SECURITE - SCOB ET BERBEW NE SONT PAS DES VIRUS /WORMS

News / Actualités : Tout ce qui concerne l'informatique en général ...

Modérateurs : Team Admin, Team Info

Répondre
Avatar de l’utilisateur
scott
CybeR MasteR
CybeR MasteR
Messages : 1552
Inscription : 22 mai 2004 22:01
Localisation : CyA

SECURITE - SCOB ET BERBEW NE SONT PAS DES VIRUS /WORMS

Message par scott »

Contrairement à ce qu'affirment certains sites/médias plus ou moins

spécialisés, il n'y a AUCUNE propagation d'un virus/ver ciblant les serveurs

Microsoft IIS, et aucune propagation d'un virus ciblant les internautes

(Scob et Berbew ne sont PAS des virus/ver.

Scob est un code javascript chargé d'installer le Trojan berbew).

Un groupe de pirates inconnu est parvenu à pénétrer les sites web de

nombreuses sociétés réputées, dont des établissements bancaires.

Ils les ont infectés afin que tous les visiteurs de ces sites reçoivent à leur

tour un logiciel espion s'il utilisent Internet Explorer.

Aujourd'hui, le site chargé de distribuer le spyware a été neutralisé, mais

l'affaire marque un précédent inquiétant....


Depuis le début de la semaine des pirates pénètrent les sites web

d'entreprises en vue, d'établissements bancaires et autres services

populaires.

Ils y installent un code malicieux chargé de télécharger un logiciel espion

sur le PC de leurs visiteurs si ceux-ci utilisent Internet Explorer.

Ce spyware programmé sur mesures est destiné à capturer les comptes et

les mots de passe saisis au clavier du PC infecté et les transmettre aux

pirates.

L'affaire est particulièrement sérieuse car l'attaque est méthodique,

discrète et surtout de grande envergure.

Ce ne sont plus seulement les visiteurs de sites au contenu illégal qui sont

concernés mais potentiellement n'importe quel utilisateur d'Internet

Explorer.

Impossible pour l'heure de connaître le nom des sites compromis, mais il

s'agirait de sites parfois en vue, très fréquentés et appartenant souvent à

de grandes entreprises, dont certains établissements bancaires.

Leur nombre serait, bien sûr, relativement faible compte tenu des

centaines de millions de sites que compte Internet, mais il s'agirait de

l'attaque la plus ambitieuse à ce jour.

Une attaque en deux étapes -

L'attaque a débuté aux environs du 20 juin par le piratage de nombreux

sites web utilisant le serveur IIS de Microsoft.

Les assaillants ont exploités pour cela une vulnérabilité probablement

encore inconnue, car plusieurs administrateurs victimes de l'intrusion

affirment que leur système était pourtant à jour de tous les correctifs.

La faille côté serveur est liée à un composant SSL, et celle d'Internet

Explorer à la gestion des flux ADODB, pour laquelle aucun correctif

n'existe à ce jour.

Cependant, le Service Pack 2 de Windows XP permettrait d'échapper à

l'attaque.

Une fois dans la place, les pirates y installent alors un code javascript

piégé et modifient la configuration du serveur afin que ce code malicieux

soit distribué avec chaque page web.

Ce bout de javascript est envoyé sous la forme d'un ajout automatique

(option enable document footer activée) par le serveur à chaque élément

(images, fichiers...).

Les fichiers eux-mêmes ne sont ainsi jamais modifiés sur le système.

Lorsqu'un utilisateur d'Internet Explorer visite ensuite le site, ce code

javascript est téléchargé sur son navigateur.

Il utilise alors la fameuse combinaison de deux failles récemment

exploitées pour infecter des internautes ainsi qu'une nouvelle que Microsoft

n'a pas encore corrigée.

Cela provoque le téléchargement et l'installation d'un cheval de Troie sur

le PC à partir d'un site situé en Russie.

Ce site pirate est aujourd'hui neutralisé et le cheval de Troie désormais

reconnu par la plupart des antivirus du marché.

Mais les sites infectés ne sont, pour la plupart, par encore nettoyés et

continuent à disséminer le code javascript malicieux.

Il suffirait alors de changer l'adresse IP du serveur où télécharger le

cheval de Troie pour réactiver l'attaque, ce qui est partiellement le cas

aujourd'hui, car l'on a observé un autre cheval de Troie être téléchargé

par le même code Javascript.


Cette attaque inquiète par son aspect méthodique et furtif.

En outre, on ne connaît pas encore la faille utilisée par les pirates pour

prendre le contrôle des serveurs web IIS, et les deux vulnérabilités

d'Internet Explorer ne sont toujours pas corrigées.

Autant de facteurs qui continuent à entretenir la méfiance des internautes

et la paranoïa des administrateurs systèmes.

Pour se protéger, les premiers peuvent mettre à jour leur antivirus ou

penser à changer de navigateur pour une alternative plus fiable et moins

exposée.

Les seconds quant à eux devraient compter sur leurs IDS (une signature

est disponible afin de détecter le javascript malicieux) ou vérifier

régulièrement que l'option enable document footer est bien décochée.

Par Jerome Saiz (Le 27 Juin 2004)

scott
Haut
Répondre

Revenir à « Le coin du PC »