Malekal's forum

Forum entraide informatique

Vers le contenu

Exploitation SWF/PDF et Java - système non à jour = danger

Question sur Windows, Prb Logiciels, Plantage.

Modérateur: Mods Windows

Sujet verrouillé

Exploitation SWF/PDF et Java - système non à jour = danger

Messagede Malekal_morte » 23 Aoû 2008 17:42

Une petite page pour signaler que depuis quelques mois, on constate de plus en plus l'exploitation de vulnérabilités sur des logiciels tiers (notamment plugins des navigateurs WEB) pour installer des infections sur le système via des exploits sur site WEB piégés.

SWF/PDF : Flash et PDF

Pour rappel :
  • PDF est un format de document lu par les logiciels Adobe Reader, Foxit PDF Reader etc... Sur cette page, nous parlerons d'une faille sur les versions 7 et 8 d'Adobe Reader qui permette l'infection sur le système.
  • SWF (ShockWave Flash), nous parlerons de failles sur le player Flash d'Adobe

Voici les connexions HTTP établies durant l'infection d'un PC :

1219502419.807 762 192.168.1.45 TCP_MISS/200 9387 GET hxxp://podra.cn/fi/index.php - DIRECT/195.93.219.201 text/html
1219502420.584 669 192.168.1.45 TCP_MISS/200 619 GET hxxp://165.194.30.123/qwerty/traf.php - DIRECT/165.194.30.123 text/html
1219502424.968 6595 192.168.1.45 TCP_MISS/302 397 GET hxxp://gazenvagen.com/img/index.php - DIRECT/202.75.38.130 text/html
1219502447.150 2043 192.168.1.45 TCP_MISS/200 4352 GET hxxp://myfrooogle.cn/z/index.php - DIRECT/58.65.234.81 text/html
1219502457.655 475 192.168.1.45 TCP_MISS/200 936 GET hxxp://podra.cn/fi/1.swf - DIRECT/195.93.219.201 application/x-shockwave-flash
1219502458.794 698 192.168.1.45 TCP_MISS/200 682 GET hxxp://p0rn-movies.com/123.php - DIRECT/85.255.120.194 text/html
1219502656.302 371 192.168.1.45 TCP_MISS/404 255 GET hxxp://podra.cn/spl/CLS - DIRECT/195.93.219.201 text/html
1219502675.171 413 192.168.1.45 TCP_MISS/200 515 GET hxxp://traffic-exchange.biz/in.cgi?8 - DIRECT/85.255.120.196 text/html
1219502675.763 477 192.168.1.45 TCP_MISS/302 734 GET hxxp://p0llo.com/protektor/in.cgi?dogm1 - DIRECT/66.232.114.139 text/html
1219502676.495 368 192.168.1.45 TCP_MISS/200 913 GET hxxp://aolpound.com/index2.html - DIRECT/66.232.120.56 text/html
1219502694.523 283 192.168.1.45 TCP_MISS/302 556 GET hxxp://rivatos.net/tds/in.cgi?default - DIRECT/206.51.230.245 text/html
1219502694.570 295 192.168.1.45 TCP_MISS/302 619 GET hxxp://rivatos.net/tds/in.cgi?3 - DIRECT/206.51.230.245 text/html
1219502694.677 752 192.168.1.45 TCP_MISS/200 1068 GET hxxp://myfrooogle.cn/z//1.swf - DIRECT/58.65.234.81 application/x-shockwave-flash
1219502695.284 41 192.168.1.45 TCP_HIT/301 621 GET hxxp://google.com/ - NONE/- text/html
1219502695.372 355 192.168.1.45 TCP_MISS/200 12013 GET hxxp://78.109.30.2/cgi-bin/index.cgi?016 - DIRECT/78.109.30.2 text/html
1219502695.895 279 192.168.1.45 TCP_MISS/302 550 GET hxxp://rivatos.net/tds/in.cgi?2 - DIRECT/206.51.230.245 text/html
1219502697.162 333 192.168.1.45 TCP_MISS/200 1058 GET hxxp://aolpound.com/zerg/index.php - DIRECT/66.232.120.56 text/html
1219502697.187 433 192.168.1.45 TCP_MISS/200 2567 GET hxxp://aolpound.com/z9QCkGo7/index.php - DIRECT/66.232.120.56 text/html
1219502697.456 643 192.168.1.45 TCP_MISS/200 11242 GET hxxp://aolpound.com/kerch/index.php - DIRECT/66.232.120.56 text/html
1219502697.681 931 192.168.1.45 TCP_MISS/200 277 GET hxxp://79.132.211.50/alex/index.php - DIRECT/79.132.211.50 text/html
1219502701.961 303 192.168.1.45 TCP_MISS/200 3627 GET hxxp://aolpound.com/z9QCkGo7/spl/pdf.pdf - DIRECT/66.232.120.56 application/pdf
1219502707.109 310 192.168.1.45 TCP_MISS/404 786 GET hxxp://trafficstream.cn/favicon.ico - DIRECT/69.41.186.21 text/html
1219502838.881 690 192.168.1.45 TCP_MISS/200 792 GET hxxp://trafficstream.cn/404.php - DIRECT/69.41.186.21 text/html
1219502839.340 388 192.168.1.45 TCP_MISS/200 792 GET hxxp://trafficstream.cn/404.php - DIRECT/69.41.186.21 text/html



