Journal Le Masque, un virus multi-plateforme de 2007

Posté par (page perso) . Licence CC by-sa
Tags :
8
14
fév.
2014

Kaspersky vient de découvrir un virus multiplate-forme opérant depuis 2007 sur Windows, Mac OS X, Linux, iOS et Android.

Voici une description sommaire en anglais de la découverte de « Caretto », de son nom originel.

Maintenant, ça serait bien si on pouvait connaître la faille Linux permettant à ce type de virus d'exister.

  • # Mauvais lien

    Posté par (page perso) . Évalué à 3.

    Le bon est ici.

    • [^] # Re: Mauvais lien

      Posté par (page perso) . Évalué à 2.

      Un modo peut corriger mon lien ? :)

    • [^] # Re: Mauvais lien

      Posté par (page perso) . Évalué à 4.

      Does Kaspersky Lab detect all variants of this malware?

      Yes. Our products detect and remove all known versions of the malware used by the attackers. Detection names:

      Trojan.Win32/Win64.Careto.*
      Trojan.OSX.Careto

      Pas d'antivirus Linux, pas de virus?

      ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

      • [^] # Re: Mauvais lien

        Posté par . Évalué à 7. Dernière modification le 14/02/14 à 14:02.

        Pas vraiment, ils n'ont pas trouvé de trace du malware sur un linux, mais une version semble exister d'après après analyse des serveurs C&C (les serveurs de contrôle du malware) qui n'avaient pas encore été wipés.

        cf l'article de kaspersky :
        Some of the exploit server paths contain modules that appear to have been designed to infect Linux computers, but we have not yet located the Linux backdoor.

        Idem pour les version iOS et Android (user agent pour ces OS dans les logs).

        • [^] # Re: Mauvais lien

          Posté par . Évalué à 10.

          Bonsoir,
          Et Kaspersky détaille le mode d'infection sur linux : un xpi au travers d'un firefox (qui serait lancé en root, en ayant désactivé l'option par défaut "avertir qu'un site souhaite installer une extension".

          Perso j'ai cliquer partout sur les dit-sites, j'ai insisté à fond, pas moyen de choper quoi que ce soit.

          Encore du FUD à destination des gens qui ne lisent pas les docs, mais qui ont le pouvoir de faire dépenser des milliers d'euros en antivirus pour linux, sans même avoir exigés de leur sysadmin la connaissance basique de pam.

          • [^] # Re: Mauvais lien

            Posté par . Évalué à 6.

            j'ai insisté à fond, pas moyen de choper quoi que ce soit.

            On sent bien la déception :)

            Perso le seul virus que je me suis chopé sous GNU/Linux c'est un .exe qui m'a pourri mon installation de wine. Assez facile à dégager du coup. Le pire c'est que je savais que ce binaire craignait (il s'agissait d'un programme sensé permettre de cracker un mot de passe de document MS-Office), que j'aurais pu du passer un coup de ClamAV dessus avant de le lancer, mais non, super-faignant en action j'ai fait YOLO :)

          • [^] # Re: Mauvais lien

            Posté par . Évalué à 3.

            Je suis du même avis, et justement je suis étonné que l'annonce fasse grand bruit quand cette grosse tentative d'arnaque n'en fait aucun (même sur les sites techniques). As-tu trouvé des articles sur le sujet ?

            • [^] # Re: Mauvais lien

              Posté par . Évalué à 3.

              Non car je n'ai pas cherché plus loin que le descriptif de Kaspersky (et des sites cités), qui semble relativement honnête en comparaison du fatra de fud des sites "d'informations".

  • # synthèse PCInpact

    Posté par (page perso) . Évalué à 7. Dernière modification le 14/02/14 à 14:07.

    Lisez donc cet article de synthèse de PC Inpact, avant de vous affoler comme ça
    http://www.pcinpact.com/news/85855-mask-campagne-piratage-plus-evoluee-a-ce-jour-selon-kaspersky.htm

    Ce n'est pas un virus aveugle. Mais une campagne de piratage, très orchestrée, qui a duré 5 ans et ne concernait que des ordinateurs précis (environ 400 postes de travail) répartis sur plusieurs pays.

    "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

    • [^] # Re: synthèse PCInpact

      Posté par . Évalué à 3.

      Tout à fait, c'est probablement une campagne orchestrée par un/des état(s), on se rapproche d'après les premières analyses d'un framework modulaire à tout faire comme on a pu le voir l'année dernière avec les flame etc

      J'ajouterai juste que le nombre d'infections que tu reprends est certainement très en dessous de la réalité : ce chiffre est obtenu via analyse des flux et des logs des C&C connus, or ils ne le sont pas tous.

  • # Fichiers ciblés

    Posté par . Évalué à 2.

    La liste des fichiers que l'attaque cible est d'après le lien la suivante :
    *.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,
    *.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,
    *.P7Z,*.PAB,*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,
    *.SSH,*.SXC,*.SXW,*.VSD,*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

    Ce qui est étonnant, c'est qu'il n'y a pas de .txt ni de .csv mais tous les formats de traitement de texte et de tableur + du microsoft visio (alors qu'ils ne visent pas les .svg). Ceci dit, la liste de Kaspersky n'est peut-être pas complète.

  • # facile

    Posté par . Évalué à 8.

    si on pouvait connaître la faille Linux permettant à ce type de virus d'exister.

    Hyper connu: interface chaise clavier.

    • [^] # Re: facile

      Posté par (page perso) . Évalué à 3.

      En même temps, un grand nombre de téléphones Android sont «rootable» en exploitant une faille kernel non ? Simplement parce que les noyaux sont rarement mis à jour.

      Ou bien je me fourvoie ?

      alf.life

      • [^] # Re: facile

        Posté par (page perso) . Évalué à 2. Dernière modification le 15/02/14 à 13:36.

        Non ce n'est pas comme ça.
        Normalement les portes d'entrées pour rooter un androphone sont volontaires bien que certains constructeurs commencent à y mettre fin apparemment.
        Cela est de mémoire plus lié au chargeur de démarrage que le noyau Linux derrière.

        EDIT : par contre pour les hacks type iPhone, consoles de jeux ou autres, c'est lié à des failles involontaires oui.

        • [^] # Re: facile

          Posté par . Évalué à 2.

          J'ai déjà vu des rootage par "élévation des privilèges", mais faille noyau ou android ou userspace, aucune idée.

          Maintenant le root ça se fait plutôt plus simplement en activant le mode développeur pour balancer ce qu'on veut dans la rom via adb.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.