Un nouveau malware capable dinfecté les ordinateurs sous Windows, Linux et Mac OS
Des chercheurs de Kaspersky Lab ont étudié le programme malveillant
Des chercheurs ont décelé un malware capable dinfecté les ordinateurs fonctionnant sous Windows, Mac OS ou Linux. Les systèmes ayant installés le framework Java dOracle sont ceux concernés. Les chercheurs ont publié les informations concernant le malware dans un billet de blog de Kaspersky Lab.
Ils expliquent que pour rendre « lanalyse et la détection du malware plus difficile, ses développeurs ont utilisé lobfuscateur Zelix Klassmater ». Les développeurs du malware ont utilisé de différentes clés pour chaque classe utilisée ce qui rend lanalyse beaucoup plus fastidieuse dautant plus quil faut « analyser toutes les classes dans lordre pour trouver les clés de décryptage ». De même, les constantes de type chaîne de caractère sont chiffrés. Un algorithme de déchiffrement des chaînes se présente comme suit :
Lalgorithme de déchiffrement des cas particuliers se présente comme suit :

Le malware se copie dans le répertoire personnel de lutilisateur puis senregistre en tant que service système pour sexécuter au démarrage du système. Pour lexécution automatique au démarrage, les commandes suivantes sont utilisées en fonction de chaque OS :
Source : Blog Kaspersky Lab
Et vous ?
:fleche: Quen pensez-vous ?
:fleche: Avez-vous déjà rencontré ce malware ?
Des chercheurs de Kaspersky Lab ont étudié le programme malveillant
Des chercheurs ont décelé un malware capable dinfecté les ordinateurs fonctionnant sous Windows, Mac OS ou Linux. Les systèmes ayant installés le framework Java dOracle sont ceux concernés. Les chercheurs ont publié les informations concernant le malware dans un billet de blog de Kaspersky Lab.
Ils expliquent que pour rendre « lanalyse et la détection du malware plus difficile, ses développeurs ont utilisé lobfuscateur Zelix Klassmater ». Les développeurs du malware ont utilisé de différentes clés pour chaque classe utilisée ce qui rend lanalyse beaucoup plus fastidieuse dautant plus quil faut « analyser toutes les classes dans lordre pour trouver les clés de décryptage ». De même, les constantes de type chaîne de caractère sont chiffrés. Un algorithme de déchiffrement des chaînes se présente comme suit :
- prendre l'indice courant d'un caractère dans la chaîne cryptée
- calculer le reste de sa division par 5
- choisir la clé courant en fonction du résultat
- identifier le caractère décrypté en effectuant un module daddition de 2 bits avec la clé sélectionnée
Lalgorithme de déchiffrement des cas particuliers se présente comme suit :
Le malware se copie dans le répertoire personnel de lutilisateur puis senregistre en tant que service système pour sexécuter au démarrage du système. Pour lexécution automatique au démarrage, les commandes suivantes sont utilisées en fonction de chaque OS :
- Windows : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Mac OS : le service standard launchd est utilisé
- Linux : /etc/init.d/
Source : Blog Kaspersky Lab
Et vous ?
:fleche: Quen pensez-vous ?
:fleche: Avez-vous déjà rencontré ce malware ?
Aucun commentaire:
Enregistrer un commentaire