Discussion :

[Katleen Erna]

Des chercheurs découvrent le premier malware à pratiquer l'overwrite, caché sous la forme d'un Adobe Updater

Un code malicieux vient d'être repéré pour la première fois par des spécialistes en sécurité informatique.

En effet, des chercheurs viennent de découvrir un malware qui se substitue aux mises à jour de certaines applications. Habituellement, ce type de programmes ne pratique pas l'overwrite.

Seuls les ordinateurs tournant sous Windows sont touchés. Le malware se cache sous la forme d'un updater pour les produits Adobe ou Java. Une variante imite Adobe Reader v.9 et overwrite AdobeUpdater.exe, lequel a pour mission de se connecter régulièrement auprès des serveurs d'Adobe pour vérifier si une nouvelle version est disponible.

Une fois installé bien au chaud sur une machine, le malware active les services DHCP (Dynamic Host Configuration Protocol) client, DNS (Domain Name System) client, partage réseau (ces services sont pour la plupart déjà lancés) et ouvre un port, pour recevoir des commandes.

D'après un expert de Trend Micro, les bons antivirus devraient détecter cette menace. Il précise aussi que les ordinateurs infectés seront altérés même une fois le malware désinstallé, car ils perdront la fonctionnalité d'auto-mise à jour de n'importe quel logiciel infecté, ce qui exposera la machine a bien d'autres menaces si des patchs ne peuvent alors pas être rapidement installés (à cause de ce défaut). Il faudra en effet aux utilisateurs victime de ces codes malveillants, recommencer a télécharger leur mises à jour à la main, ce que certains ne sauront ou ne voudrons pas faire.

Source : Le blog de l'analyste en sécurité Nguyen Cong Cuong (avec captures d'écran)

[dams78]

Et bah...
J'ai pas compris comment il s'installait pas contre? Il se présente sous la forme AdobeUpdater.exe c'est ça?

[FotoXe33]

C'est là où on dit "Vive UNIX" !!!

[MadScratchy]

C'est là où on dit "Vive UNIX" !!!

[kaymak]

J'ai pas compris comment il s'installait pas contre? Il se présente sous la forme AdobeUpdater.exe c'est ça?

Ce que tu demandes c'est le vecteur d'infection, il n'à dans cette news que peu d'intérêt.

Il se présente sous la forme AdobeUpdater.exe c'est ça?

C'est sa résidence. La manière qu'il utilise pour s"intégrer discrètement au système.

[jaimepaslesmodozélés]

Justement si, le vecteur d'infection est LA chose à connaître, et pourtant on n'en parle pas

j'ai une JRE correctement installée et à jour, Flash idem, pare-feu et antivirus à jour, configurés et actifs, je me pose donc la question essentielle : comment diable va t-on corrompre les updaters de ces deux logiciels ?
- S'il faut aller attraper un virus en faisant X bêtises, il n'y a pas lieu de s'alarmer (comme d'hab quoi, seuls les inconscients tombent dans le piège, pas les internautes avertis, ceci étant valable pour 99,9999% des virus, faut être honnête).
- Si mon install se corrompt "toute seule" (disons.... une faille non patchée permettant à quelqu'un de se connecter et corrompre l'updater), là oui, il y a un problème, mais sauf info contraire, tout va bien.

Rhalala, c'est toujours pareil : on vous parle d'une faille super dangereuse pouvant manger vos enfants, mais on se garde bien de vous dire que pour être attaqué, il faut passer 50h sur des warez, tout accepter sur la mule, ne pas avoir d'antivirus, ouvrir tous ses ports, et sacrifier un CD de la star'ac.

[Psychopathe]

Justement si, le vecteur d'infection est LA chose à connaître, et pourtant on n'en parle pas
....

Rhalala, c'est toujours pareil : on vous parle d'une faille super dangereuse pouvant manger vos enfants, mais on se garde bien de vous dire que pour être attaqué, il faut passer 50h sur des warez, tout accepter sur la mule, ne pas avoir d'antivirus, ouvrir tous ses ports, et sacrifier un CD de la star'ac.

Mon dieu que je suis d'accord. Je suis toujours amusé de lire tous ces trucs sur une faille de sécurité ou un virus, mais on t'explique jamais comment on le chope et comment le pirate va arriver à profiter de la faille surtout si tu ne vas sur aucun site à risques, que ton pc est à jour et que tu as un Kaspersky Internet Security à jour...

En tout cas ce qui est intéressant c'est que c'est encore Adobe qui est mis en cause (Stevie doit se frotter les mains...). En effet, pourquoi créer un exécutable pour faire une mise à jour (question naive?)? Pourquoi ne pas faire plus simplement une demande de mise à jour quand on lance uniquement un exécutable Acrobat par exemple? Dans le sens d'intégrer la mise à jour avec le logiciel associé (comme un navigateur, ou un Ccleaner quand on le lance). Pourquoi vouloir proposer ce "machin", surtout si on n'utilise presque jamais Acrobat par exemple? Car en effet si le programme n'est jamais lancé, alors en théorie il ne peut y avoir de faille non? Donc pourquoi vouloir proposer une mise à jour? Mais bon: j'ai certainement rien compris...

[deadalnix]

Sous windows, il n'existe pas de système de MAJ unifié.

Donc, chacun des programmes installés avec lui sont utilitaires de MAJ. c'est le cas d'adobe avec ce soft. Mais c'est aussi le cas de nombreux autres soft (sun le fait, google le fait, etc . . .).

Le problème, c'est que ce daemon est capable d'installer des softs dans le système. Or, si l'on peut tromper ce soft, on peut installer ce que l'on veut sur la machine cible. De plus, on peut le faire avec les droits admin, avec la bénédiction, même d'un utilisateur avertis puisque ce type d'action nécessite des droits admin en temps normal.

Le soucis, qui est souvent décrié en sécurité, c'est qu'en multipliant les softs du genre plutôt qu'en ayant un système de MAJ unifié, on multiplie les points d'entrée pour une attaque. Et on le voit clairement ici.

Pour ce qui est des softs adobe, le lus utilisé reste flash player. Or ce dernier n'est pas un soft standard, mais un plug-in. On ne peut donc pas utiliser de solution telle que tu le proposes.

[dams78]

Ce que tu demandes c'est le vecteur d'infection, il n'à dans cette news que peu d'intérêt.


C'est sa résidence. La manière qu'il utilise pour s"intégrer discrètement au système.

Justement, je trouve que ça a son importance, pour moi il y a deux types d'attaque :
- Les attaques sur des failles de sécurité, et là l'utilisateur n'y peut rien (sauf ceux qui prétendent n'avoir jamais eu de virus, ils doivent être vraiment balèze d'ailleurs) à ça tu peux rajouter les ports ouverts, les mots de passe légers comme certains l'ont préciser.
- Et les virus à mon avis plus présents et pourtant les plus faciles à éviter avec une réelle volonté de la part des éditeurs. Je pense au virus qui est installé par l'utilisateur à son insu : et quand on a un soft AdobeUpdate.exe on a beau être prudent, on ne peut pas savoir qu'il s'agit d'un virus. A cela tu rajoutes le phishing, etc. Et pourtant des solutions existent : il s'agit de tester l'intégrité des données reçues...

Mais bon après on se retrouve comme sous Linux, avec un système qui n'a pas besoin d'anti virus, mais seulement d'un système de mises à jour et d'un par feu, et ça, pour le business c'est pas bon

[kaymak]

Justement, je trouve que ça a son importance, pour moi il y a deux types d'attaque :
- Les attaques sur des failles de sécurité, et là l'utilisateur n'y peut rien (sauf ceux qui prétendent n'avoir jamais eu de virus, ils doivent être vraiment balèze d'ailleurs) à ça tu peux rajouter les ports ouverts, les mots de passe légers comme certains l'ont préciser.
- Et les virus à mon avis plus présents et pourtant les plus faciles à éviter avec une réelle volonté de la part des éditeurs. Je pense au virus qui est installé par l'utilisateur à son insu : et quand on a un soft AdobeUpdate.exe on a beau être prudent, on ne peut pas savoir qu'il s'agit d'un virus. A cela tu rajoutes le phishing, etc. Et pourtant des solutions existent : il s'agit de tester l'intégrité des données reçues...

