Un malware Java se fait passer pour un plugin de YouTube™

publié par , le 28 février 2011

Une fausse page YouTube et Stuxnet utilisent le même exploit, CVE-2010-3338, pour diffuser des malwares.

Les sites de partage de vidéos sont ce qu’il y a de mieux pour les personnes cherchant à se divertir, mais ils sont également très appréciés des cybercriminels.  Les choses peuvent vraiment mal tourner si votre site de partage de vidéos s’avère être un clone conçu pour vous demander avec insistance d’installer une application ou un codec supplémentaire. L’arnaque que nous présentons aujourd’hui consiste en une page YouTube « spoofée », une copie plutôt minutieuse de l’original, et qui réserve de bien vilaines surprises.

Une fois la victime sur la « fausse » page, un applet Java non signé apparaît et demande à l’utilisateur de l’exécuter pour voir la vidéo. Il s’agit d’une ruse, ne vous faites pas avoir. La dernière fois que nous avons vérifié cela, la plupart des sites de partage de vidéos requéraient un plugin Adobe® Flash® pour lire les vidéos, et non Java.

Fig.1. Le piège : un applet Java qui s’avère être le malware « Trojan.Downloader.Java.C »

Si l’utilisateur clique sur le bouton « Exécuter », un code malveillant (identifié par BitDefender sous le nom de«  Trojan.Generic.KDV.128306 ») est immédiatement téléchargé sur le système de la victime et copié dans le dossier temporaire sous le nom de « services.exe » pour permettre un accès à Internet. 

Trojan.Generic.KDV.128306 entre immédiatement en communication avec son Centre de commande et de contrôle en se connectant à un canal IRC sous un pseudonyme respectant la structure suivante : [%Langage%][%Système d’exploitation%]%nrAléatoire%, avec le nom d’utilisateur Virus et le « véritable nom » : My_Name_iS_PIG_and_Iam_A_GaY%randomNumber%.

Le cheval de Troie se connecte ensuite au canal avec la commande JOIN: ##Turb0-XXX##, où un botmaster lui indique les actions à appliquer sur le PC infecté. Ces instructions lui demandent de télécharger certains fichiers, de les enregistrer sous différents noms et, bien sûr, de les exécuter.

Les fichiers que le cheval de Troie installe sur l’ordinateur compromis ont diverses « capacités » malveillantes :

·         micro1.exe peut envoyer des messages  via le chat de Facebook® lorsque l’utilisateur est connecté au réseau social, mais est également capable d’enregistrer des conversations sur des clients de messagerie instantanée tels que  Pidgin, MSN®, Yahoo® et ICQ®.

·         fsaf24.exe dispose d’une fonctionnalité DDoS ; il contient également du code permettant au malware de se diffuser via des clés USB.

·         afasfa4.exe est capable de détourner les résultats de recherches sur effectuées sur Google™ et Bing™ avec des navigateurs tels que Firefox®, Internet Explorer®, et Chrome®.

Notons que ce cheval de Troie utilise la vulnérabilité du Planificateur de tâches connue sous le nom de « CVE-2010-3338 ». C’est l’un des moyens employés par le ver Stuxnet pour effectuer une élévation de privilèges et exécuter son code en tant qu’administrateur sur les systèmes protégés par le Contrôle de comptes d’utilisateur.