| Malware:
sKyWIper |
| Liste des
alias: Flame, Flamer (W32.Flamer ) ou
sKyWIper. |
|
Criticité:
Très critique
|
| Plates-formes
affectées: Systèmes
Microsoft Windows. |
Signes visibles:
- Existence d’une clé de
registre nommée «mssecmgr.ocx» sous
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\AuthenticationPackages.
- Existence des composants « ocx
» et des pilotes « sys » malveillants
sous le répertoire Windows\System32 tels que
«mssecmgr.ocx», «ccalc32.sys»,
«msglu32.ocx», «boot32drv.sys»,
«nteps32.ocx», «advnetcfg.ocx» et
«soapr32.ocx».
- Existence des fichiers temporaires
de base sous le répertoire Windows\Temp tels que
«~dra52.tmp», «~dra53.tmp»,
«~DEB83C.tmp», «~DEB93D.tmp» ,
«~HLV084.tmp» , «~HLV294.tmp»,
«~rf(numéro).tmp», «~KWI» et
«~f28.tmp».
|
Propagation:
- Disques amovibles et supports de
stockage.
- Réseaux locaux et
Internet.
|
Effet(s):
- Détection des ressources
réseaux et sniffing du trafic.
- Crack des mots de passe des
utilisateurs.
- Détection des
vulnérabilités systèmes.
- Téléchargement des
malwares.
- Installation des rootkits.
- Lancement des captures écran
suite au déclenchement d’un processus.
- Enregistrement du son via les
microphones liés aux systèmes infectés.
- Cryptage des fichiers malveillants
et contournement de certain antivirus.
- Etablissement des connexions
sécurisées (HTTPS et SSH) entre les machines
victimes et les serveurs C&C (Command & Control
servers).
- Transfert des données
enregistrées vers plusieurs serveurs C&C.
|
TOP 7 des pays
infectés:
- Iran
- Israel
- Sudan
- Syrie
- Liban
- Arabie saoudite
- Egypte
|
|
Solutions :
Déploiement et mise à
jour des antivirus Kaspersky, Norton, Bitdefender et
McAfee.
Analyser vos systèmes avec
l’outil « Kaspersky Virus Removal Tool
»
-
Téléchargement de Kaspersky Virus Removal Tool
(version 11.0.0.1245)
|
