Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Nouvelle variante du botnet Waledac qui ne se limite pas au spam

février 2012 par Palo Alto Networks

La solution WildFire de Palo Alto Networks a récemment détecté une nouvelle variante du botnet Waledac, avec quelques modifications nouvelles. Pour rappel, Waledac était un botnet de spam assez important qui a été stoppé en 2010, lorsque Microsoft a été en mesure de prendre possession des nombreux domaines utilisés par le botnet.

Le 2 février, WildFire a détecté une nouvelle variante de Waledac apparaissant sur les réseaux de ses clients et cette fois faisant davantage que du simple envoi de spam. La nouvelle version a amélioré ses capacités malveillantes afin d’inclure le vol de mots de passe et des données d’authentification. Cela inclut la possibilité de "renifler" des informations d’identification utilisateurs pour FTP, POP3, SMTP et de voler les fichiers .dat pour FTP et Bitcoin. Toutes ces informations sont téléchargées sur le botnet, et bien sûr serait très utile pour permettre de nouvelles attaques dans le futur.

WildFire était en mesure de détecter ce nouveau malware frappant les réseaux de ses clients et de le bloquer avant que n’importe quel fournisseur d’antivirus soit en mesure de proposer une protection. L’échantillon a été détecté le 2 février et la première protection par un antivirus majeur n’a pas été proposée avant le 13 février. Pour rappel, la fonction WildFire au pare-feu de capturer les fichiers inconnus pour analyse dans un bac à sable (sandbox) virtualisé, au sein duquel n’importe quel nouveau programme malveillant peut être identifié en fonction de son comportement.

Le MD5 pour cet échantillon est 0766243f2520c32f1f6b4661c0b5592e, et les clients peuvent se connecter au portail WildFire pour voir via l’analyse si ce fichier a été détecté sur leur réseau. Les clients de Palo Alto Networks qui utilisent PAN-OS version 4.1 sont vivement encouragés à mettre en place WildFire s’ils ne l’ont pas déjà fait afin d’obtenir une protection contre des menaces similaires dans le futur. (Remarque : tous les clients de Palo Alto Networks avec une licence valide de prévention des menaces sont déjà protégés si ils ont appliqué les dernières mises à jour de l’antivirus). Wildfire est une fonctionnalité gratuite, et permet aux utilisateurs de bénéficier d’une protection contre les menaces observées par n’importe lequel des clients Palo Alto Networks à travers le monde.

Pour éviter toute confusion, il est important de noter qu’il s’agit d’une nouvelle variante du botnet, et non pas la version originale, qui reste sous le contrôle de Microsoft.




Voir les articles précédents

    

Voir les articles suivants