-
Ajouter aux favoris
Prédateur ou proie ? Le parasite sur le corps du parasite !
mardi 18 avril 2017
La concurrence entre les auteurs de virus a toujours été forte. L'idée de contaminer un internaute riche et insouciant est tellement attirante que dans ce contexte, il n’y a aucune aide mutuelle entre les cybercriminels.
Les programmes malveillants chargés de supprimer les malwares de concurrents ou qui corrigent des vulnérabilités afin d'empêcher les concurrents ne sont pas rares.
Après avoir reçu une commande des pirates, BackDoor.Ragebot.45 recherche dans le système d'autres chevaux de Troie afin de stopper leurs processus et de supprimer leurs fichiers exécutables.
http://news.drweb.fr/show/?i=11101
Trojan.Tofsee possède un module conçu pour rechercher et supprimer sur la machine infectée tous les Trojans détectés et autres malwares. Ce plug-in permet de rechercher des fichiers sur le disque, ainsi que les entrées dans le registre Windows, de lister les processus lancés et de supprimer les objets dangereux. Ainsi, même si l'ordinateur de la victime n'est pas protégé par un antivirus, le Trojan.Tofsee s'occupe de sa « sécurité » !
Cette «préoccupation» a des motifs tout à fait prosaïques : moins l'utilisateur remarque l'activité malveillante sur son ordinateur, plus le Trojan va fonctionner longtemps.
Des auteurs de virus ont utilisé un code tiers et ils forçaient ses auteurs à retirer leurs programmes des serveurs publics.
Le chercheur en sécurité Turc Utku Sen a créé et publié " dans un but scientifique et éducatif" deux ransomwares : Hidden Tear et EDA2.
Récemment, des pirates ont forcé Utku Sen à retirer le programme Hidden tear de GitHub. Peu de temps avant cela, le chercheur a retiré, de sa propre initiative, tous les fichiers liés à EDA2 d’un accès public. Cependant, tous ceux qui le souhaitaient ont pu télécharger le code source du Trojan. Actuellement, plus d’une vingtaine d'échantillons de logiciels malveillants sont écrits en utilisant ce code, car Utku Sen a mis en accès libre non seulement le code, mais également des instructions détaillées expliquant comment le personnaliser et il a également publié le panneau d'administration de ce programme malveillant.
https://securenews.ru/hidden_tear_3
https://securenews.ru/hidden_tear_eda2
Par ailleurs, il y a un point intéressant. I
Des entretiens entre Sen et les pirates exigeant qu’il retire ses fichiers ont été en partie organisés dans les forums sur le site Bleeping Computer, et en partie par correspondance. Initialement, Sen a refusé d'accepter les conditions des développeurs de Magic (dans les forums, ils écrivent en utilisant le pseudonyme jeanclaudevandan).
Les journalistes de Softpedia ont réussi à entrer en contact avec le chercheur et lui ont demandé d'expliquer sa position. Sen a raconté que tout est lié à des raisons politiques, Poutine, la détérioration des relations entre la Russie et la Turquie, et, bien sûr, ce n'est pas sans intervention des hackers russes.
"Après avoir vérifié leur code, j’ai trouvé de nombreuses déclarations liées à Poutine, écrites en russe. Je pense qu'ils font toutes ces mauvaises choses pour que je sois accusé, parce que je suis turc. Il semble que c'est la politique qui est la cause, ils l’écrivent eux-mêmes sur les forums de Bleeping Computer - a expliqué Sen. - Je les ai contactés. Ils affirment que le ransomware Magic a été conçu dans le seul but que je puisse évaluer leur poids dans la communauté. Ils ont exigé que je supprimé Hiidden Tear. Peut-être, le projet Hiddent Tear pouvait nuire à leurs affaires puisqu’eux aussi vendent des Encoders. Mais puisqu'ils ne m'ont pas expliqué les raisons, j'ai refusé. Parce que si j'accepte leurs demandes, ils auront besoin d'autre chose, car c'est la politique qui est derrière. Je ferai tout ce que je peux pour lutter contre leurs modifications [EDA2], parce qu'ils n'ont toujours pas trouvé mon backdoor".
Mais revenons à notre sujet. Que fait un pirate amateur lorsqu’il veut gagner de l'argent mais qu'il n'a pas de code source convenable (ayant un bon algorithme de chiffrement qui rend impossible le déchiffrement des fichiers cryptés) ? Il vole des produits concurrents !
Le Trojan.Encoder.10467, d’après la dénomination de Dr.Web, est une version piratée du ransomware largement connu sous le nom de Petya (un diminutif du prénom Piotr). Les auteurs du Trojan.Encoder.10467 ont pu contourner les mécanismes prévus dans le cheval de Troie d'origine, et ils ont également remplacé les clés de chiffrement. Ce qui est logique, sinon pour le déchiffrement, il faudrait contacter les auteurs de "Petya".
Est-ce que cela a aidé les attaquants ? L'analyse prouve que le Trojan.Encoder.10467 est détecté par les mécanismes heuristiques Dr.Web.
Le projet Lumières sur la sécurité recommande
Pour se protéger contre les clones, dans de nombreux cas, les mécanismes heuristiques peuvent suffire mais il n'est pas prudent de compter uniquement sur eux. Il faut sauvegarder périodiquement ses données à l'aide de la fonction " Protection contre la perte de données " au sein de Dr.Web Security Space, ainsi que limiter l'accès aux sites malveillants en utilisant le Contrôle Parental.
Et vous, avez-vous activé dans votre Dr.Web l'option « Protection contre la perte de données »?
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 4 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
Неуёмный Обыватель
03:40:22 2018-07-20
Bernard
15:32:43 2017-04-18
Je pense toujours que la dénomination "contrôle parental" est inappropriée et peut être sujet à confusion.
Un contrôle parental devrait se limiter à des fonctions restrictives pour les enfants .
Certaines fonctions actuelles intégrées dans le "contrôle parental" comme celle que vous relatez dans votre article s'intègre plutôt dans un contrôle de surveillance générale.