Des chercheurs découvrent le premier malware à pratiquer l'overwrite, caché sous la forme d'un Adobe Updater
Un code malicieux vient d'être repéré pour la première fois par des spécialistes en sécurité informatique.
En effet, des chercheurs viennent de découvrir un malware qui se substitue aux mises à jour de certaines applications. Habituellement, ce type de programmes ne pratique pas l'overwrite.
Seuls les ordinateurs tournant sous Windows sont touchés. Le malware se cache sous la forme d'un updater pour les produits Adobe ou Java. Une variante imite Adobe Reader v.9 et overwrite AdobeUpdater.exe, lequel a pour mission de se connecter régulièrement auprès des serveurs d'Adobe pour vérifier si une nouvelle version est disponible.
Une fois installé bien au chaud sur une machine, le malware active les services DHCP (Dynamic Host Configuration Protocol) client, DNS (Domain Name System) client, partage réseau (ces services sont pour la plupart déjà lancés) et ouvre un port, pour recevoir des commandes.
D'après un expert de Trend Micro, les bons antivirus devraient détecter cette menace. Il précise aussi que les ordinateurs infectés seront altérés même une fois le malware désinstallé, car ils perdront la fonctionnalité d'auto-mise à jour de n'importe quel logiciel infecté, ce qui exposera la machine a bien d'autres menaces si des patchs ne peuvent alors pas être rapidement installés (à cause de ce défaut). Il faudra en effet aux utilisateurs victime de ces codes malveillants, recommencer a télécharger leur mises à jour à la main, ce que certains ne sauront ou ne voudrons pas faire.
Source : Le blog de l'analyste en sécurité Nguyen Cong Cuong (avec captures d'écran)
Partager