Trojan Duqu : Quelques informations

Oye Oye… vos PC sont en danger, une avalanche de news concernant le malware Duqu fleurisse à droite et à gauche, dont certaine indique que le malware déboule en France.
Un billet pour contre balancer cela et relativiser les risques n’étant pas si forts que cela.

Après le Trojan Stuxnet, le Trojan Duqu

En Juin 2010, avait été découvert le malware Stuxnet… Ce dernier était inhabituel tant par sa conception que sa manière de passer inaperçu (une propagation assez limitée mais ciblée).
Le malware avait pour cible les installations nucléaires iraniennes et notamment les machines Siemens.
Le premier malware a visé politique qui a certainement été conçu par des Etats.
Du coup le malware avait fait pas mal parler de lui, vous avez un résumé sur la fiche Wikipedia : http://fr.wikipedia.org/wiki/Stuxnet

Depuis quelques semaines, le malware Duqu présenté comme une mise à jour de Stuxnet a fait son apparition.
La différence est que le malware est un keylogguer, c’est donc un Stealer.

L’aspect le plus interressant est la manière dont se propage le malware, ce dernier exploite une vulnérabilité inconnue (0-Day) sur le kernel Windows (CVE-2011-3402) et plus particulièrement sur le composant TrueType fonts de Win32k.
La méthode d’infection peux être via des documents Word, concrètement donc pour infecter des ordinateurs, le vecteur sera des emails avec une pièce jointe.

Or si l’on regarde par le passé, les campagnes de mails sont en général assez violentes, on reçoit plusieurs mails malicieux par jour, jusqu’ici avec Trojan.Duqu rien.
Ceci laisse à penser qu’on a encore a faire à des attaques ciblées et que les PC des internautes ne sont pas forcément la cible, bref, que le malware n’est pas forcément issu de la cybercriminalité « traditionnel » qui a des buts pécuniaires.

Trojan.Duqu n’a pas de systèmes de propagation par lui même (exploitations de vulnérabilités etc), comme par le passé avec le vers Conficker.

Du côté système, le malware se présente avec des drivers et des fichiers .inf : http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Mal~Duqu-A/detailed-analysis.aspx

 

Exemple de drivers droppés :

%SYSTEM%\drivers\jminet7.sys
%SYSTEM%\drivers\cmi4432.sys
%SYSTEM%\drivers\nfrd965.sys
%SYSTEM%\drivers\adpu321.sys
Exemple de fichier inf droppés :
%WINDOWS%\inf\*.pnf files, including "netp192.pnf" and "cmi4464.pnf".
Bref, rien d'extraordinaire.

Concernant la vulnérabilité CVE-2011-3402

Microsoft a publié un tool qui permet bloque les Fonts TrueType (TTFs) – ceci permet d’empêcher l’exploitation de la vulnérabilité 0-day mais peux empécher des applications utilisant les TrueType de fonctionner correctement, comme Office ou des navigateurs WEB.
Noter que sur la même page, Microsoft un autre outil pour désactiver ce blocage.

Il est donc pas forcément recommander de foncer installer ce tool selon l’utilisation que vous avez de votre PC et les risques encourus.

Le correctif arrivera par la suite, il ne devrait pas trop tarder.

Conclusion

Pas forcément, au vu des news assez présentes (les sites de news qui font les répétiteurs des blogs des antivirus qui communiquent beaucoup pour montrer qu’ils sont dans le coup – donc c’est surtout marketting).
Le malware n’ayant pas forcément, comme son prédécesseur, pour cible les internautes.
Le danger est surtout si l’exploitation de vulnérabilité est récupérée par la cybercriminalité habituelle qui va surement l’exploiter via des campagnes de mails malicieuses.

De manière générale, faire attention aux documents que vous ouvrez, même si ces derniers viennent de vos amis (l’adresse de l’expéditeur ne voulant rien dire), vous pouvez toujours soumettre le document sur VirusTotal : http://www.virustotal.com
et pour sécuriser son ordinateur : http://forum.malekal.com/securiser-son-ordinateur-version-courte-t381.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 3 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *