[INFO] Rombertik, malware

Venez ici partager vos infos et nouvelles informatiques !
Répondre
Avatar du membre
Auteur du sujet
qwerty75
Grand Habitué
Grand Habitué
Messages : 1000
Enregistré le : il y a 11 ans

[INFO] Rombertik, malware

Message par qwerty75 »

Après Cryptowall qui a fait fumer les claviers du forum, voici Rombertik qui ajoute une touche d'originalité au monde merveilleux de la cybercriminalité... :$


Image

Rombertik, le malware qui veut tuer votre PC
[/b]
Un groupe de chercheurs en sécurité travaillant pour l'américain Cisco ont mis la main sur un malware particulièrement virulent, baptisé Rombertik. En plus d'espionner la machine sur laquelle il est installé, ce dernier peut savoir s'il est repéré et s'attaquer au disque dur de sorte à rendre le système inutilisable.

Au départ, rien ne distingue Rombertik d'autres malwares plus communs. Il se faufile à travers les boîtes mail, les armes traditionnelles que sont spam et phishing étant inévitablement les vecteurs de propagation privilégiés. Mais une fois la pièce jointe ouverte par l'utilisateur (qui peut prendre la forme d'un fichier PDF, ou d'un fichier compressé), c'est le drame.

Car ce malware redoutable dispose de plusieurs cordes à son arc. Naturellement, il va tenter de récupérer des données sensibles en surveillant ce que vous saisissez au clavier, puis envoyer ces informations aux auteurs de ce code malicieux. Mais là n'est pas la particularité de ce programme.

Une fois installé, vos données et votre système sont perdus.

Ce dernier se distingue plutôt par sa capacité à se protéger et par la politique de la terre brûlée qui est la sienne. Après que le code est exécuté, le malware va commencer par vérifier s'il fonctionne à l'intérieur d'une sandbox, sorte de système virtuel prévu pour éviter la propagation.

Lorsque ce contrôle de routine est effectué, il va se déployer et vérifier qu'il ne fait pas l'objet d'une analyse mémoire. Si tel est le cas, il s'attaque au MBR du support de stockage de la machine, de sorte à rendre le système inopérant. S'il n'y parvient pas, il va s'atteler à chiffrer les fichiers de l'utilisateur, puis redémarrer la machine, qui ne parviendra jamais à afficher de nouveau Windows. Pourquoi ? Parce que Rombertik aura pris soin d'exécuter un code avant le lancement du système d'exploitation de sorte à créer une boucle infinie.
Image
Si le malware échappe à l'analyse mémoire, le PC évite ces dommages. Mais ces derniers arriveront tout de même dès lors qu'un antivirus aura entrepris un scan de la machine. Scan qui sera par ailleurs ralenti par la quantité faramineuse d'information que produira Rombertik. Ce malware est créé pour tromper les moteurs d'analyse, puisqu'il est composé en grande partie de code inutile et de données factices.

Finalement, Rombertik est conçu pour leurrer les antivirus et gagner suffisamment de temps pour récolter un maximum de données. Une fois compromis, il ne laisse rien sur son passage.

Un MBR se récupère, et une sauvegarde de vos données pourra vous permettre de rétablir votre système comme il était avant l'arrivée de ce monstre. Mais le plus simple est probablement d'éviter de cliquer sur une pièce jointe placée dans un email dont vous ne connaissez pas l'expéditeur.
Image
Avatar du membre
ThiWeb
Administrateur
Administrateur
Messages : 9021
Enregistré le : il y a 11 ans
Localisation : On earth
Contact :

Message par ThiWeb »

Et le but commercial dans tout ça ? Je suis un peu perdu concernant l'utilité de ce virus...

ThiWeb
Avatar du membre
Auteur du sujet
qwerty75
Grand Habitué
Grand Habitué
Messages : 1000
Enregistré le : il y a 11 ans

Message par qwerty75 »

Salut ! Entre autres :
nextinpact a écrit :Un voleur véhiculé par une campagne de fishing classique

Les malwares ont leurs grandes phases. Il y a 20 ans, beaucoup de virus avaient surtout pour objectif d’empoisonner la vie des utilisateurs en détruisant leurs données. Avec l’explosion d’Internet, de nombreux pirates ont découvert qu’il y avait bien mieux à faire : voler des informations et les transmettre. Aussi, plus un malware pouvait rester caché sur une machine, plus longtemps il pouvait accomplir sa mission d’espionnage.

Rombertik fait partie des voleurs d’informations.
Source

NB : par "transmettre", lire "vendre"
Avatar du membre
ThiWeb
Administrateur
Administrateur
Messages : 9021
Enregistré le : il y a 11 ans
Localisation : On earth
Contact :

Message par ThiWeb »

Mouai... Donc ça vole tes infos...
Mais si ça me tombe dessus, le voleur ne pourra rien voler d'intéressant...

Mes fichiers n'ont pas d'importance et concernant mes mots de passe, ils sont tous générés spécifiquement pour tel et tel programmes.
J'ai deux comptes mails sur Outlook dans lesquels le mot de passe peut être extrait.
Mais manque de bol, le mot de passe de mon compte Pro (Outlook.com) ne correspond pas à mon VRAI mot de passe, car il a été généré spécifiquement.
Même chose pour mon compte secondaire (Gmail).

Donc, même si un spyware rentrait dans mon système, il ne pourrait extraire que des mots de passe qui ne correspondent à rien en fait...
Bref, en prenant toutes les dispositions nécessaires, je suis très tranquille face à ce genre de saloperies.

ThiWeb
Avatar du membre
Auteur du sujet
qwerty75
Grand Habitué
Grand Habitué
Messages : 1000
Enregistré le : il y a 11 ans

Message par qwerty75 »

On n'est jamais trop prudent. Mais si on n'a rien, on ne perd rien. Sauf le temps perdu à rafistoler l'OS.
Comme pour une fille à poil dont on ne peut rien voler si ce n'est son pucelage (si ça existe encore).
N'ayant que des broutilles remplaçables, je suis également serein de ce côté là.
Ma seule crainte serait qu'un jour un hacker me vole carrément l'ordi alors que je bosse dessus....
Image
Avatar du membre
Joselito
VIP
VIP
Messages : 1170
Enregistré le : il y a 7 ans

Message par Joselito »

ThiWeb a écrit :J'ai deux comptes mails sur Outlook dans lesquels le mot de passe peut être extrait.
Mais manque de bol, le mot de passe de mon compte Pro (Outlook.com) ne correspond pas à mon VRAI mot de passe, car il a été généré spécifiquement.
Même chose pour mon compte secondaire (Gmail).
Donc, même si un spyware rentrait dans mon système, il ne pourrait extraire que des mots de passe qui ne correspondent à rien en fait...
ThiWeb
J'ai rien compris, tu pourrais développer un peu . :|
Avatar du membre
ThiWeb
Administrateur
Administrateur
Messages : 9021
Enregistré le : il y a 11 ans
Localisation : On earth
Contact :

Message par ThiWeb »

Bah les mots de passe des mes mails dans Outlook ne correspondent pas à mes VRAIS mot de passe.
Pourquoi ? Car dans mes comptes respectifs, j'ai demandé à générer un mot de passe d'application, qui ne servira que pour l'application que j'utilise.

Exemple :
Mon mot de passe Gmail est "123456789"
Je vais sur Gmail, je lui demande de générer un mot de passe spécifique pour une application (Outlook).
Gmail va me donner un mot de passe qui sera autorisé uniquement pour Outlook, et ce mot de passe est "eb35ghy99t23".

Donc, si on extrait le mot de passe de mon Outlook, on va trouver "eb35ghy99t23".
Manque de bol, ce mot de passe ne servira à rien car il ne permettra d'accéder à rien, car il n'a été généré QUE pour l'Outlook de mon ordinateur.
Donc, le pirate ou le voleur l'a dans l'os !

Même chose pour mon compte Microsoft, le mot de passe dans mon Outlook ne correspond pas à mon vrai mot de passe.
Donc, même en cas d'extraction, on ne peut rien en faire.

Pour mon compte Microsoft d'ailleurs, j'ai protégé mon compte avec le token de Microsoft (Authenticator).
Ce qui fait que même avec le VRAI mot de passe, l'accès à mon compte sera impossible sans le token.

Bref, celui qui veut accéder à mon compte ne pourra jamais.
Pour ça, il faudrait mon vrai mot de passe et mon smartphone pour utiliser le token dans le délais imparti (quelques secondes).
Donc je suis parfaitement sécurisé de tous les côtés. ;)

ThiWeb
Répondre

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 2 invités