Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un Trojan cible les utilisateurs de SAP

le 7 novembre 2013

Doctor Web alerte sur la diffusion d'un programme malveillant ciblant les utilisateurs de SAP. Cette application malveillante est un représentant d'une famille de Trojans bancaires, Trojan.PWS.Ibank, capables de voler les mots de passe et d’autres données confidentielles.

Les spécialistes de Doctor Web ont étudié cette menace. Comparé à d'autres logiciels malveillants de la famille Trojan.PWS.Ibank, cette version présente une modification de la structure du bot, ainsi que des changements dans les mécanismes de communication inter processus (CIP), le sous-système SOCKS5 a été aboli. En revanche, l'algorithme de cryptage, le chargeur du code malveillant empaqueté dans une bibliothèque de lien dynamique séparée et le protocole de communication avec le serveur des malfaiteurs n'ont pas changé.

Le module d'installation peut détecter la tentative de lancer le logiciel malveillant en mode débogage ou sur une machine virtuelle afin de rendre difficile son analyse par les spécialistes antivirus. Il vérifie également s’il est lancé dans Sandboxie. Ce Trojan peut fonctionner dans les versions 32-bits et 64-bits de Windows, en utilisant différents moyens de pénétration dans le système d'exploitation. Le module principal du Trojan est capable d’exécuter deux nouvelles commandes (par rapport aux versions précédentes du Trojan.PWS.Ibank) : l'une d'entre elles peut activer/désactiver le blocage des clients bancaires, l'autre permet d'obtenir depuis le serveur de gestion un fichier de configuration.

Le Trojan.PWS.Ibank est capable de s'intégrer dans les processus en exécution et sa nouvelle version peut vérifier les noms des applications lancées, y compris le client SAP. SAP comprend un certain nombre de modules pour gérer des données fiscales et financières, il traite donc les données sensibles de l'entreprise. La première version du Trojan, qui détecte SAP dans le système infecté, a été découverte en juin : elle a été ajoutée à la base virale Dr.Web sous le nom Trojan.PWS.Ibank.690, la version actuelle porte le nom Trojan.PWS.Ibank.752. Rappelons que les Trojan.PWS.Ibank peuvent exécuter les fonctionnalités malveillantes suivantes :

  • le vol et le transfert de mots de passe aux attaquants;
  • le blocage de l'accès aux sites des éditeurs antivirus ;
  • l'exécution de commandes provenant d'un serveur distant ;
  • le lancement d’un serveur proxy et d’un serveur VNC sur l'ordinateur infecté;
  • l’endommagement du système d'exploitation ou des secteurs d'amorçage du disque.

L'intérêt des attaquants pour les logiciels SAP et les ERP inquiète les spécialistes de la sécurité informatique : en utilisant ces technologies, les attaquants peuvent voler les données sensibles traitées par ces logiciels.

Cependant, les Trojans de la famille Trojan.PWS.Ibank ne tentent pas de détruire SAP. Ils détectent sa présence dans le système et essaient d’injecter leur code au processus correspondant. Il est possible que les malfaiteurs travaillent pour le futur.


Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg