Shylock : Un malware qui fait des ravages

Standard

cyber_rt

Depuis deux jours, une alliance internationale s’est formée afin de contrer Shylock.
Ce malware fait actuellement des ravages au niveau international, surtout au niveau bancaire. Cette alliance fait appel à Europol, le FBI, le NCA (Uk national crime agency) et les grands de l’industrie informatique que sont BAE systems, Dell Secureworks, Kaspersky Labs et le GCHQ. Chaque pays tente de renforcer au niveau légal cette action et de surveiller très étroitement les serveurs de domaines Internet car un vaste réseau cybercriminel utilise le troyen Shylock afin d’effectuer des attaques sur les systèmes bancaires au niveau International.

Les investigations sont menées à partir du centre opérationnel au Centre européen de la cybercriminalité (EC3) au sein d’Europol à La Haye. Les enquêteurs de l’ANC, le FBI, l’Italie, les Pays-Bas et la Turquie se sont réunis pour coordonner l’action dans leurs pays respectifs, de concert avec leurs homologues en Allemagne, en France et en Pologne.
La Coordination effectuée par Europol ces deux derniers jours a contribué à abattre les serveurs qui forment le noyau des botnets, les logiciels malveillants et les infrastructures Shylock. Le CERT-UE (Computer Emergency Response Team UE) a participé à l’information pour abattre les domaines malveillants à leurs pairs.

Comment le troyen Shylock fonctionne

Afin de comprendre pourquoi une telle lutte, nous vous proposons de comprendre le fonctionnement de ce malware :

Découvert en septembre 2011, il affecte les systèmes suivants : Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP.

Lorsque le troyen est téléchargé, il se copie lui-même dans un répertoire caché et il se renomme et se fait passer comme étant l’un des programmes suivants :

  • %UserProfile%\Application Data\Microsoft\Internet Explorer\wpnpinst.exe
  • %UserProfile%\Application Data\Microsoft\MMC\tsdiscon.exe

Le cheval de Troie rassemble ensuite les informations système de l’ordinateur et les stocke dans l’entrée de registre suivante, qui commence aussi le cheval de Troie au démarrage de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”[GATHERED SYSTEM INFORMATION IN UUID FORMAT]” = “[PATH TO THE TROJAN]”

Ensuite, il prend l’ensemble des informations système de l’ordinateur compromis et enregistre les informations de configuration dans l’un des domaines suivants :

  • brainsphere.cc
  • commonworldme.cc
  • extensadv.cc
  • gigacat.cc
  • nw-serv.cc
  • online-upd.at
  • somesystems.cc
  • stat-servise.cc
  • str-main.su
  • topbeat.cc
  • www-protection.su

Il effectue des requêtes vers les pages suivantes de commande :

  • first.php
  • ping.php

Le cheval de Troie utilise la fonctionnalité rootkit pour cacher sa présence sur l’ordinateur infecté. Il intercepte également le trafic réseau et tente d’ajouter un code malveillant dans le trafic du réseau, selon les données de configuration qu’il reçoit.

Avez-vous, sur votre réseau une solution de sécurité (appliance) pouvant détecter et contrer efficacement de type de fichier malveillant ? Plusieurs solutions de sécurité existent pour les entreprises(Kaspersky labs, Trend, Symantec…). Ces solutions protègent le réseau de ce type d’attaque généralement faite par mail vers vos utilisateurs. Grâce à ces nouvelles solutions de sécurité, les fichiers malveillants sont éliminés bien avant d’arriver sur vos serveurs de courrier électronique.

Comment se prémunir contre Shylock ?

Voici quelques bonnes pratiques qui vous permettront de mieux protéger votre réseau.

  1. Utilisez un pare-feu pour bloquer toutes les connexions entrantes provenant d’Internet à des services qui ne devraient pas être accessibles au public. Par défaut, vous devriez refuser toutes les connexions entrantes et seulement permettre aux services que vous souhaitez explicitement à offrir au monde extérieur.
  2. Appliquer une politique de mot de passe. Mots de passe complexes, il est difficile d’accéder aux fichiers de mots de passe sur les ordinateurs infectés. Cela permet d’éviter ou de limiter les dommages quand un ordinateur est compromis.
  3. S’assurer que les programmes et les utilisateurs de l’ordinateur utilisent le plus bas niveau de privilèges nécessaires pour effectuer une tâche. Lorsque vous êtes invité pour un mot de passe root ou UAC, s’assurer que le programme demandant l’accès au niveau de l’administration est une application légitime.
  4. Désactiver l’exécution automatique pour empêcher le lancement automatique de fichiers exécutables sur le réseau et les disques amovibles, et déconnecter les lecteurs lorsqu’il n’est pas nécessaire. Si l’accès en écriture n’est pas nécessaire, activer le mode lecture seule si l’option est disponible.
  5. Désactivez le partage de fichiers s’il n’est pas nécessaire. Si le partage de fichiers est nécessaire, utiliser les ACL et la protection par mot de passe pour limiter l’accès.
  6. Désactiver l’accès anonyme aux dossiers partagés. Accorder l’accès uniquement aux comptes d’utilisateurs avec des mots de passe à des dossiers qui doivent être partagées.
  7. Désactivez et supprimez les services inutiles. Par défaut, de nombreux systèmes d’exploitation installent des services auxiliaires qui ne sont pas critiques. Ces services sont des portes d’attaque. S’ils sont enlevés, les menaces ont moins de possibilités d’attaque.
  8. Si une menace exploite une ou plusieurs services réseau, désactivez ou bloquez l’accès à ces services jusqu’à ce qu’un correctif soit appliqué.
  9. Toujours garder les niveaux de patch mise à jour, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que HTTP,, courrier, services FTP et DNS.
  10. Configurez votre serveur de messagerie pour bloquer ou de supprimer l’email qui contient les pièces jointes qui sont couramment utilisés pour diffuser des menaces, telles que. Vbs,.bat, . Exe,. Pif et. Scr.
  11. Isoler rapidement les ordinateurs infectés afin de prévenir les menaces de se propager davantage. Effectuer une analyse des incidents et restaurez les ordinateurs à l’aide de supports approuvés.
  12. Former les employés de ne pas ouvrir les pièces jointes à moins qu’ils les attendent. Aussi, ne pas exécuter les logiciels téléchargés à partir d’Internet, sauf si elle a été l’absence de virus. Il suffit de visiter un site Internet infecté peut causer une infection si certaines vulnérabilités du navigateur n’ont pas été corrigées.
  13. Si le Bluetooth n’est pas nécessaire pour les appareils mobiles, il doit être éteint. Si vous avez besoin de son utilisation, s’assurer que la visibilité de l’appareil est réglé sur “Caché” de sorte qu’il ne peut être balayée par d’autres appareils Bluetooth. Si l’appairage de l’appareil doit être utilisé, s’assurer que tous les appareils sont réglés sur “non autorisée”, nécessitant une autorisation pour chaque demande de connexion. Ne pas accepter les demandes qui ne sont pas signés ou envoyé à partir de sources inconnues.
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s