Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Le Trojan.Rodricter se propage grâce à une vulnérabilité Java critique

Le 5 septembre 2012

Le 26 août, l’entreprise FireEye a annoncé la détection d’une vulnérabilité critique dans Java Runtime Environment 1.7x, CVE-2012-4681. Les premières descriptions ont été publiées le 26 août et le lendemain, la vulnérabilité CVE-2012-4681 est entrée dans le pack d’exploits BlackHole Exploit Кit, propagés par les malfaiteurs. Oracle a lancé une mise à jour le 30 août, ce qui signifie que les utilisateurs Java sont restés sans protection durant 4 jours. Les spécialistes de Doctor Web ont détecté un certain nombre de programmes malveillants diffusés à l'aide de cet exploit, notamment le Trojan.Rodricter.

Les malfaiteurs profitent des sites piratés en modifiant le fichier .htaccess. pour assurer la propagation de programmes malveillants et Doctor Web a détecté un grand nombre de TDS (Traffic Direction System) profitant de la vulnérabilité pour rediriger les utilisateurs vers des sites propageant des logiciels malveillants. Les adresses des nœuds dans la chaîne des adresses qui redirigent l’utilisateur vers un site malveillant sont modifiées grâce à des scripts spéciaux une fois par heure. Les pages web piratées profitent de deux vulnérabilités en même temps : CVE-2012-1723 et CVE-2012-4681. L'exploit utilisé par les pirates dépend de la version de Java Runtime: 7.05 et 7.06, c’est la vulnérabilité CVE-2012-4681 qui permet d’éviter le système de sécurité.

screen

Si le trojan parvient à passer outre le système de sécurité, Java applet décode le fichier class, dont l’objectif principal est de télécharger et de lancer des fichiers exécutables. C'est ainsi que les malfaiteurs propagent le programme malveillant Trojan.Rodricter.21.

screen

Le Trojan.Rodricter.21 utilise les technologies rootkit et contient plusieurs composants. Ainsi, le dropper de ce programme malveillant vérifie s’il y a un antivirus ou un débugger dans l’OS et cherche ensuite à augmenter ses droits en profitant notamment des vulnérabilités de l’OS. Si le contrôle des comptes utilisateurs est activé sur le PC, le trojan désactive UAC. Ensuite, tout dépend de ses droits dans l’OS.

Le Trojan.Rodricter.21 sauvegarde sur le disque son composant principal et s’il a suffisamment de droits, il infecte un des drivers standards Windows pour cacher son composant principal. Pour cette raison, il peut être considéré comme un rootkit. De plus, le trojan est capable de modifier les configurations des navigateurs Microsoft Internet Explorer et Mozilla Firefox, ainsi, dans Mozilla Firefox, il peut créer un dossier \searchplugins\ c'est-à-dire un plugin supplémentaire pour les recherches puis remplacer le User-Agent et les options de recherche. Le résultat est que toutes les recherches de l’utilisateur se présentent sous la forme : http://findgala.com/?&uid=%d&&q={поисковый запрос}, où %d — est un identificateur unique du trojan. Trojan.Rodricter.21 modifie également le fichier hosts en y entrant les adresses des sites piratés.

Le module principal du Trojan.Rodricter.21 est un fichier exécutable qui est sauvegardé dans le dossier temporaire, il sert à modifier le trafic de l’utilisateur et à y intégrer le contenu des pirates.

La signature de cette menace a été ajoutée aux bases virales Dr.Web et le mécanisme de traitement dans l’utilitaire Dr.Web CureIt! Les spécialistes Doctor Web conseillent aux utilisateurs de lancer les mises à jour nécessaires et surtout celles de Runtime Environment.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg