Rootkit.Hearse met votre PC en bière

Le par  |  12 commentaire(s) Source : ComputerWorld

Un rootkit d'un genre un peu particulier fait son apparition.

Un rootkit d'un genre un peu particulier fait son apparition. Enfin, si on arrive à le détecter...

Dans la grande famille des menaces informatiques, je voudrais le petit dernier : un cheval de Troie affublé d'un rootkit, à moins que ce ne soit l'inverse. Des chercheurs de Sana Security ont découvert un nouveau type de logiciel malveillant, qu'ils ont surnommé "rootkit.hearse" (ce dernier mot désignant en anglais un corbillard, d'où le titre du présent article...), et qui combine la furtivité d'un rootkit avec la vitesse de propagation d'un cheval de Troie.

Bien sûr, et comme souvent, il faut d'abord que l'internaute un peu naïf laisse entrer le loup dans la bergerie, soit en cliquant là où personne ne devrait jamais cliquer, soit en recevant un fichier d'apparence anodine, et néanmoins piégé. Ensuite, dans le cas de notre "rootkit.hearse", le cheval de Troie, sous couvert de son rootkit, se connecte à un serveur basé en Russie, comme il le fait depuis le 16 mars, et peut inviter ses amis à une surprise-party sur votre PC, notamment en faisant venir une variante du ver Win32.Alcra.

Lundi soir, Sana Security révélait que seulement cinq des vingt-quatre principaux produits anti-virus commerciaux étaient capables de détecter les traces laissées par le cheval de Troie ou le ver, lesquels ont bien entendu pour but de s'approprier vos informations personnelles (identifiants, mots de passe, numéro de carte bancaire, etc...), notamment en s'appuyant sur la fonction AutoComplete d'Internet Explorer. Mardi matin, on estimait à environ 35.000 le nombre d'identifiants piratés par le serveur russe grâce à ce stratagème, depuis 7.000 sites Internet, parmi lesquels des banques en ligne.

Le fournisseur d'accès russe de ce serveur a été informé des pratiques frauduleuses de son client, mais au moment où étaient écrites ces lignes, le serveur pirate et ses rejetons oeuvraient toujours...


Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #95073
On pourrait les connaitre ces cinq antivirus'
Le #95077
Ril-one-o-bi >http://www.sanasecurity.com/resources/advisories.php
Rentres dans le dossier qui concerne le trojan.

Je note avec grand plaisir que Nod32 fait partie des 5 je t'aime Nod.
Le #95094
Merci ô_Ô.
Moi Mcafee, zobi.
Le #95113
Nod !!! C'est vraiement le seul antivirus avec lequel je me sent réellement en sécuritée (et en plus ils ont une version Linux de leur AV !!!, je les encore plus !).
Le #95118
nod a recemment renforcé sa detection de rootkit , on sait pas trops comment fonctionne cette nouveauté , mais cela semble efficace
Le #95140
"...avec la vitesse de propagation d'un cheval de Troie". Un Cheval de Troie n'a pas vraiment une vitesse de propagation contrairement au Worm. Le Trojan ne se propage pas tout seul, ce n'est pas son but.
Le #95166
Comme d'habitude NOD32 v2.5 est efficace et le bloque ou le vire
Le meilleur : avec 100% de virus et trojans connus bloqués ou virés, 95% de virus et trojans inconnus bloqués ou virés
Qui dit mieux avec en plus si peu de ressources système utilisées
Mérite d'être plus connu
Le #95218
En effet, je ne connai pas, et vous venez de me convaincre de l'essayer...
Le #95290
JE L'AI EU !!!

Un root-kit-revelateur m'a permi d'identifier un dossier, dans prog-file. Il etait invisible en local, mais visible d'un autre poste (par le partage des dossier).
Grace a Win-PE, j'au pu le virer. Des pop-up m'envahissait (dont une pub pour Alice),le comble pour un FAI ! !! !!! Le dossier fesait 3 Go et contenait des log de saisie clavier.
Le RootKit provenait d'un activeX telechargé le 5 decembre 2005. Rien sur internet pour m'aider ou relater ce cas !!! il en aura falu du temps !<img src="/img/emo/confused.gif" alt=":'" /> ...

Bises a tous !
Le #95295
Merci o_O pour le site...http://www.sanasecurity.com/resourc...sories.php

Ca fait plaisir de voir que les grand pro de ce monde on fait comme moi tout seul dans mon coin.
Tiens je me sent pas si nul que ca ! hihi!

Merci aussi a GNT, c'est qd meme grace a ces lignes que j'ai trouver l'arme: Root kit revelator.
Il ne me reste plus qu'a trouver de quoi netoyer le base de registre !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]