Vinself – un backdoor pour les réseaux d’entreprise ?

0
72

Un nouveau backdoor a été découvert par Atif Mushtaq, un chercheur de chez FireEye. Il semble avoir été mis au point afin de compromettre des réseaux d’entreprises.

Une des hypothèses avancées : l’émergence de backdoors puissants laisse à penser que certains criminels ont commencé à chercher au-delà du simple vole de données présentes dans l’immédiat sur un système.

Cette porte dérobée a été baptisée Vinself, et a les capacités suivantes :


  • Techniques d’obscurcissement personnalisées utilisés pour communiquer via HTTP avec les serveurs de contrôle – actuellement, l’un est en Espagne (91.142.208.43) et l’autre aux États-Unis (207.179.75.114)
  • Enregistre les informations vitales du système, les cryptent et les envoient
  • Possibilité de mise en veille prolongée pour une période déterminée – au démarrage, il recherche un fichier appelé winfont.cpl, lit la date qu’il contient et s’active à cette date. S’il n’y a pas de tel fichier sur le système, il s’exécute immédiatement
  • Possibilité de passer à travers les proxy configurés, ce qui indique qu’il était probablement destiné à cibler les réseaux d’entreprise derrière un firewall.