Un troyen prend ses ordres de Google Groupes

Le par  |  4 commentaire(s)
trojan (Small)

Le cheval de Troie Trojan.Grups a pour particularité un centre de commande et contrôle peu commun avec un groupe de discussion Google Groupes.

trojan (Small)Un mécanisme de commande et contrôle régi par des messages Twitter avait récemment été mis au jour. Symantec a pour sa part détecté l'existence d'un cheval de Troie prenant ses ordres auprès d'un groupe de discussion Google Groupes.

Pour les auteurs de malwares, l'inauguration d'un nouveau canal de communication qui remplace le plus traditionnel IRC. Symantec souligne que si la distribution de chevaux de Troie via des groupes de discussion est assez commune, c'est la première fois que l'un d'entre eux fait office de centre de commande et contrôle. Google Groupes n'est cependant pas à blâmer.

Ce cheval de Troie de type backdoor a été baptisé Trojan.Grups par Symantec. Il est véhiculé sous la forme d'un fichier DLL et lorsqu'il s'exécute, il tente de se connecter à un compte Google. Il appelle alors une page d'un groupe de discussion privé, escape2sun, qui contient des commandes chiffrées utilisées pour sa propagation.

Symantec attribue une origine taïwanaise à ce cheval de Troie à l'existence datée de novembre 2008, et qui est resté relativement discret jusqu'à présent. Selon un communiqué de l'éditeur relayé par Global Security Mag, Symantec penche pour un prototype de cheval de Troie afin de tester l'utilisation de groupes de discussion comme centres de contrôle et commande.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #520551
Comme le but est de déposer une information quelque part de connu par le logiciel malveillant il n'y a pas de réelles limites.

Pour peu que les ordres n'ont pas à être temps réel ( mise a jour du logiciel par ex.) il n'y a plus de limite. Moyennant un peu de camouflage de texte, on peut passer ses ordres dans le flux RSS des commentaires d'un blog blogspot qui publie peu mais suscite beaucoup de commentaires (au hasard celui de geohot).

Le mieux, toujours l'ennemi du bien, c'est de donner ses instructions sur le fil RSS d'un compte skyblog, le français moyen employé y est tellement incompréhensible qu'on le pense volontiers issu d'une transposition par table de vigenere.

Le flux rss des commentaires n'est qu'une possibilité et il y'en a d'autres beaucoup plus sympas encore.
Le #520601
Attention groupe google <>newsgroups (usenet). Les infos de commandes on peut les mettre n'importe où. S'agit-il ici de faire peur des newsgroups ?
Le #520731
Question con : ils ne pourraient pas mettre en place un système de captcha quand trop de connexions arrivent sur le même compte ?
Le #521221
googlegroups != usenet ...
d'ailleurs, quand je vois d'où proviennent la moitié des spams qui remplissent mes killfilters et autres boitakons sur les ng, je ne m'étonne plus de rien

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]