J'ai mis en évidence 3 lignes. Ces trois lignes contiennent deux fichiers SWF et un fichier PDF.
Voici le scan du fichier SWF sur VirusTotal :
Fichier 1_1_._wf reçu le 2008.08.16 07:46:46 (CET)
Situation actuelle: terminé
Résultat: 15/36 (41.67%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.15.0 2008.08.15 Win-Trojan/Exploit-SWF.Gen
AntiVir 7.8.1.19 2008.08.15 EXP/Flash.Gen
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 SWF:CVE-2007-0071
AVG 8.0.0.161 2008.08.15 -
BitDefender 7.2 2008.08.16 Exploit.SWF.Gen
CAT-QuickHeal 9.50 2008.08.14 SWF.Exploit
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.15 Exploit.SWF.13
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.15 -
F-Prot 4.4.4.56 2008.08.16 -
F-Secure 7.60.13501.0 2008.08.16 Exploit.SWF.Agent.b
Fortinet 3.14.0.0 2008.08.16 -
GData 2.0.7306.1023 2008.08.16 SWF:CVE-2007-0071
Ikarus T3.1.1.34.0 2008.08.16 Virus.SWF.CVE.2007.0071
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 Exploit.SWF.Agent.b
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 Exploit:Win32/APSB08-11.gen!A
NOD32v2 3360 2008.08.15 SWF/Exploit.CVE-2007-0071
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.15 -
PCTools 4.4.2.0 2008.08.15 -
Prevx1 V2 2008.08.16 -
Rising 20.57.50.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 Exp/SWFScene-A
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 Bloodhound.Exploit.193
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.14.1337 2008.08.14 -
VirusBuster 4.5.11.0 2008.08.15 -
Webwasher-Gateway 6.6.2 2008.08.16 Exploit.Flash.Gen
Information additionnelle
File size: 607 bytes
MD5...: 9ef4c787c5fbb5ffd72f2797199d3a54


Se reporter à la page adobe : http://www.adobe.com/fr/support/securit ... 08-11.html
Concrètement c'est un exploit sur une faille Flash Player pour les versions 9.0.115.0 et antérieures, et 8.0.39.0 et antérieures.

Cette faille est très exploitée par bcp d'infections pour s'implanter. (vous trouverez un exemple concret d'infection sur cette page : http://www.bluetack.co.uk/forums/index. ... 64&st=120#).
Le site Reporters Sans Frontiéres hacké et infection utlisant ces SWF : http://www.zataz.com/alerte-virus/17584 ... iciel.html
et bien d'autres exemples.

Scan du fichier PDF :

Fichier pdf_1_.pdf reçu le 2008.08.22 18:30:35 (CET)
Situation actuelle: terminé
Résultat: 6/36 (16.67%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.22 HTML/Rce.Gen
Authentium 5.1.0.4 2008.08.22 -
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.22 -
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.22 -
DrWeb 4.44.0.09170 2008.08.22 Exploit.PDF.2
eSafe 7.0.17.0 2008.08.21 -
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.22 -
F-Prot 4.4.4.56 2008.08.21 -
F-Secure 7.60.13501.0 2008.08.22 -
Fortinet 3.14.0.0 2008.08.22 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.22 HTML.Rce
K7AntiVirus 7.10.423 2008.08.21 -
Kaspersky 7.0.0.125 2008.08.22 -
McAfee 5367 2008.08.21 -
Microsoft 1.3807 2008.08.22 TrojanDownloader:JS/Subsys.A
NOD32v2 3380 2008.08.22 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.22 -
PCTools 4.4.2.0 2008.08.22 -
Prevx1 V2 2008.08.22 -
Rising 20.58.42.00 2008.08.22 -
Sophos 4.32.0 2008.08.22 Troj/PDFJs-A
Sunbelt 3.1.1571.1 2008.08.22 -
Symantec 10 2008.08.22 -
TheHacker 6.3.0.6.058 2008.08.22 -
TrendMicro 8.700.0.1004 2008.08.22 -
VBA32 3.12.8.4 2008.08.22 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 -
Webwasher-Gateway 6.6.2 2008.08.22 Script.Rce.Gen
Information additionnelle
File size: 3267 bytes
MD5...: bccb814a5bcba72be31cdaf4e8805a7b
SHA1..: 888a9b230744482560c26f2b8eb16faa710aeff7


C'est un PDF contenant un script JS malicieux qui peux exploiter des failles Adobe Reader (CVE-2007-5659 : Adobe Reader versions 8.1.1 et antérieures ; Adobe Acrobat Professional, 3D et Standard versions 8.1.1 et antérieures.

Et ce n'est pas nouveau, voir d'autres scans : viewtopic.php?f=62&t=13215

Java
Dans le même style, vous avez des Class Java malicieux pour charger des malwares, exemple :

Code: Tout sélectionner
1219500526.059    836 192.168.1.45 TCP_MISS/200 37200 GET http://guidetosuccess.name/images/index.php - DIRECT/209.160.22.98 text/html
1219500529.930    277 192.168.1.45 TCP_MISS/404 759 GET http://guidetosuccess.name/favicon.ico - DIRECT/209.160.22.98 text/html
1219500531.313    343 192.168.1.45 TCP_MISS/200 7179 GET http://guidetosuccess.name/images/ff.jar - DIRECT/209.160.22.98 text/plain
1219500531.331    342 192.168.1.45 TCP_MISS/200 7176 GET http://guidetosuccess.name/images/ff2.jar - DIRECT/209.160.22.98 text/plain
1219500531.367    458 192.168.1.45 TCP_MISS/200 15073 GET http://guidetosuccess.name/images/lv.jar - DIRECT/209.160.22.98 text/plain
1219500531.402    346 192.168.1.45 TCP_MISS/200 7112 GET http://guidetosuccess.name/images/ff4.jar - DIRECT/209.160.22.98 text/plain
1219500531.414    380 192.168.1.45 TCP_MISS/200 7112 GET http://guidetosuccess.name/images/ff3.jar - DIRECT/209.160.22.98 text/plain
1219500531.429    349 192.168.1.45 TCP_MISS/200 7111 GET http://guidetosuccess.name/images/ff5.jar - DIRECT/209.160.22.98 text/plain
1219500531.465    130 192.168.1.45 TCP_MISS/200 7103 GET http://guidetosuccess.name/images/ff7.jar - DIRECT/209.160.22.98 text/plain
1219500531.473    129 192.168.1.45 TCP_MISS/200 7117 GET http://guidetosuccess.name/images/ff12.jar - DIRECT/209.160.22.98 text/plain
1219500531.533    427 192.168.1.45 TCP_MISS/200 7107 GET http://guidetosuccess.name/images/ff6.jar - DIRECT/209.160.22.98 text/plain
1219500531.558    387 192.168.1.45 TCP_MISS/200 7100 GET http://guidetosuccess.name/images/ff8.jar - DIRECT/209.160.22.98 text/plain
1219500531.574    370 192.168.1.45 TCP_MISS/200 7107 GET http://guidetosuccess.name/images/ff9.jar - DIRECT/209.160.22.98 text/plain
1219500531.582    117 192.168.1.45 TCP_MISS/200 7113 GET http://guidetosuccess.name/images/ff13.jar - DIRECT/209.160.22.98 text/plain
1219500531.594    121 192.168.1.45 TCP_MISS/200 7104 GET http://guidetosuccess.name/images/ff14.jar - DIRECT/209.160.22.98 text/plain
1219500532.134    828 192.168.1.45 TCP_MISS/200 7105 GET http://guidetosuccess.name/images/ff10.jar - DIRECT/209.160.22.98 text/plain
1219500532.316    225 192.168.1.45 TCP_MISS/200 7101 GET http://guidetosuccess.name/images/ff15.jar - DIRECT/209.160.22.98 text/plain
1219500532.529   1221 192.168.1.45 TCP_MISS/200 7121 GET http://guidetosuccess.name/images/ff11.jar - DIRECT/209.160.22.98 text/plain

1219500532.760    181 192.168.1.45 TCP_MISS/404 796 GET http://guidetosuccess.name/images/com/ms/security/SecurityClassLoader.class - DIRECT/209.160.22.98 text/html
1219500559.606    561 192.168.1.45 TCP_MISS/404 788 GET http://guidetosuccess.name/images/com/ms/lang/RegKeyException.class - DIRECT/209.160.22.98 text/html
1219500561.031    502 192.168.1.45 TCP_MISS/200 22908 GET http://guidetosuccess.name/images/loade.php?x=7& - DIRECT/209.160.22.98 application/octet-stream


L'applet Java se charge (on voit l'icône avec la tasse à café en bas à droite à côté de l'horloge).
Image

Le fichier malicieux conime.exe est chargé par Internet Explorer

Image

Code: Tout sélectionner
1219500593.534    698 192.168.1.45 TCP_MISS/200 51572 GET http://my-socks.info/lll.exe - DIRECT/209.160.22.98 application/octet-stream
1219500593.547    710 192.168.1.45 TCP_MISS/200 51572 GET http://my-socks.info/lll.exe - DIRECT/209.160.22.98 application/octet-stream
1219500600.228   1517 192.168.1.45 TCP_MISS/200 172406 GET http://de-my-page.info/img/scan_trCRY.exe - DIRECT/209.160.22.98 application/octet-stream
1219500600.247    986 192.168.1.45 TCP_MISS/200 172406 GET http://de-my-page.info/img/scan_trCRY.exe - DIRECT/209.160.22.98 application/octet-stream
1219500603.515    576 192.168.1.45 TCP_MISS/200 34682 GET http://my-socks.info/cfg.bin - DIRECT/209.160.22.98 application/octet-stream


Fichier ff.jar reçu le 2008.08.23 14:09:44 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/36 (5.56%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.23 JAVA/ClassLoader.GG
Authentium 5.1.0.4 2008.08.23 -
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.23 -
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.23 -
DrWeb 4.44.0.09170 2008.08.23 -
eSafe 7.0.17.0 2008.08.21 -
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.23 -
F-Prot 4.4.4.56 2008.08.23 -
F-Secure 7.60.13501.0 2008.08.23 -
Fortinet 3.14.0.0 2008.08.23 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.23 -
K7AntiVirus 7.10.425 2008.08.22 -
Kaspersky 7.0.0.125 2008.08.23 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.23 -
NOD32v2 3381 2008.08.22 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.23 -
PCTools 4.4.2.0 2008.08.22 -
Prevx1 V2 2008.08.23 -
Rising 20.58.52.00 2008.08.23 -
Sophos 4.32.0 2008.08.23 -
Sunbelt 3.1.1571.1 2008.08.23 -
Symantec 10 2008.08.23 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.22 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 -
Webwasher-Gateway 6.6.2 2008.08.23 Java.ClassLoader.GG
Information additionnelle
File size: 6804 bytes
MD5...: 429bfad58d2616dc191b901d44a9d715
SHA1..: 98654f7402104a6f9423cc506f6dacb8f635ee04


Trojan.FraudLoad, histoire de coller un petit rogue comme vous les aimez bien.

Fichier 76206_5073983_scan_trCRY.exe reçu le 2008.08.23 14:11:11 (CET)
Situation actuelle: terminé
Résultat: 8/36 (22.22%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.23 -
Authentium 5.1.0.4 2008.08.23 -
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.23 Trojan.FakeAlert.Gen.1
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.23 -
DrWeb 4.44.0.09170 2008.08.23 -
eSafe 7.0.17.0 2008.08.21 Suspicious File
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.23 -
F-Prot 4.4.4.56 2008.08.23 -
F-Secure 7.60.13501.0 2008.08.23 -
Fortinet 3.14.0.0 2008.08.23 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.23 Generic.Win32.Malware.XPAntiVirus
K7AntiVirus 7.10.425 2008.08.22 -
Kaspersky 7.0.0.125 2008.08.23 Heur.Trojan.Generic
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.23 Program:Win32/XPAntiVirus
NOD32v2 3381 2008.08.22 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.23 Suspicious file
PCTools 4.4.2.0 2008.08.22 -
Prevx1 V2 2008.08.23 Malicious Software
Rising 20.58.52.00 2008.08.23 -
Sophos 4.32.0 2008.08.23 Mal/EncPk-CZ
Sunbelt 3.1.1571.1 2008.08.23 -
Symantec 10 2008.08.23 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.22 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 -
Webwasher-Gateway 6.6.2 2008.08.23 -
Information additionnelle
File size: 172032 bytes
MD5...: 25a101e02a1c2caac18a22246827f819
SHA1..: 9cab794d05926b5d265612eb3a09d630baa6f801


Hop un petit Trojan.Zbot tout frais histoire de vous voler des informations confidentielles.

Fichier lll.exe reçu le 2008.08.23 14:08:57 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/36 (2.78%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.23 -
Authentium 5.1.0.4 2008.08.23 -
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.23 Trojan.Spy.ZBot.JR
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.23 -
DrWeb 4.44.0.09170 2008.08.23 -
eSafe 7.0.17.0 2008.08.21 -
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.23 -
F-Prot 4.4.4.56 2008.08.23 -
F-Secure 7.60.13501.0 2008.08.23 -
Fortinet 3.14.0.0 2008.08.23 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.23 -
K7AntiVirus 7.10.425 2008.08.22 -
Kaspersky 7.0.0.125 2008.08.23 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.23 -
NOD32v2 3381 2008.08.22 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.23 -
PCTools 4.4.2.0 2008.08.22 -
Prevx1 V2 2008.08.23 -
Rising 20.58.52.00 2008.08.23 -
Sophos 4.32.0 2008.08.23 -
Sunbelt 3.1.1571.1 2008.08.23 -
Symantec 10 2008.08.23 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.22 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 -
Webwasher-Gateway 6.6.2 2008.08.23 -
Information additionnelle
File size: 51200 bytes
MD5...: d47059dd4e36c7c11bcc1fc973b75b5d
SHA1..: b963a20d6f993928a0e8017ecb798ac345bb701f


Il existe aussi des exploit Java pour ceux qui n'aurait pas une version de JAVA à jour.

Conclusion

Depuis quelques mois, on constate l'exploitation de logiciels tiers pour installer des infections sur le système. La raison peut-être que les failles des navigateurs sont de plus en plus rares, les auteurs de malwares tentent alors de s'appuyer sur des failles sur applications tiers qui sont rarement maintenues à jour.
Sont principalement visés Java, Flash et Adobe Reader mais on peux aussi voir des exploits pour QuickTime et Winzip.

Encore une fois et on le répètera jamais assez, vous devez maintenir à jour toutes les composants et logiciels de votre système, si vous voulez être protégé des infections.
Pour aller plus loin, vous pouvez lire la page Le danger des failles de sécurité.

Ce n'est pas parce que vous n'utilisez pas ces programmes que vous êtes hors de danger. Le simple faite d'avoir ces programmes installés et non à jour rend votre système vulnérable, donc :
- Maintenez les à jour.
- Si vous ne les utilisez pas, désinstallez les.

Logiciels pour maintenir ses programmes à jour
Maintenir Windows à jour avec Windows Updates
Effectuez un scan de vulnérabilités
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 46516
Inscription: 10 Sep 2005 13:57
Haut

Re: Infections : exploitation SWF/PDF et Java

Messagede Malekal_morte » 24 Aoû 2008 18:42

Une page intitulée "Un curieux PDF" avec les détails complets de tentatives d'infections : http://cert.lexsi.com/weblog/index.php/ ... alveillant

(Thank Gof).
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 46516
Inscription: 10 Sep 2005 13:57
Haut

Re: Infections : exploitation SWF/PDF et Java

Messagede Malekal_morte » 18 Oct 2008 12:15

Plus haut vous avez la détection sur VirusTotal d'un PDF en août.
La détection "classique" d'un PDF environ ~8 à ~10 sur VirusTotal en Octobre.

Fichier pdf.php_id_221738 reçu le 2008.10.18 11:55:02 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/36 (22.23%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.17 -
AntiVir 7.9.0.5 2008.10.17 JS/Dldr.Small.CR.2
Authentium 5.1.0.4 2008.10.18 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.17 -
BitDefender 7.2 2008.10.18 Trojan.JS.Downloader.BGI
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.18 -
DrWeb 4.44.0.09170 2008.10.18 -
eSafe 7.0.17.0 2008.10.16 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.18 -
F-Prot 4.4.4.56 2008.10.17 -
F-Secure 8.0.14332.0 2008.10.18 -
Fortinet 3.113.0.0 2008.10.17 -
GData 19 2008.10.18 Trojan.JS.Downloader.BGI
Ikarus T3.1.1.44.0 2008.10.18 JS.Downloader.Psyme.GX.3
K7AntiVirus 7.10.498 2008.10.17 -
Kaspersky 7.0.0.125 2008.10.18 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.18 Exploit:Win32/Pdfjsc.G
NOD32 3534 2008.10.18 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.17 -
PCTools 4.4.2.0 2008.10.17 -
Prevx1 V2 2008.10.18 -
Rising 20.66.52.00 2008.10.18 -
SecureWeb-Gateway 6.7.6 2008.10.18 Script.Dldr.Small.CR.2
Sophos 4.34.0 2008.10.18 Mal/JSShell-B
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.18 Bloodhound.Exploit.196
TheHacker 6.3.1.0.118 2008.10.17 -
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.17 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.17 -
Information additionnelle
File size: 2818 bytes
MD5...: f9f792c991304a2472f91f5b2f91a09e
SHA1..: 8f3515ea5f25ffd722399ce2150f30e38b6ca7f4
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 46516
Inscription: 10 Sep 2005 13:57
Haut

Re: Infections : exploitation SWF/PDF et Java

Messagede Malekal_morte » 18 Oct 2008 17:10

Exemple en pratique d'un internaute infecté dans la partie Virus : viewtopic.php?f=3&t=14656&p=113152#p113152
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 46516
Inscription: 10 Sep 2005 13:57
Haut

Re: Infections : exploitation SWF/PDF et Java

Messagede Malekal_morte » 02 Nov 2008 11:26

Voici une page qui démontre que tous les navigateurs WEB sont au même niveau devant l'exploitation PDF (et pas que PDF d'ailleurs...).

Exploitation de failles Acrobat Reader

Voici quelques visites de pages contenant des PDF malicieux, ces visites ont été faites avec une version vulnérable d'Acrobat Reader (version 7).

URL 1

On commence avec la visite d'un PDF malicieux avec Internet Explorer 7, IE lance Acrobat Reader (AcroRd32.exe) pour lire le PDF.

Image

Acrobat Reader souhaite ensuite se connecter à une adresse (195.242.161.100) afin de télécharger le code malicieux...

Image

Le code malicieux est téléchargé et Acrobat Reader tente de l'exécuter sous le nom de fichier ~.exe
Si le fichier est exécute ce dernier installe l'infection sur le système.

Image

La même adresse contenant le même PDF malicieux mais cette fois-ci avec Firefox 3.
Firefox démarre aussi Acrobat Reader (AcroRd32.exe) tout comme IE 7 l'a fait, ceci afin de lire le PDF.

Image

A son tour, Acrobat Reader exécute le code malicieux téléchargé toujours sous le nom de fichier ~.exe

Image

URL 2

Une seconde URL contenant un PDF malicieux..
Une nouvelle fois, IE 7 démarre AcroRd32.exe afin de lire le PDF malicieux

Image

Acrobat Reader tente de se connecter à une adresse afin de télécharger le code malicieux.

Image

Si le téléchargement réussi, un fichier wJQs.exe est alors exécuté.. l'infection s'installe...

Image

La même adresse, cette fois-ci avec Firefox 3..
Ce dernier lance AcroRd32.exe toujours pour lire le PDF malicieux.

Image

AcroRd32.exe démarré par Firefox 3 tente de télécharger le code malicieux afin d'installer l'infection sur le système.
Image

Si le téléchargement réussi, AcroRd32.exe ente de démarrer le fichier ~.exe installant l'infection sur le système.

Image

URL 3

Dernière adresse, vous allez voir, c'est encore le même mécanisme.
IE 7 lance encore une fois AcroRd32.exe
Image

Ce dernier se connecte à une adresse afin de télécharger du code malicieux...
Image

sous la forme du fichier wJQs.exe...
Image

Même chose avec Firefox 3, ce dernier lance croRd32.exe qui télécharge le code malicieux sous le nom
Image

Image

Image

Mise à jour d'Acrobat Reader

On met à jour Acrobat Reader de la version 7 à la 9...
L'adresse de mise à jour d'Adobe Reader est : http://www.adobe.com/fr/products/acrobat/readstep2.html

Image

puis on ouvre deux URL précédentes contenant des PDF malicieux...

Image

Image

Ces derniers s'ouvrent sur le navigateur et rien ne se passe...

Conclusion

La conclusion est simple, le problème ne se situe pas au niveau des navigateurs WEB mais au niveau d'Adobe Reader puisque l'exploitation se fait sur ce programme.
Le discours que l'on voit souvent sur les forums "utilise Firefox, c'est plus sécurisé qu'Internet Explorer" est donc à jeter à la poubelle (sauf dans le cas d'Internet Explorer 6, voir IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ?.

On aurait pu faire la même démonstration avec Java et Flash (bien que pour Flash c'est un peu plus compliqué).
Encore une fois, vous devez mettre à jour votre système dans son ensemble : Windows et vos logiciels en prétant une attention particulière aux plugins des navigateurs WEB : Adobe Reader, Flash Player, Java et Quicktime.

Depuis Août, l'exploitation PDF sur les sites WEB malicieux est systématique, si votre version d'Adobe possède une faille, vous êtes vulnérable
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 46516
Inscription: 10 Sep 2005 13:57
Haut

Re: Exploitation SWF/PDF et Java - système non à jour = danger

Messagede Malekal_morte » 01 Jan 2009 18:42

Trois posts ont été créé dans la partie L'Actualité Informatique : L'Actualité de la Sécurité (News etc..) qui informe des vulnérabilités sur Adobe Reader, Adobe Flash et Java de Sun.

Pour maintenir Java, Adobe Reader ou Flash à jour, se reporter à la page : Maintenir Java, Adobe Reader et le player Flash à jour

Encore une fois, il existe des programmes qui vous aide à maintenir vos logiciels à jour (et donc non vulnérables), voir le sujet Logiciels pour maintenir ses programmes à jour

Pour renforcer la sécurité de votre PC concernant les éventuelles vulnérabilités sur Acrobat Reader, vous pouvez désactiver le JavaScript pour cela :
  • Ouvrez Acrobat Reader
  • Cliquez sur le menu Edition puis Préférences
  • Cliquez sur JavaScript
  • Décochez Activer Adobe JavaScript
Image

Vous pouvez aussi désactiver l'ouverture des PDF directement dans le navigateur dans le cas d'Internet Explorer, se reporter à la page : Sécuriser Internet Explorer : Adobe Reader

Autre stratégie pour renforcer la sécurité de votre PC et réduire les chances d'infection :
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 46516
Inscription: 10 Sep 2005 13:57
Haut
Sujet verrouillé

Retourner vers Windows Général

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

Partenaires du site : Geekeden - OxygenePC.com - Les partenaires du site
Hadopi vous surveille McAfee you Suck Securiser votre ordinateur contre les menaces