Avira protège ses utilisateurs du programme malveillant MiniDuke
février 2013 par Marc Jacob
L’expert en sécurité Avira protège ses utilisateurs du nouveau malware qui exploite une vulnérabilité zero-day d’Adobe Reader. Baptisé MiniDuke, ce programme malveillant a toutes les chances de devenir, lentement mais sûrement, le cauchemar des entreprises. V
oici ses caractéristiques :
– il est polymorphe, il existe en effet sous des milliers de variantes ;
– il exploite une faille d’un logiciel ultra populaire : Adobe Reader ;
– il se déclenche au redémarrage du système d’exploitation et ne peut donc pas être associé facilement à une action de l’utilisateur juste avant l’infection ;
– les copies du programme malveillant se multiplient d’elles-mêmes dans l’ordinateur, ce qui complique la procédure de désinfection ;
– il établit des connexions avec différents serveurs de commande et de contrôle (C&C) partout dans le monde, il ne suffit donc pas d’arrêter quelques-uns de ces serveurs pour interrompre la propagation ;
– il identifie de nouveaux serveurs C&C via de simples recherches dans Google ;
– il utilise Twitter pour communiquer avec d’autres serveurs C&C ;
– il brouille les pistes en téléchargeant des fichiers GIF (petites icones) qui cachent des URL chiffrées d’accès aux serveurs C&C.
Tous les utilisateurs d’Avira sont protégés et les fichiers malveillants sont détectés comme ceci :
– EXP/MiniDukeGif.A – modèles de fichiers GIF détournés
– EXP/MiniDuke.A – modèles de fichiers PDF détournés
– TR/MiniDuke.A – code binaire du programme
Les experts d’Avira ont identifié dans MiniDuke des composants utilisés dans d’autres programmes malveillants depuis 2010. Les modèles étant extrêmement complexes, l’analyse se poursuit. En raison du grand nombre de modèles d’exploit en circulation, l’éditeur travaille sur la détection d’un modèle générique d’exploit des fichiers PDF et GIF.