Le ver Downadup peut ruser pour frapper Windows Vista et 7

Le par  |  3 commentaire(s)
Virus

La menace Downadup peut prendre à défaut Windows en se diffusant via un périphérique USB et en tirant parti d'un fichier autorun.inf spécialement formé.

VirusDownadup, Conficker ou encore parfois appelé Kido semble être la nouvelle coqueluche des éditeurs de solutions de sécurité qui multiplient les communiqués pour nous tenir informés de l'évolution de ce ver informatique menaçant le système Windows. Plus de 9 millions de machines infectées malgré le correctif prodigué par Microsoft en octobre 2008 afin de combler la vulnérabilité exploitée par Downadup.

Parmi sa panoplie d'agents infectieux, Downadup compte sur les périphériques USB et ainsi se propager sur plusieurs machines à mesure que ces périphériques y sont connectés. Un exercice de funambule facilité par de l'ingénierie sociale (social engineering) selon F-Secure, et qui a aussi fait ses preuves sur Windows Vista, la version bêta de Windows 7.

Lors de l'insertion d'un périphérique USB, la ruse consiste à faire croire à l'utilisateur qu'il doit ouvrir un dossier afin de visualiser des fichiers. Un leurre de la part de Downadup dont le fichier autorun.inf va chercher le nécessaire dans la bibliothèque logicielle shell32.dll afin de produire un faux se déclenchant automatiquement. Le résultat pour l'utilisateur trompé est l'infection de son ordinateur.

Downadup_Vista Downadup_Windows_7

Le premier choix dans la catégorie " Installer ou exécuter un programme " va procéder à l'installation du ver informatique, alors que le second choix proposé dans les options générales va ouvrir le contenu du périphérique USB en toute sécurité. Les deux captures d'écran ci-dessus réalisées par F-Secure démontrent la faisabilité de l'opération malveillante tant sous Windows Vista que Windows 7.

Pas sûr que ce vecteur d'infection a réussi à corrompre beaucoup de machines mais c'est une attaque plutôt bien pensée et après tout... le ver court toujours. S'il est envisageable de désactiver la clé de registre Windows relative à l'exécution automatique en s'en référant à la procédure explicitée par Microsoft, l'application de la mise à jour correctrice paraît un choix judicieux alors que les antivirus à jour prennent en charge la menace, dont MSRT de la firme de Redmond. Là où le bât blesse, c'est que Downadup se répand dans les réseaux d'entreprise, et l'on sait que nombre de petites structures mettent parfois du temps avant d'appliquer des mises à jour Microsoft.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #399881
La meilleure solution pour éviter l'auto exécution de tout fichier autorun.inf peu importe le support (clé USB,...) et peu importe la version de Windows est fournie à présent comme recommandation de l’US-CERT ici
http://www.us-cert.gov/cas/techalerts/TA09-020A.html

Crédits: Nick et moi
Crédits pour Will Dormann pour la publication sur le site du US-Cert
Le #400671
Petite astuce facile pour éviter de se faire pourrir sa clé usb lorsque vous l'utilisez sur des machines peu sûr:
- convertisser la en NTFS (adieu win9x)
- créez à sa racine un fichier autorun.inf vierge à l'aide du bloc note
- Editez les propriétés du fichier en refusant tout à l'utilisateur "tout le monde"
Et voilà
Le #401231
"...et qui a aussi fait ses preuves sur Windows Vista, la version bêta de Windows 7."

uhuh, à la lecture de la phrase, on pourrait en conclure que Windows Vista est une bêta de Windows 7 (désolé, j'ai pas pu me retenir de la faire, no troll tout ça, juste que ça m'a fait rigoler (et tilter ) )

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]