Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Code malveillant Zeus, G Data analyse la campagne en cours

novembre 2011 par G DATA

Les experts du G Data SecurityLabs ont détecté depuis quelques jours une activité inhabituelle liée au Botnet Zeus. Une vague de spam tente d’infecter les PC cibles dans le but d’accroître la diffusion de ce botnet.

Très variés, les e-mails analysés ont un point commun : ils tentent de faire cliquer la cible potentielle sur le lien communiqué. E-mail de banque ou d’institutions officielles sont généralement utilisés dans cette campagne. Dans le cas où un utilisateur clique sur le lien, une page web s’ouvre et essaie de convaincre le visiteur de télécharger une mise à jour pour Adobe Flash Player. Évidemment, cette mise à jour est fausse. Les analyses montrent qu’il contient un code identifié sous le nom Gen : Variant.Kazy.44360. L’attaque n’est pas pour autant terminée. Même si l’utilisateur prudent ne réalise pas la mise à jour demandée, le site lui-même est dangereux : il intègre un fichier php qui cache un Javascript masqué. Ce Javascript lance une applet qui fonctionne comme un drive-by-Downloader. Il essaie d’exploiter l’ordinateur de l’utilisateur en attaquant une vulnérabilité décrite en tant que CVE-2010-0840. Cette ancienne vulnérabilité, pourtant déjà corrigée, est encore utilisée par les attaquants.

Si l’exploit fonctionne, l’applet télécharge des données supplémentaires sur l’ordinateur cible, qui devient alors un ordinateur infecté. Le fichier téléchargé, une dll. dans ce cas, est le code réel : Zeus est sur l’ordinateur !




Voir les articles précédents

    

Voir les articles suivants