7 replies to this topic

[Txon]

Salut !

Bonjour, le nouveau cheval de troie FLAME fait parler de lui en orient , pour le moment les anivirus de peuvent rien!

Flame n'est pas un Trojan mais un virus/ver

C'est un cheval de Troie + un ver + un ''keylogger'' +++


L'Iran et d'autres pays où l'islam fait des ravages seraient la cible essentielle d'un nouveau maliciel nommé Win32.Flame par Kaspesky. Quelques exemplaires auraient aussi été trouvés aux USA. Il aurait été découvert ''accidentellement'' en cherchant un autre ''virus'' à la demande de l'ITU.

Des détails sont fournis par Aleks dans Securelist : The Flame: Questions and Answers.
Il serait beaucoup plus ''gros'' que beaucoup d'autres maliciels et comporterait divers systèmes d'espionnage : faire des captures d'écran, enregistrer les frappaes au clavier, activer le microphone pour enregistrer les conversations sans que l'utilisateur ne s'en rende compte, envoyer des données du trafic réseau, rediriger des messages instantanés ….
D'autres modules seraient disponibles pour un téléchargement à la demande du ''bot-header''.

Some features of the malware are as follows:

· Distribution via removable medias

· Distribution through local networks

· Network sniffing, detecting network resources and collecting lists of vulnerable passwords

· Scanning the disk of infected system looking for specific extensions and contents

· Creating series of user’s screen captures when some specific processes or windows are active

· Using the infected system’s attached microphone to record the environment sounds

· Transferring saved data to control servers

· Using more than 10 domains as C&C servers

· Establishment of secure connection with C&C servers through SSH and HTTPS protocols

· Bypassing tens of known antiviruses, anti malware and other security software

· Capable of infecting Windows Xp, Vista and 7 operating systems

· Infecting large scale local networks

Il semblerait que seuls 5.000 PCs infectés aient été détectés mais le le botnet serait enpleine expansion.

Ce serait le même que celui que Sophos détaille dans un document .pdf intitulé sKyWIper : A complex malware for targeted attacks ,

Il promet ce ''petit''.
@+

[Darksky]

Hello,

Oui, je viens de lire plusieurs articles sur mon temps de pause au boulot (ceux qui ne sont pas bloqués du moins. Et comme je n'ai temporairement plus le net à la maison...).

Il est assez inquiétant de voir que d'après leurs estimations, cela ferait 5 ans qu'il tourne. Et encore plus inquiétant de les entendre dire que si ce genre de choses était possible il y a 5 ans, ils redoutent ce qui se fait maintenant.

5 ans (ou moins, mais même un an serait énorme) pour choper ce genre de bestiole, ça fait froid dans le dos tout de même.
Mais si on veut relativiser, il faut se dire que ce genre de bête est clairement créé par un/des état(s), et son usage est donc très ciblé. C'est clairement de l'espionnage (industriel, politique, financier, etc), et le voir débouler sur nos pc reste limité. Enfin en tout cas on ne m'a pas encore annoncé que j'étais à la tête d'une grosse puissance

Mais cela reste possible (transfert via USB, etc), même si le risque est limité.
A suivre, je suis certain qu'on est encore loin d'avoir eu la vision totale de ce dont il est capable, et surtout, attendons qu'ils découvrent les suivants

[lolo32]

bitdefender met un outil gratuit pour d'infecté flame

http://labs.bitdefen...ls-with-flamer/

bye

Ce message a été modifié par lolo32 - 30 mai 2012 - 08:03 .

[Txon]

Il est assez inquiétant de voir que d'après leurs estimations, cela ferait 5 ans qu'il tourne. Et encore plus inquiétant de les entendre dire que si ce genre de choses était possible il y a 5 ans, ils redoutent ce qui se fait maintenant.
5 ans (ou moins, mais même un an serait énorme) pour choper ce genre de bestiole, ça fait froid dans le dos tout de même.

Il y a cinq ans et même plus, la connaissance des techniques qui permettaient aux maliciels de se planquer durablement était déjà très approfondie. Voir -> ICI <- ça date de juin 2007 mais c'était seulement une amélioration d'un autre ''topo'' de début 2006 publié hors Infomars. A ma connaissance, certains rootkits comme ''Unreal D'' n'ont jamais été détectés et ils pourraient aussi bien charger et faire exécuter n'importe quelle sorte de maliciel. Heureusement, ''Unreal D'' était un ''POC''' jamais utilisé par des malendrins, mais il peut très bien en exister d'autres.

Ce qui m'interpelle le plus c'est que Win32.Flame (ou sKyWIper ) fonctionne aussi bien sous XP que Vista ou Seven. Ca me paraît difficile pour un rootkit en ring 0 (mode noyau) développé théoriquement en 2007 ou même plus tôt, c'est à dire l'année de sortie de Vista ou avant. Ou les créateurs ont été très rapides pour percer l'UAC ou c'est un rootkit en ring 3. A moins qu'il en existe plusieurs variantes adaptées à chaque OS.

@+

[Txon]

L'astuce de Win32.Flame (ou sKyWIper ) pour fonctionner sous "7" serait l'utilisation d'un faux certificat Microsoft (signatures numérique de confiance).

« Plusieurs composants du malware ont été signés par des certificats qui permettent au logiciel d’apparaître comme s’il avait été produit par Microsoft »

Le monstre a publié des détails sur la technique utilisée : Flame malware collision attack explained.
Une mise à jour de Windows serait disponible depuis le 03 ou 04 juin 2012. Elle consisterait essentiellement en un "révocation" du certificat utilisé.

@+

[Darksky]

Effectivement, la mise à jour critique a été distribuée par Microsoft début de ce mois.
Elle m'a surpris car quand je l'ai eue en notification, je n'avais pas encore parcouru le web pour savoir de quoi il s'agissait, et elle ne faisait pas partie du pack de patch habituel.

[lolo32]

dernière info , il lancerai (environs depuis le 9 mai ) un suicide de lui même pour éviter de le tracer et l’étudier!

le correctif de Windows empêche la fausse signature de flame ! donc mettez vous a jour^^ on le rappel régulièrement

la suite du feuilleton au prochaine épisode

[Neuromancien]

Cet article : http://www.theregist...uicide_command/
http://www.symantec....-urgent-suicide