Infos

Vobfus et Beebone : responsabilité collective

Après avoir détecté un cycle d’infections impliquant deux programmes malveillants, les experts de Microsoft ont été tout de suite plongé dans l’éternel dilemme de la poule ou de l’œuf. La relation d’entreaide entre les représentants des familles de programmes malveillants Vobfus et Beebone qu’ils ont étudié était cyclique : le ver résident Vobfus téléchargeait le cheval de Troie Beebone qui téléchargeait une nouvelle version de Vobfus qui, à son tour, actualisait Beebone et ce cercle se reproduisait jusqu’à ce qu’une intervention externe vienne mettre un terme à ce Beebone qu’ils ont étudiéprocessus sans fin.

Les deux familles de programmes malveillants sont connues pour leur capacité à télécharger, au lancement, d’autres fichiers malveillants. Cette fonctionnalité est présente chez de nombreux autres programmes malveillants, mais le « couple » Vobfus-Beebone a franchi une étape supplémentaire et fait preuve d’une assistance mutuelle cyclique, ce qui a amené les enquêteurs à conclure qu’il serait très difficile de s’en débarrasser.

Vobfus (Worm.Win32.Vobfus, dans la classification de Kaspersky Lab) est un type de ver à exécution automatique qui se propage via les clés USB et les disques réseau accessibles et dans de rares cas, via l’ingénierie sociale. Il se copie dans le dossier %userprofile% sous de faux noms du style passwords.exe, porn.exe, secret.exe, sexy.exe, subst.exe, video.exe et crée un clé de registre système qui garantit son lancement à chaque démarrage de Windows. Ensuite, le programme malveillant contacte un serveur de commande et reçoit sur le champ une commande de téléchargement de Beebone.

Le cheval de Troie Beebone (Trojan-Downloader.Win32.VB) est un programme de type downloader : autrement dit, son rôle consiste à télécharger et à exécuter d’autres programmes malveillants à l’insu de l’utilisateur. D’après les données de Microsoft, il a été utilisé à plusieurs reprises par des individus malintentionnés pour installer ZeuS (Zbot), Sirefef, Fareit, Nedsym et Cutwail. Dans ce cas, il télécharge sur l’ordinateur infecté une version plus récente de Vobfus qui, lors de l’installation, lui rend le même service.

La fonction de mise à jour existe dans presque chaque programme malveillant, mais le téléchargement des mises à jour peut être interrompu si le programme malveillant est correctement éliminé. Dans le cadre de la symbiose entre Beebone et Vobfus, cette méthode de nettoyage est inutile : il est possible de détecter et de supprimer Vobfus, mais il est plus que probable que la version la plus récente de Beebone soit déjà téléchargée sur l’ordinateur et qu’elle n’hésite pas à venir secourir son « partenaire ».

Source: http://blogs.technet.com/b/mmpc/archive/2013/06/30/viewing-vobfus-infections-from-above.aspx

Vobfus et Beebone : responsabilité collective

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception