Trojan "flux"

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Trojan "flux"

Messagede Jim Rakoto » 07 Nov 2004, 19:45

Salut,

Une info de A2 qui explique la technique d'une saloperie : le trojan "flux"


Trojan "Flux" la propagation augmente

Flux est le nom d'une nouvelle épidémie qui, en ce moment sévit dans les sous-sol d'Internet et prend des ampleurs de plus en plus effrayante. Chez le Trojan "Flux" il s'agit d'un Trojan-Backdoor, qui actuellement donne pas mal de maux de tête aux fabricants de protection de système contre les Malwares.

L'organisme nuisible fait partie de la catégorie des soi-disant "Reverse Backdoor". Reverse (Inverse) se réfère à la logique de connexion. Normalement, la partie nuisible d'un Backdoor (le serveur) ouvre un Port dans le système de la victime et attend là une connexion du dehors par le programme de contrôle (le soi-disant client). Cette procédure traditionnelle a toutefois une sérieuse faiblesse:

Si la victime se trouve dans un réseau ou "derrière" un Router (Passerelle) et/ou un Hardware Firewall, le client ne peut avoir de connexion avec le serveur et la prise en charge du PC échoue.

C'est pour cette raison que de plus en plus de Trojans-Backdoors se créent eux-même une connexion sur un Port qui, auparavant a été ouvert par le programme de contrôle (client). Puisque là, généralement le traffic de données de son propre PC est permis, donc passe au travers du Hardware Firewalls et du Router, le Backdoor peut prendre contact malgré ces mécanismes de protection, grâce au programme de contrôle (client).

La perfidie et la sournoiserie du Trojan "Flux" est moins le fait qu'il utilise cette logique de connexion inverse, mais plutôt de la façon dont elle a été mise en oeuvre. "Flux" utilise une nouvelle technique le "Code Injecting" propre au nouveau Trojan. Par "Code Injecting", on entend par là, l'injection d'un code étranger dans un processus. Jusqu'à présent la technique du "Code Injecting" était basée sur le fait d'infiltrer un nouveau module (une soi-disante DLL) dans un processus. Cette méthode (appelé aussi DLL Injecting) était facile à repérer, puisque tous modules chargés pouvaient-être déterminés et examinés. Le Trojan "Flux" en revanche écrit directement son code de connexion dans la mémoire du processus et veille à ce que celui-ci soit exécuté. À côté du fait, que beaucoup de Desktop-Firewalls prennent dans ce cas un processus légitime comme par ex: l'Internet Explorer qui veut se connecter à Internet et qui par conséquent obtient l'accès, le problème principal est que le code nuisible du Trojan "Flux" n'est lié à aucun module dans les processus et est pour la plupart des mécanismes de protection contre les Malwares simplement invisible ou indétectable. Cela rend une élimination propre et durable du Trojan "Flux" presque impossible.

Puisqu'il y a quelques temps nous avions prévu que ce genre de technique d'infection pouvait arriver, nous avons préparé une contre-mesure et nous avons développé pour a² Version 2.0 un "Scanner de mémoire de processus avancé". Puisque le Trojan "Flux" s'étend de plus en plus massivement, nous avons décidé de mettre déjà le "Scanner de mémoire de processus avancé" dans la Version 1.5.

Cela signifie pour vous, qu'a² est l'un des tous premiers programmes de protection qui entretemps est en mesure de vous protéger efficacement contre "Flux" et de désactiver "Flux" s'il est actif. En outre, nous avons développé un programme de reconnaissance spéciale, que nous mettons à disposition gratuitement pour d'autres utilisateurs de logiciels Anti-Malware autres que a² pour faire un test rapide et détecté si une infection par le Trojan "Flux" y est présente. Le programme reconnaît et désactive "Flux" dans les processus contaminés et permet ainsi en relation avec un programme Anti-Malware actuel, comme par ex: a², d'éliminer complètement le Trojan "Flux".

Vous pouvez télécharger le "Flux" Scanner à la page téléchargement de a² :
http://www.emsisoft.net/fr/software/download


Vous voilà prévenus

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 25 invités

cron