Vobfus et Beebone : responsabilité collective

Après avoir détecté un cycle d’infections impliquant deux programmes malveillants, les experts de Microsoft ont été tout de suite plongé dans l’éternel dilemme de la poule ou de l’œuf. La relation d’entreaide entre les représentants des familles de programmes malveillants Vobfus et Beebone qu’ils ont étudié était cyclique : le ver résident Vobfus téléchargeait le cheval de Troie Beebone qui téléchargeait une nouvelle version de Vobfus qui, à son tour, actualisait Beebone et ce cercle se reproduisait jusqu’à ce qu’une intervention externe vienne mettre un terme à ce Beebone qu’ils ont étudiéprocessus sans fin.

Les deux familles de programmes malveillants sont connues pour leur capacité à télécharger, au lancement, d’autres fichiers malveillants. Cette fonctionnalité est présente chez de nombreux autres programmes malveillants, mais le « couple » Vobfus-Beebone a franchi une étape supplémentaire et fait preuve d’une assistance mutuelle cyclique, ce qui a amené les enquêteurs à conclure qu’il serait très difficile de s’en débarrasser.

Vobfus (Worm.Win32.Vobfus, dans la classification de Kaspersky Lab) est un type de ver à exécution automatique qui se propage via les clés USB et les disques réseau accessibles et dans de rares cas, via l’ingénierie sociale. Il se copie dans le dossier %userprofile% sous de faux noms du style passwords.exe, porn.exe, secret.exe, sexy.exe, subst.exe, video.exe et crée un clé de registre système qui garantit son lancement à chaque démarrage de Windows. Ensuite, le programme malveillant contacte un serveur de commande et reçoit sur le champ une commande de téléchargement de Beebone.

Le cheval de Troie Beebone (Trojan-Downloader.Win32.VB) est un programme de type downloader : autrement dit, son rôle consiste à télécharger et à exécuter d’autres programmes malveillants à l’insu de l’utilisateur. D’après les données de Microsoft, il a été utilisé à plusieurs reprises par des individus malintentionnés pour installer ZeuS (Zbot), Sirefef, Fareit, Nedsym et Cutwail. Dans ce cas, il télécharge sur l’ordinateur infecté une version plus récente de Vobfus qui, lors de l’installation, lui rend le même service.

La fonction de mise à jour existe dans presque chaque programme malveillant, mais le téléchargement des mises à jour peut être interrompu si le programme malveillant est correctement éliminé. Dans le cadre de la symbiose entre Beebone et Vobfus, cette méthode de nettoyage est inutile : il est possible de détecter et de supprimer Vobfus, mais il est plus que probable que la version la plus récente de Beebone soit déjà téléchargée sur l’ordinateur et qu’elle n’hésite pas à venir secourir son « partenaire ».

Source: http://blogs.technet.com/b/mmpc/archive/2013/06/30/viewing-vobfus-infections-from-above.aspx

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *