La revue hebdomadaire BitDefender - Vous souvenez-vous de Sina.DLoader ?

Bien qu 'un patch soit disponible depuis le 14 novembre 2007,
les pirates continuent d 'exploiter ces failles pour diffuser des malwares à
l'insu des utilisateurs.

 

Trojan.Buzus.CV

Une fois exécuté, le
cheval de Troie lance un nouveau processus ayant le même nom que son nom de
fichier. Il injecte du code exécutable dans la mémoire du processus puis le
place dans un fichier système nommé netmon.exe. Il crée des clés de registre
pour s'assurer que le fichier exécutable sera lancé à chaque démarrage du
système.

 

Le
fichier injecté, ” netmon.exe ” laisse un pilote dans %system%\drivers\sysdrv32.sys
et l'enregistre en tant que service.

 

Afin de se diffuser, il
crée une copie de lui-même sur chaque support amovible détecté et utilise un
fichier  autorun.inf pour les exécuter.

 

Pour se protéger, il est caché en mode utilisateur.

 

Exploit.Baofeng.A

Baofeng Storm Player est
un lecteur multimédia chinois populaire. Il est empaqueté avec un contrôle
ActiveX utilisé pour la lecture multimédia sur Internet. Cependant, certaines
de ses versions sont vulnérables à de multiples failles de dépassement de
mémoire tampon qui permettent aux pirates d'exécuter du code arbitraire sur les
systèmes affectés.

 

Les
méthodes ” advancedOpen() “, ” isDVDPath() ” et
” rawParse() ” ainsi que les propriétés ”  backImage “,
”  titleImage ” et ”  URL ” se trouvant dans ” 
sparser.dll ” et ” mps.dll ” ne parviennent pas à valider les
entrées utilisateur et permettent au pirate de prendre le contrôle du système
dans le contexte de sécurité du processus en cours d'exécution. Les versions
vulnérables sont celles antérieures à la version 2.08.

Actuellement, seule la méthode ” rawParse() ” a été vue en
circulation exploitant les vulnérabilités présentées ci-dessus. Des sites
Internet spécialement conçus à cet effet utilisent ces méthodes pour diffuser d'autres
malwares. L'exploit télécharge des fichiers exécutables à partir d'URL comme
http://[removed]de.com/bf.css et http://[removed]p.cn:6135/qwer/bf.css, les
enregistre dans le dossier system32 sous le nom ” a.exe ” et les
exécute avec les privilèges du navigateur.

 

BitDefender recommande
de mettre à jour le lecteur dès que possible puisque la dernière version a corrigé
ces vulnérabilités.

 

Article réalisé gr?ce à l'aimable contribution de Marius
Barat et Balazs Biro, spécialistes BitDefender des virus informatiques