Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Une nouvelle version du BackDoor.BlackEnergy se dissimule sous « Innocence of muslims »

Le 26 septembre 2012

Doctor Web annonce l’apparition d’une nouvelle menace, BackDoor.BlackEnergy, créant des botnets. Le trojan envoie des messages avec pour titre le nom du film controversé, « Innocence of muslims ». La plupart des messages ciblent les structures étatiques ukrainiennes. Les ordinateurs infectés par BackDoor.BlackEnergy peuvent ensuite être utilisés pour une diffusion de spam, pour des attaques DDoS etc.

Le backdoor multi-composants BlackEnergy a été utilisé pour créer un botnet très important. Lors des périodes de pic de son activité, presque 18 milliards de messages par jour ont pu être comptabilisés. Grâce aux efforts de nombreuses entreprises de sécurité informatique, plusieurs serveurs distants du botnet ont été désactivés en juillet 2012. Ceci a considérablement diminué le trafic du spam dans le monde. Mais d’autres serveurs moins importants permettaient à BlackEnergy de continuer à agir. Visiblement, les propriétaires du botnet veulent restaurer sa puissance initiale en lançant une nouvelle version du trojan.

La nouvelle modification du trojan a été ajoutée aux bases virales Dr.Web sous le nom BackDoor.BlackEnergy.18, elle se propage via des messages électroniques avec un fichier Microsoft Word en pièce jointe. Les messages sont particuliers car ils sont envoyés sur les adresses des institutions d'Etat ukrainiennes, comme le Ministère des Affaires étrangères ou l’Ambassade d’Ukraine aux Etats-Unis.

screen

Sur l’image ci-dessus, nous pouvons voir que les malfaiteurs profitent du film suscitant une vive polémique dans le monde, « Innocence of muslims », en le mettant en objet du message.

Le fichier joint est détecté par le logiciel Dr.Web comme Exploit.CVE2012-0158.14, il contient un code malveillant lui permettant de profiter d’une vulnérabilité d’un des composants ActiveX. Ce composant est utilisé par MS Word et certaines autres applications de Microsoft pour Windows. Au moment du lancement de la pièce jointe, deux fichiers sauvegardent leurs copies dans un dossier temporaire, les noms de ces fichiers sont: « WinWord.exe» et «Невинность мусульман.doc» (le nom en russe signifie: Innocence of Muslims). Le premier fichier est un dropper du trojan BackDoor.BlackEnergy.18 et il sert à installer le driver du trojan dans le système.

Le deuxième fichier, qui en fait est un simple fichier Microsoft Word qui donne les infos que l'utilisateur « souhaitait » voir, s’ouvre après le lancement du dropper.

screen

Les backdoor BackDoor.BlackEnergy sont des trojans possédant des modules, c'est-à-dire qu’ils fonctionnent grâce à des plugins téléchargés à part. La nouvelle modification n’est pas différente des autres. Le trojan utilise un fichier de configuration au format xml, reçu depuis le serveur distant 194.28.172.58. Grâce à ce fichier BackDoor.BlackEnergy.18 peut installer les modules suivants:

NomVersionDate de compilationUtilisation
ps1404.09.2012voler les mots de passes pour les applications internet répandues : navigateurs, boîte de messagerie etc.
fs2416.09.2011traitement des fichiers et collecte des infos sur le PC
ss917.04.2012Création de captures d'écran et de vidéos
upd403.03.2012Mise à jour du trojan
vsnet_l306.09.2012Accès au PC grâce au service de bureau distant

En plus des modules pour Windows, des plugins représentant les fichiers exécutables ELF- fonctionnant sous Linux avec les processeurs Intel 32-bits ont été détectés :

NomVersionUtilisation
fs_lin1Traitement des fichiers (obtenir une liste des fichiers et des dossiers)
up_lin1Mise à jour du trojan
weap_lin1Attaque DDoS

Il est à noter que les plugins pour Linux sont dits de la première version du trojan et qu’il n'y a pas d'informations sur les serveurs distants. Il est possible que le fait que ces plugins se soient retrouvés dans un trojan pour Windows soit une erreur des pirates. Les spécialistes Doctor Web supposent que la version pour Linux se propage avec un dropper supplémentaire.

Le trojan ne représente pas de menace pour les utilisateurs du logiciel Dr.Web, les signatures nécessaires ont été ajoutées aux bases Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg