Publié par UnderNews Actu - Télécharger l'application Android

Une fausse page YouTube et Stuxnet utilisent le même exploit, CVE-2010-3338, pour diffuser des malwares.

Les sites de partage de vidéos sont ce qu’il y a de mieux pour les personnes cherchant à se divertir, mais ils sont également très appréciés des cybercriminels.  Les choses peuvent vraiment mal tourner si votre site de partage de vidéos s’avère être un clone conçu pour vous demander avec insistance d’installer une application ou un codec supplémentaire. L’arnaque que nous présentons aujourd’hui consiste en une page YouTube « spoofée », une copie plutôt minutieuse de l’original, et qui réserve de bien vilaines surprises.

Une fois la victime sur la « fausse » page, un applet Java non signé apparaît et demande à l’utilisateur de l’exécuter pour voir la vidéo. Il s’agit d’une ruse, ne vous faites pas avoir. La dernière fois que nous avons vérifié cela, la plupart des sites de partage de vidéos requéraient un plugin Adobe® Flash® pour lire les vidéos, et non Java.

HMA Pro VPN

Le piège : un applet Java qui s’avère être le malware « Trojan.Downloader.Java.C »

Si l’utilisateur clique sur le bouton « Exécuter », un code malveillant (identifié par BitDefender sous le nom de«  Trojan.Generic.KDV.128306 ») est immédiatement téléchargé sur le système de la victime et copié dans le dossier temporaire sous le nom de « services.exe » pour permettre un accès à Internet.

Trojan.Generic.KDV.128306 entre immédiatement en communication avec son Centre de commande et de contrôle en se connectant à un canal IRC sous un pseudonyme respectant la structure suivante : [%Langage%][%Système d’exploitation%]%nrAléatoire%, avec le nom d’utilisateur Virus et le « véritable nom » : My_Name_iS_PIG_and_Iam_A_GaY%randomNumber%.

Le cheval de Troie se connecte ensuite au canal avec la commande JOIN: ##Turb0-XXX##, où un botmaster lui indique les actions à appliquer sur le PC infecté. Ces instructions lui demandent de télécharger certains fichiers, de les enregistrer sous différents noms et, bien sûr, de les exécuter.

Les fichiers que le cheval de Troie installe sur l’ordinateur compromis ont diverses « capacités » malveillantes :

·         micro1.exe peut envoyer des messages  via le chat de Facebook® lorsque l’utilisateur est connecté au réseau social, mais est également capable d’enregistrer des conversations sur des clients de messagerie instantanée tels que  Pidgin, MSN®, Yahoo® et ICQ®.

·         fsaf24.exe dispose d’une fonctionnalité DDoS ; il contient également du code permettant au malware de se diffuser via des clés USB.

·         afasfa4.exe est capable de détourner les résultats de recherches sur effectuées sur Google™ et Bing™ avec des navigateurs tels que Firefox®, Internet Explorer®, et Chrome®.

Notons que ce cheval de Troie utilise la vulnérabilité du Planificateur de tâches connue sous le nom de « CVE-2010-3338 ». C’est l’un des moyens employés par le ver Stuxnet pour effectuer une élévation de privilèges et exécuter son code en tant qu’administrateur sur les systèmes protégés par le Contrôle de comptes d’utilisateur.
RELATED INFO:
Article réalisé grâce aux informations techniques fournies par Razvan Benchea, spécialiste BitDefender des virus informatiques. Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.

 

Source : MalwareCity

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (3 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , , , , , ,

Recherches en relation :

  • JAVA SFE

Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.