Mais bon après on se retrouve comme sous Linux, avec un système qui n'a pas besoin d'anti virus, mais seulement d'un système de mises à jour et d'un par feu, et ça, pour le business c'est pas bon

Oui c'est une information importante, mais c'était par rapport à la news en elle-même.
Ici, qu'importe le vecteur d'infection, ce qui est grave c'est que le virus se fait passer pour adibeUpdater.
Et donc si il fait poper une demande d'accès aux droits d'admin tu vas tomber dans le panneau.
Et lui donner les droits d'admin.

Ce n'est pas clair, mais je ne pense pas que le virus se diffuse via adobe updater.

Après les vecteurs que tu cites son commun à toutes formes d'attaques, quelle qu'en soit son but, ce n'est qu'un moyen comme un autre pour s'infiltrer dans un système, au pif le social engineering.

[Zenol]

D'après un expert de Trend Micro, les bons antivirus devraient détecter cette menace. Il précise aussi que les ordinateurs infectés seront altérés même une fois le malware désinstallé, car ils perdront la fonctionnalité d'auto-mise à jour de n'importe quel logiciel infecté, ce qui exposera la machine a bien d'autres menaces si des patchs ne peuvent alors pas être rapidement installés (à cause de ce défaut).

Heu, je n'ai pas bien comprit ce passage. En quoi le malware supprimé, serait-il impossible de re-placer des binaires saint des updaters? Généralement, si l'on suprimer un ver, un trojan ou autre, on le vire et on restaure les binaires corrompus...

[Skyounet]

Heu, je n'ai pas bien comprit ce passage. En quoi le malware supprimé, serait-il impossible de re-placer des binaires saint des updaters? Généralement, si l'on suprimer un ver, un trojan ou autre, on le vire et on restaure les binaires corrompus...

Et tu le trouves où le binaire non corrompu à part en désinstallant/réinstallant l'application ?

[El_Arby]

bonsoir
j'aiemrait bien comprendre comment un tel malware puisse activer des services
(tel que DHCP ..) sans que windows defender ou l'antivirus puisse detecter
une telle activite?!

[Skyounet]

bonsoir
j'aiemrait bien comprendre comment un tel malware puisse activer des services
(tel que DHCP ..) sans que windows defender ou l'antivirus puisse detecter
une telle activite?!

Euh, parce que tu peux activer des services avec simplement une ligne de commande.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

net start tonservice

[teddyalbina]

Euh, parce que tu peux activer des services avec simplement une ligne de commande.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

net start tonservice

Ne pas oublier aussi que la plupart des utilisateurs se baladent sur le compte admin pour ceux sous XP y'a rien à faire ceux sous vista et 7 ne lisent pas le message de l'os quand il demande la validation user pour faire l'augmentation de privilège l'un dans l'autre ...

[Zenol]

Et tu le trouves où le binaire non corrompu à part en désinstallant/réinstallant l'application ?

Tu le prends sur un second PC?

Quoi qu'il en soit, d'accord, imaginons que l'utilisateur réinstalle l'application.
Je ne vois toujours pas en quoi l'utilisateur devras faire les mises à jour à la main.
Il lui suffit de réinstaller l'application, et ça s'arrête là.

Et puis, je crois qu'il sera plus difficile pour ce dernier de virer le malware que d'effectuer la réinstallation d'adobe reader...

Quoi qu'il en soit, sans informations sur le vecteur d'infection, cette news n'a pas beaucoup d'intérêt.

Et quand à dire que c'est le premier, j'ai de gros doute. Encore, le premier à modifier l'updater d'adobe, c'est déjà plus crédible.

[zoonel]

Les vecteurs d'infections sont toujours les mêmes :
clef usb infectée d'un pote, sites webs infectés exploitant une faille (flash non mis à jour par exemple) et plus généralement système non mis a jour, faux codecs, téléchargement d'exécutables à tout va n'importe où -> cracks, p2p, mails, msn, faux programmes, ....
mot de passe trop faible (bon la je suis allé chercher un peu loin, mais c'est possible).
Bref il suffit d'une infime brèche pour se retrouver avec une infection carabinée

PS: et c'est pas parceque l'antivirus ne dit rien que c'est pas un virus ... et inversement

Moralité : tout internaute devrait passer un permis de surfer