Ni virus, ni ver, Scob exploite des failles pr\u00e9sentes \u00e0 la fois dans le serveur IIS et Internet Explorer pour se propager par le Web. Son objectif : d\u00e9rober des donn\u00e9es confidentielles.<\/p>\n
Scob (JS.Scob.Trojan ou Download.Ject) inaugure une nouvelle strat\u00e9gie infectieuse. Il ne s’agit pas d’un virus ou d’un ver – qui se propagent traditionnellement par envoi et r\u00e9ception de courrier \u00e9lectronique – mais d’un script qui infecte la machine de l’utilisateur lorsque celui-ci visite simplement un site Web avec le navigateur Internet Explorer (IE). <\/p>\n
Et pas n\u00e9cessairement un site dit \u00ab\u00a0underground\u00a0\u00bb, bien au contraire. Les auteurs du code malin s’en seraient pris \u00e0 des sites d’entreprises tr\u00e8s populaires ainsi qu’\u00e0 des \u00e9tablissements bancaires – pour l’heure, on ignore encore lesquels. Une fois l’ordinateur de l’utilisateur infect\u00e9, Scob enregistre les frappes au clavier, y compris et surtout les mots de passe et num\u00e9ro de cartes bancaires, avant de les envoyer vers un serveur situ\u00e9 en Russie. <\/p>\n
L’attaque a commenc\u00e9 autour du 20 juin 2004. Les pirates ont exploit\u00e9 une faille apparemment inconnue d’IIS 5.0, le logiciel serveur Web de Microsoft, pour copier un script en Javascript et modifier la configuration des serveurs afin que chaque page Web contienne le code malicieux. Microsoft reconna\u00eet que les serveurs auxquels le correctif 835732 n’a pas \u00e9t\u00e9 appliqu\u00e9 sont vuln\u00e9rables – ce que confirme la soci\u00e9t\u00e9 ind\u00e9pendante Internet Security Systems (ISS). Le script se diffuse en s’ins\u00e9rant automatiquement au fichier HTML sans modifier le contenu de la page en lui-m\u00eame. Il est donc tr\u00e8s difficile, si ce n’est impossible, de distinguer visuellement une page infect\u00e9e d’une autre saine. <\/p>\n
Une faille de s\u00e9curit\u00e9 encore inconnue <\/p>\n
Une fois la page affich\u00e9e sur le poste client, le code malicieux exploite deux failles connues et une autre encore inconnue et non corrig\u00e9e d’IE pour t\u00e9l\u00e9charger et installer un cheval de Troie. Lequel active le logiciel espion qui va enregistrer et envoyer codes secrets et autres donn\u00e9es confidentielles (notamment bancaires) aux auteurs de l’attaque ou leurs commanditaires. <\/p>\n
Selon Microsoft, le site qui h\u00e9bergeait ce Troyen a \u00e9t\u00e9 ferm\u00e9 le 24 juin 2004. De plus, l’\u00e9diteur affirme avoir fait fermer, en collaboration avec les fournisseurs d’acc\u00e8s partenaires, les sites infect\u00e9s. Selon la firme de Redmond, les utilisateurs n’ont plus rien \u00e0 craindre depuis le 24 juin 2004. Les derni\u00e8res mises \u00e0 jour des antivirus reconnaissent d\u00e9sormais ce cheval de Troie et le neutralisent. Microsoft n’en recommande pas moins de mettre \u00e0 jour son navigateur via le service Windows Update et de param\u00e9trer le niveau de s\u00e9curit\u00e9 de la zone Internet au plus haut (menu Outils puis Options et onglet S\u00e9curit\u00e9). L’\u00e9diteur souligne \u00e9galement que les quelques b\u00eata-testeurs et d\u00e9veloppeurs b\u00e9n\u00e9ficiant d\u00e9j\u00e0 du Windows XP SP2 Release Candidate 2 sont \u00e9pargn\u00e9s par l’attaque. Les experts en s\u00e9curit\u00e9 proposent plus simplement d’utiliser un autre navigateur, comme Mozilla.<\/strong> <\/p>\n Strat\u00e9gie innovante<\/strong> <\/p>\n Pour v\u00e9rifier si un PC a \u00e9t\u00e9 infect\u00e9, il suffit de lancer une recherche des fichiers suivants : Kk32.dll et Surf.dat.<\/strong> Si leur pr\u00e9sence se confirme, Microsoft conseille d’utiliser un outil de d\u00e9sinfection, propos\u00e9 gratuitement par la plupart des \u00e9diteurs d’antivirus, pour nettoyer le poste infect\u00e9. Si le site qui h\u00e9bergeait le Troyen a \u00e9t\u00e9 neutralis\u00e9, le danger ne dispara\u00eetra pas tant que les sites Web infect\u00e9s n’auront pas \u00e9t\u00e9 nettoy\u00e9s. Il suffirait en effet de changer, dans le script malicieux, l’adresse IP du serveur du cheval de Troie pour relancer l’attaque. <\/p>\n Cette strat\u00e9gie en deux temps innove \u00e0 bien des \u00e9gards et pourrait inaugurer une nouvelle g\u00e9n\u00e9ration d’attaques virales. D’abord, elle peut infecter les utilisateurs qui, en ne visitant que des sites recommandables et en prenant soin de ne pas ouvrir n’importe quelle pi\u00e8ce jointe \u00e0 un courriel, se croient de facto prot\u00e9g\u00e9s ou non concern\u00e9s par les virus. Ensuite, les auteurs ont su exploiter des failles informatiques apparemment inconnues \u00e0 ce jour. De quoi alimenter la parano\u00efa des internautes et responsables informatiques. Sans parler du d\u00e9ficit d’image pour les produits de Microsoft en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n [source – vnunet.fr] Christophe Lagane<\/p>\n","protected":false},"excerpt":{"rendered":" Ni virus, ni ver, Scob exploite des failles pr\u00e9sentes \u00e0 la fois dans le serveur IIS et Internet Explorer pour se propager par le Web. Son objectif : d\u00e9rober des donn\u00e9es confidentielles.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-3706","post","type-post","status-publish","format-standard","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/3706","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3706"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/3706\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3706"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3706"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3706"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}