exploit java et trojan banker LURK

[killer malware]

Hello ,

aujourd'hui coup de chance j'ai trouvé un article dans le Misc qui parle d'un malware immatériel.

Une étude de cas sur un exploit java avec un payload unique, l'article parle d'une bannière malicieuse qui redirige via une iframe sur un site malveillant contenant l'éxploit.

pourtant aucun fichier n'est dropper ou downloader avec cette exploit on a pas à faire au traditionnel rogue ou autres fichiers malveillant... celui la injecte une dll cryptée directement dans le processus java (javaw.exe) il ne fait pas de copie sur le disque de cette dll donc pas de trace.

s'en suis des requêtes faite sur google qui inclus des données: historique de navigation informations sur la configuration du pc de la victime etc...

le processus injecté par cette dll (javaw.exe) réside seulement en mémoire donc un simple redémarrage suffit à tuer le virus, mais on ne s'arrête pas là les informations récupérer via l'historique de navigation servent aux pirates à télécharger le cheval de troie bancaire Lurk si pour autant les sites que la victime visite sois intéressant banques etc... le serveur distant décide ou non de dropper le banker.

encore une fois on a faire à une vulnérabilité java (CVE-2011-3544 dans notre cas) qui est exploiter parce que la machine virtuelle java n'est pas mis à jour.

Quand je vois que certaines personnes (grandes majorités) tournent avec des version de java, flash, ou adobe reader obsolète depuis des annèes ça fait peur pour leur pc, mais bon si on s'intéresse pas à l'informatique un ptit peu c'est foutu on sera jamais qu'il faut mettre à jour ces programmes.

le projet antimalware de malekal devrait être distribué avec tous nouveau pc vendu avec mention "A LIRE ABSOLUMENT"

sur ce A+

p.s. pour ceux qui veulent avoir un apercu du banker lurk : http://www.threatexpert.com/report.aspx ... 52efbc9b71