vendredi 10 juillet 2020    || Inscription
BanniereNews
 
 

Les principaux acteurs du secteur des antivirus ont observé une recrudescence importante d’un ver nommé W32.Changeup par Symantec.

W32.Changeup est un ver qui possède aussi les caractéristiques d'un trojan. Il se transmet par le fichier autorun.inf sur disques USB et réseaux partagés.

Microsoft a patché cette vulnérabilité et W32.Changeup ne fonctionne donc plus automatiquement sous Windows 7 et 8 ainsi que sur les versions à jour de XP et Vista.

C'est pourquoi les auteurs de ce malware poussent les utilisateurs à cliquer eux-mêmes sur le ver. W32.Changeup procède méthodiquement pour que le fichier autorun soit exécuté.

Le masquage par défaut des extensions de fichiers est exploité

Prenons l’exemple d’une clef USB infectée :

  • Tous les fichiers de la clef deviendront des fichiers cachés et ne seront donc plus visibles.
  • Le ver va créer des copies de lui-même sous les noms Porn.exe, Sexy.exe, Passwords.exe et Secret.exe
  • Le ver va créer une copie (l’icône adoptée sera l’icône standard d’un dossier Windows 7) de lui-même pour chaque fichier que la clef contenait

Le malware profite du fait que par défaut sous toutes les versions de Windows les extensions ne sont pas montrées. Ainsi le dossier Porn.exe apparaîtra sous le nom Porn et l’utilisateur ne pourra se douter qu’il va lancer l’exécution du ver.

Une fois installé, le ver contacte son centre de commande et de contrôle ( les ports 900[0-9] sont à surveiller) afin de recevoir des instructions de télécharger des malwares/trojan/botnet de la famille Zeus pour subtiliser les coordonnées bancaires des victimes.

Symantec affirme avoir trouvé la source du regain de W32.Changeup et ce serait une pièce jointe contenue dans un énième spam se faisant passer pour un message bancaire urgent.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142996
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI