrée quand il détecte un arrêt du système. « Un scan réalisé par Virus-Total a permis de réaliser que Zberp échappe à la plupart des solutions antivirus quand il est détecté pour la première fois » assurent les chercheurs.

    Certains éditeurs n’ont pas perdu de temps et ont préparé la riposte. Hier Emsisoft affirmait sur son blog avoir une arme pour contrer Zberp ; l’utilisation d’une couche avancée de prévention malware appelée Behavior Blocking (blocage de comportement). L’outil identifie l’origine des comportements malveillants au lieu de chercher des signatures spécifiques. L'éditeur rappelle également les deux scénarios les plus probables pour faire face à Zberp : l'envoie de courriel contenant des liens malveillants ou des pièces jointes qui vont lancer le téléchargement du cheval de Troie sur votre appareil une fois que vous aurez cliqué dessus.

    Source : Security Intelligence, blog Emsisoft

    Et vous ?

    Que pensez-vous de l'outil Behavior Blocking d'Emsisoft ? Connaissez-vous des solutions qui ont fait leurs preuves face à ZeusVM ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club
    Homme Profil pro
    Programmeur et Administrateur serveur
    Inscrit en
    mars 2013
    Messages
    32
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Afrique Du Sud

    Informations professionnelles :
    Activité : Programmeur et Administrateur serveur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2013
    Messages : 32
    Points : 40
    Points
    40
    Par défaut
    Que pensez-vous de l'outil Behavior Blocking
    d'Emsisoft ?

    Faudra le voir en action pour juger, mais pour l'instant ça passe bien pour un canular, juste pour se faire des clients.
    "La parole n'est pas le signe de la pensée...."
    Maurice Merleau-Ponty

Discussions similaires

  1. NitlovePOS : un nouveau malware qui vise les points de vente
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 1
    Dernier message: 26/05/2015, 23h53
  2. XAgent : un malware qui dérobe les données personnelles sous iOS
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 0
    Dernier message: 05/02/2015, 13h16
  3. Réponses: 2
    Dernier message: 29/01/2014, 13h08
  4. Réponses: 11
    Dernier message: 17/10/2013, 13h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo