Le virus DuQu détecté par un outil open-source

Une attaque qui passionne les spécialistes de virus informatique

Très loin des scripts kiddies, il s'agit encore de guerre électronique par le biais de botnets, comme il en était déjà question avec le ver Stuxnet dont il avait [ déjà discuté ici!]

Source Numerama: "Une faille de Windows a été utilisée par des pirates pour mettre au point le virus DuQu [voir encyclopédie des virus chez Microsoft ici!], repéré le mois dernier.

De façon classique, ce virus se transmet par courrier électronique dans un document Word infecté. Une fois l'ordinateur contaminé, les pirates peuvent prendre le contrôle de la machine à distance. Il aurait été créé par le même groupe à l'origine de Stuxnet [il possède des codes commun à Stuxnet, ce qui laisse présager d'une source commune] qui avait infecté une centrale nucléaire iranienne et aurait pour objectif de préparer des cyber-attaques contre des infrastructures cruciales (centrales électriques, raffineries de pétrole, etc.). [voir note *** plus bas] ...
...
Microsoft avait publié un premier correctif, pour limiter les dégats de DuQu. Des ingénieurs de NSS Labs ont également publié un outil open source pour scanner sa machine et détecter le virus si celui-ci est présent. Le but de cet outil est également de découvrir d'autres éventuels fichiers utilisés par DuQu et qui n'auraient pas encore été repérés. ..."

Article complet: Le virus DuQu détecté par un outil open-source

Pratiquement le script de détection de NSS Labs est écrit en langage Python qui est disponible en open source à partir de Python.org. Pour que le script fonctionne sous Windows, il faut au préalable avoir installé ce langage et suivre les instructions données avec le script.

Si vous êtes débutant en informatique mais souhaitez néanmoins installer ou comprendre ce script python, je ne peux que vous conseillez de voir ces pythonneries sur YouTube

_____________________________________________

*** Notes:

Cette faille est une faille dite zero-day c'est à dire qui était inconnue jusqu'à présent.

Le premier correctif 2639658 fourni par Microsoft montre qu'il s'agit d'un faille de sécurité dans l'analyse des polices True Types qui peuvent être incorporées à l'intérieur d'un document ce que permet entre autre Microsoft Office Word.

L'analyse des polices True Types incorporées dans un document s'effectue à partie de la librairies système T2Embed.dll présente dans toutes les versions de Windows de Windows XP à Window server 2008.

Le correctif 2639658 se contente d'interdire l'accès à T2Embed.dll et ses services associés. Les possibilités qu'offraient cette dll qui fait partie de Windows sont donc désactivées temporairement jusqu'à l'arrivée d'un patch réel de Microsoft.

"...Selon l'entreprise de sécurité F-Secure, Duqu est un bot windows (et pas un ver), utilisé pour effectuer des attaques très ciblées contre un nombre limité d'organisations, dans un petit nombre de pays. ...
...
Selon F-Secure, pas trop de raisons de s'inquiéter toutefois : en effet le document infecté n'est pas en circulation. Il est tellement ciblé que son transfert révélerait très certainement l'identité de la cible première, raison pour laquelle CrySyS Lab, qui a découvert Duqu, ne peut pas diffuser le document."

Source : Le Monde Informatique

Plus d'infos dans le document (.pdf) de 67 pages de Symantec: W32-Duqu, the precursor of the next tuxnet