Un ver installe et exécute eMule

Le par  |  5 commentaire(s)
Changeup-emule

Relativement atypique, le ver informatique Changeup à cette particularité d'installer et exécuter sur l'ordinateur Windows de sa victime le client P2P eMule.

Changeup-emuleVer informatique polymorphe, W32.Changeup est apparu pour la première fois il y a près d'un an. Une fois qu'il infecte un ordinateur, il a pour mission de rapatrier diverses menaces comme des chevaux de Troie aux actions nuisibles. Pour assurer sa diffusion, Changeup vient d'adopter un comportement singulier mis au jour par Symantec.

Plusieurs menaces ont pour habitude d'analyser le contenu d'un ordinateur cible afin de repérer des applications P2P et introduire une copie de leur code dans des dossiers de partage. Changeup y va plus franchement et s'arroge le droit d'installer directement et d'exécuter un client P2P bien connu : eMule.

Dans le dossier de partage d'eMule, Changeup crée diverses copies de lui-même qui pourront donc être diffusées, si tant est qu'aucune mesure de protection ne fasse obstacle à un partage. Pour maquiller son action auprès des autres utilisateurs, les fichiers à partager prennent la forme d'archives ZIP qui ont recours à divers noms parmi plus de 45 000. Ces fichiers empruntent les noms de logiciels légitimes, de cracks et plus généralement de tout ceux qui est susceptible de générer un échange.

Pour chaque archive ZIP, Changeup ajoute quelques bits aléatoires afin que les fichiers disposent d'un hash différent. Sans quoi, tous les fichiers ZIP ( qui renferment un exécutable infecté ) seraient retournés pour une même recherche en inspectant les différentes versions d'un fichier disponibles, ce qui éveillerait évidemment des soupçons. Selon Symantec, cela permet aussi à la menace de passer au travers de certaines détections statistiques antivirus ( basées sur un fichier hash ).

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #677431
45 079 fichiers, ça calme... Rien que pour ouvrir le répertoire ça doit mettre une plombe alors les supprimers...

"Sans quoi, toutes les occurrences de Changeup dissimulées dans une archive ZIP renfermant un exécutable seraient retournées pour une même recherche"

Ce n'est pas vraiement ça :
Si le hash était identique une recherche renverrait tous les fichiers ZIP, une recherche ne renvoie pas d'"occurrences de Changeup dissimulées dans une archive ZIP"...

Quand on recherche un fichier sur eMule c'est par rapport au nom, donc les fichiers ne seraient de toute façon pas affichés...
Ile ne pourriaent être affiché que si on regarde les différentes versions du nom du fichier (comme c'est déjà le cas avec des faux films par exemple).
Le #677521
Ça, à la veille de l'hadopi, c'est ballaud !

Quand aux rares personnes qui utilisent encore le bourrin, un petit conseil. Passez un site de lien pour faire votre premier téléchargement et ensuite, faites vos recherches sur kad uniquement. Kad filtre de lui-même tout ces faux fichiers.
Le #677551
"Kad filtre de lui-même tout ces faux fichiers."

Bah voyons, kad c'est le miracle, il fait même le café à l'itallienne. Sacré Kad.
Le #677621
bin essaye godasse ! et tu verras !

il faut que je prenne des captures pour te la faire fermer ?
Le #677641
@alucardx77: Te casse pas à la tête à lui répondre, faut jamais nourrir les trolls sur GNT

Sinon c'est sûr qu'à la veille d'Hadopi, ça va être super pratique pour expliquer qu'en fait c'était pas nous...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]