Salut.
Le rootkit/cheval de Troie ‘’Necurs’’ n’est pas un nouveau-né. Une variante aurait été détecté dès mai 2011 mais il revient à la mode sous une forme un peu différente.
Au mois de novembre 2012 il aurait infecté plus de 80.000 PCs. Sa propagation se ferait à l’aide d’un bon vieux ‘’drive-by-download’’ inséré dans des pages Web.
Unexpected reboot: Necurs (Tim Liu – blogs.technet)
Il s’attaque à toutes les versions de Windows 32 et 64bits et serait capable de rendre impuissants de nombreux logiciels de sécurité :
Agnitum, ALWIL, Avira, Beijing Jiangmin, Beijing Rising, BitDefender, BullGuard, Check Point Software Technologies, CJSC Returnil, Comodo Security Solutions, Doctor Web, ESET, FRISK, G DATA, GRISOFT, Immunet, K7 Computing, Kaspersky Lab, Microsoft, NovaShield, Panda, PC Tools, Quick Heal Technologies, Sunbelt, Symantec (Norton), VirusBuster.
Necurs transperce le ‘’Patchguard’’ de Windows (KPP - kernel patch protection).
Suivant les variantes, il peut télécharger un ‘’rogue’’, Winwebsec, un DDL de distribution de spam ou d’autres joyeusetés comme du ‘’code’’ dans tous les processus en cours de fonctionnement.
Trojan:Win32/Necurs (Microsoft).
Il existe un remède, Necurs Removal Tool, mais je ne saurais dire s’il est efficace contre toutes les variantes.
@+