IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Des chercheurs découvrent le premier malware à pratiquer l'overwrite, caché sous la forme d'un Adobe Updater
    Des chercheurs découvrent le premier malware à pratiquer l'overwrite, caché sous la forme d'un Adobe Updater

    Un code malicieux vient d'être repéré pour la première fois par des spécialistes en sécurité informatique.

    En effet, des chercheurs viennent de découvrir un malware qui se substitue aux mises à jour de certaines applications. Habituellement, ce type de programmes ne pratique pas l'overwrite.

    Seuls les ordinateurs tournant sous Windows sont touchés. Le malware se cache sous la forme d'un updater pour les produits Adobe ou Java. Une variante imite Adobe Reader v.9 et overwrite AdobeUpdater.exe, lequel a pour mission de se connecter régulièrement auprès des serveurs d'Adobe pour vérifier si une nouvelle version est disponible.

    Une fois installé bien au chaud sur une machine, le malware active les services DHCP (Dynamic Host Configuration Protocol) client, DNS (Domain Name System) client, partage réseau (ces services sont pour la plupart déjà lancés) et ouvre un port, pour recevoir des commandes.

    D'après un expert de Trend Micro, les bons antivirus devraient détecter cette menace. Il précise aussi que les ordinateurs infectés seront altérés même une fois le malware désinstallé, car ils perdront la fonctionnalité d'auto-mise à jour de n'importe quel logiciel infecté, ce qui exposera la machine a bien d'autres menaces si des patchs ne peuvent alors pas être rapidement installés (à cause de ce défaut). Il faudra en effet aux utilisateurs victime de ces codes malveillants, recommencer a télécharger leur mises à jour à la main, ce que certains ne sauront ou ne voudrons pas faire.

    Source : Le blog de l'analyste en sécurité Nguyen Cong Cuong (avec captures d'écran)

  2. #2
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    Et bah...
    J'ai pas compris comment il s'installait pas contre? Il se présente sous la forme AdobeUpdater.exe c'est ça?

  3. #3
    Membre régulier
    Profil pro
    Inscrit en
    Mai 2009
    Messages
    241
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2009
    Messages : 241
    Points : 95
    Points
    95
    Par défaut
    C'est là où on dit "Vive UNIX" !!!

  4. #4
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Citation Envoyé par dams78 Voir le message
    J'ai pas compris comment il s'installait pas contre? Il se présente sous la forme AdobeUpdater.exe c'est ça?
    Ce que tu demandes c'est le vecteur d'infection, il n'à dans cette news que peu d'intérêt.

    Citation Envoyé par dams78 Voir le message
    Il se présente sous la forme AdobeUpdater.exe c'est ça?
    C'est sa résidence. La manière qu'il utilise pour s"intégrer discrètement au système.

  5. #5
    Membre régulier
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 39
    Points : 80
    Points
    80
    Par défaut
    Justement si, le vecteur d'infection est LA chose à connaître, et pourtant on n'en parle pas

    j'ai une JRE correctement installée et à jour, Flash idem, pare-feu et antivirus à jour, configurés et actifs, je me pose donc la question essentielle : comment diable va t-on corrompre les updaters de ces deux logiciels ?
    - S'il faut aller attraper un virus en faisant X bêtises, il n'y a pas lieu de s'alarmer (comme d'hab quoi, seuls les inconscients tombent dans le piège, pas les internautes avertis, ceci étant valable pour 99,9999% des virus, faut être honnête).
    - Si mon install se corrompt "toute seule" (disons.... une faille non patchée permettant à quelqu'un de se connecter et corrompre l'updater), là oui, il y a un problème, mais sauf info contraire, tout va bien.

    Rhalala, c'est toujours pareil : on vous parle d'une faille super dangereuse pouvant manger vos enfants, mais on se garde bien de vous dire que pour être attaqué, il faut passer 50h sur des warez, tout accepter sur la mule, ne pas avoir d'antivirus, ouvrir tous ses ports, et sacrifier un CD de la star'ac.

  6. #6
    Membre actif Avatar de MadScratchy
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    77
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 77
    Points : 231
    Points
    231
    Par défaut
    Citation Envoyé par FotoXe33 Voir le message
    C'est là où on dit "Vive UNIX" !!!

  7. #7
    Membre éprouvé
    Avatar de Zenol
    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2004
    Messages
    812
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Novembre 2004
    Messages : 812
    Points : 1 054
    Points
    1 054
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    D'après un expert de Trend Micro, les bons antivirus devraient détecter cette menace. Il précise aussi que les ordinateurs infectés seront altérés même une fois le malware désinstallé, car ils perdront la fonctionnalité d'auto-mise à jour de n'importe quel logiciel infecté, ce qui exposera la machine a bien d'autres menaces si des patchs ne peuvent alors pas être rapidement installés (à cause de ce défaut).
    Heu, je n'ai pas bien comprit ce passage. En quoi le malware supprimé, serait-il impossible de re-placer des binaires saint des updaters? Généralement, si l'on suprimer un ver, un trojan ou autre, on le vire et on restaure les binaires corrompus...

  8. #8
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    Mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2005
    Messages : 6 380
    Points : 13 380
    Points
    13 380
    Par défaut
    Citation Envoyé par Zenol Voir le message
    Heu, je n'ai pas bien comprit ce passage. En quoi le malware supprimé, serait-il impossible de re-placer des binaires saint des updaters? Généralement, si l'on suprimer un ver, un trojan ou autre, on le vire et on restaure les binaires corrompus...
    Et tu le trouves où le binaire non corrompu à part en désinstallant/réinstallant l'application ?

  9. #9
    Nouveau membre du Club
    Inscrit en
    Février 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Âge : 38

    Informations forums :
    Inscription : Février 2010
    Messages : 14
    Points : 26
    Points
    26
    Par défaut question
    bonsoir
    j'aiemrait bien comprendre comment un tel malware puisse activer des services
    (tel que DHCP ..) sans que windows defender ou l'antivirus puisse detecter
    une telle activite?!

  10. #10
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    Mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2005
    Messages : 6 380
    Points : 13 380
    Points
    13 380
    Par défaut
    Citation Envoyé par El_Arby Voir le message
    bonsoir
    j'aiemrait bien comprendre comment un tel malware puisse activer des services
    (tel que DHCP ..) sans que windows defender ou l'antivirus puisse detecter
    une telle activite?!
    Euh, parce que tu peux activer des services avec simplement une ligne de commande.


  11. #11
    Membre confirmé
    Avatar de teddyalbina
    Homme Profil pro
    Développeur .Net,C++
    Inscrit en
    Janvier 2008
    Messages
    466
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .Net,C++

    Informations forums :
    Inscription : Janvier 2008
    Messages : 466
    Points : 568
    Points
    568
    Par défaut
    Citation Envoyé par Skyounet Voir le message
    Euh, parce que tu peux activer des services avec simplement une ligne de commande.

    Ne pas oublier aussi que la plupart des utilisateurs se baladent sur le compte admin pour ceux sous XP y'a rien à faire ceux sous vista et 7 ne lisent pas le message de l'os quand il demande la validation user pour faire l'augmentation de privilège l'un dans l'autre ...

  12. #12
    Membre chevronné
    Profil pro
    Inscrit en
    Janvier 2006
    Messages
    927
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2006
    Messages : 927
    Points : 2 113
    Points
    2 113
    Par défaut
    De toute manière si c'est AdobeUpdater.exe qui demande les droits admins, même en lisant le message d'avertissement on va accepter.

  13. #13
    Membre averti
    Homme Profil pro
    DevOps AWS
    Inscrit en
    Juillet 2009
    Messages
    120
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : DevOps AWS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2009
    Messages : 120
    Points : 334
    Points
    334
    Par défaut
    Sous seven, est-ce-que simplement retirer les droits de l'updater a la main suffirait-il ? (Il y a une gestion de droits pour les users du type ACL)

    Sinon je suis curieux de voir comment il fait ca ce joli malware :p

  14. #14
    Membre averti
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2007
    Messages
    643
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2007
    Messages : 643
    Points : 305
    Points
    305
    Par défaut
    Rhalala, c'est toujours pareil : on vous parle d'une faille super dangereuse pouvant manger vos enfants, mais on se garde bien de vous dire que pour être attaqué, il faut passer 50h sur des warez, tout accepter sur la mule, ne pas avoir d'antivirus, ouvrir tous ses ports, et sacrifier un CD de la star'ac.
    J'ai à une certaine période beaucoup navigué et téléchargé sur le net SANS AUCUN ANTIVIRUS !!!!!

    Alors oui peut-être que malgré moi j'avais certains virus
    MAIS
    jamais aucun qui m'ait causé quelques soucis que ce soit.

    Je suis toujours étonné de voir le comportement des gens face à leur ordinateur. Leur pratique et leur gestion surtout. Même cher des gens qui travail dans l'informatique d'ailleurs.

    On préfère vendre un antivirus à 30€/an(licence oblige) au lieu de proposer un ensemble d'outil gratuit à lancer régulièrement sur ca machine ou voir même d'apprendre certains concept pour eviter la cata.

    Les virus sont créés par les gens qui vendent les anti-virus



    Les virus c'est comme dieu ca permet de trouver une réponse facile et rapide à des soucis bien souvent plus technique et délicat

  15. #15
    Membre régulier
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 39
    Points : 80
    Points
    80
    Par défaut
    Si seulement tu savais à quel point je suis d'accord avec toi
    Mais bon : en disant ça tu vas t'attirer les foudres des fanas de la sécurité ^^.

    Après, il faut prendre en compte un cas de figure assez répendu : tu es un utilisateur averti MAIS appartenant à un réseau constitué de collègues qui, eux, n'ont aucune notion de sécurité, téléchargent à tout va et sèment moulte virus. Là, tu as malheureusement besoin d'un bon firewall et trop souvent d'un antivirus (à cause du collègue qui t'envoie un mail / clef-usb rigolo mais vérolé).

    C'est comme sur la route : tu as beau conduire ultra-prudament, tu es tout de même content d'avoir déboursé XXX euros pour un système d'air-bags & co en prévision du jour où un andouille te sera rentré dedans de plein fouet.

    PS : on ne sait toujours pas COMMENT on se fait corrompre notre installation JRE/Flash ? *snif*, dommage...

  16. #16
    Membre émérite
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 537
    Points : 2 548
    Points
    2 548
    Par défaut
    Citation Envoyé par miltone Voir le message
    Alors oui peut-être que malgré moi j'avais certains virus
    MAIS
    jamais aucun qui m'ait causé quelques soucis que ce soit.
    Non par contre, tout ceux qui reçoivent du spam peuvent te remercier.

    Les boites qui subissent des DDoS devraient aussi t'envoyer la facture.

    Et pour le reste, depuis le temps qu'on dit que de ne pas avoir un système de maj unifié sous windows est un problème, je me demande encore comment certains croient avoir découvert quelque chose en s'en apercevant.

  17. #17
    Membre confirmé
    Avatar de teddyalbina
    Homme Profil pro
    Développeur .Net,C++
    Inscrit en
    Janvier 2008
    Messages
    466
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .Net,C++

    Informations forums :
    Inscription : Janvier 2008
    Messages : 466
    Points : 568
    Points
    568
    Par défaut
    Citation Envoyé par deadalnix Voir le message
    Non par contre, tout ceux qui reçoivent du spam peuvent te remercier.

    Les boites qui subissent des DDoS devraient aussi t'envoyer la facture.

    Et pour le reste, depuis le temps qu'on dit que de ne pas avoir un système de maj unifié sous windows est un problème, je me demande encore comment certains croient avoir découvert quelque chose en s'en apercevant.
    Maj unifié ça existe c'est windows update, mais encore faut-il que les éditeurs l'utilisent, c'est le cas pour certains

  18. #18
    Membre émérite
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 537
    Points : 2 548
    Points
    2 548
    Par défaut
    Justement, non. D'ailleurs à ce porpos, bill gates a tenus des propos fort intéressants après sont départ à la retraite.

    Faudrait quand même être plus royaliste que le roi.

  19. #19
    Expert éminent
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 501
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 501
    Points : 6 088
    Points
    6 088
    Par défaut
    Citation Envoyé par miltone Voir le message
    J'ai à une certaine période beaucoup navigué et téléchargé sur le net SANS AUCUN ANTIVIRUS !!!!!

    Alors oui peut-être que malgré moi j'avais certains virus
    MAIS
    jamais aucun qui m'ait causé quelques soucis que ce soit.

    Je suis toujours étonné de voir le comportement des gens face à leur ordinateur. Leur pratique et leur gestion surtout. Même cher des gens qui travail dans l'informatique d'ailleurs.

    On préfère vendre un antivirus à 30€/an(licence oblige) au lieu de proposer un ensemble d'outil gratuit à lancer régulièrement sur ca machine ou voir même d'apprendre certains concept pour eviter la cata.

    Les virus sont créés par les gens qui vendent les anti-virus



    Les virus c'est comme dieu ca permet de trouver une réponse facile et rapide à des soucis bien souvent plus technique et délicat
    Ne le prend pas mal mais je pense que tu es un peut naïf sur ce point. Les virus n'ont plus le même comportement que dans les années 90. Avant les virus avait pour but de te nuire maintenant, ils sont là sans nuire à l'ordinateur mais pour ce servir de lui pour commettre des actes sur le net généralement. Sincèrement, si tout le monde avait au moins un antivirus sérieux je pense que nous aurions moins de problème plus de bande passante.

  20. #20
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Octobre 2007
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Octobre 2007
    Messages : 324
    Points : 470
    Points
    470
    Par défaut
    Citation Envoyé par jaimepaslesmodozélés Voir le message
    Justement si, le vecteur d'infection est LA chose à connaître, et pourtant on n'en parle pas
    ....

    Rhalala, c'est toujours pareil : on vous parle d'une faille super dangereuse pouvant manger vos enfants, mais on se garde bien de vous dire que pour être attaqué, il faut passer 50h sur des warez, tout accepter sur la mule, ne pas avoir d'antivirus, ouvrir tous ses ports, et sacrifier un CD de la star'ac.
    Mon dieu que je suis d'accord. Je suis toujours amusé de lire tous ces trucs sur une faille de sécurité ou un virus, mais on t'explique jamais comment on le chope et comment le pirate va arriver à profiter de la faille surtout si tu ne vas sur aucun site à risques, que ton pc est à jour et que tu as un Kaspersky Internet Security à jour...

    En tout cas ce qui est intéressant c'est que c'est encore Adobe qui est mis en cause (Stevie doit se frotter les mains...). En effet, pourquoi créer un exécutable pour faire une mise à jour (question naive?)? Pourquoi ne pas faire plus simplement une demande de mise à jour quand on lance uniquement un exécutable Acrobat par exemple? Dans le sens d'intégrer la mise à jour avec le logiciel associé (comme un navigateur, ou un Ccleaner quand on le lance). Pourquoi vouloir proposer ce "machin", surtout si on n'utilise presque jamais Acrobat par exemple? Car en effet si le programme n'est jamais lancé, alors en théorie il ne peut y avoir de faille non? Donc pourquoi vouloir proposer une mise à jour? Mais bon: j'ai certainement rien compris...

Discussions similaires

  1. Des chercheurs découvrent plusieurs vulnérabilités dans Windows
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 26/02/2014, 10h07
  2. Réponses: 0
    Dernier message: 05/02/2014, 19h10
  3. Réponses: 1
    Dernier message: 14/01/2014, 12h31
  4. Réponses: 17
    Dernier message: 29/08/2013, 16h05
  5. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo