Intrapole
l Espace client l FAQ l RSS 2.O l
- Bienvenue sur le site de Intrapole, leader de la sécurité informatique en Afrique sub-sahérienne
VOUS  TES ICI : Accueil » Alertes Sécurité »

Des chargeurs de piles Energizer vendus avec un cheval de Troie

Sécurité - Selon l’US-CERT, le logiciel fourni avec le chargeur de piles Energizer DUO comporte un cheval de Troie permettant à un attaquant d’exécuter du code à distance. Apple, Seagate ou encore Asus ont déjà connu une mésaventure comparable.

L’US-CERT, l’organisme américain en charge de la sécurité informatique, vient de publier une alerte concernant un produit de la marque Energizer. Il s’agit du chargeur USB de piles Energizer DUO USB NiMH.

Selon l’US-CERT, ce chargeur vendu avec un programme d’installation pour Windows (la version Mac OS X n’étant pas affectée), embarque un cheval de Troie. L’installation de l’outil fourni par le constructeur est censée permettre à l’utilisateur de contrôler sur son PC le statut de chargement des piles.

Une dll malveillante créée à l’installation du logiciel

Mais en plus de l’utilitaire, le logiciel crée une dll malveillante, "Arucer.dll". Ce cheval de Troie peut recevoir des commandes sur le port TCP 7777. Selon les instructions envoyées, le programme peut télécharger des fichiers supplémentaires, exécuter des fichiers, transmettre des données dérobées sur le PC infecté et modifier la base de registre Windows.

Ce cheval de Troie s’active automatiquement à chaque démarrage de la machine et écoute le réseau dans l’attente d’éventuelles instructions envoyées à distance par un tiers. Même lorsque le chargeur USB n’est pas connecté à l’ordinateur, le programme demeure actif précise l’US-CERT.

Le constructeur de piles Energizer déclare tout ignorer de la présence de ce logiciel malveillant et explique travailler avec l’US-CERT et les autorités américaines afin d’identifier comment un tel code a pu être inséré dans son logiciel. Energizer a également retiré du téléchargement le logiciel incriminé.

La désinfection d’un ordinateur contaminé s’avère fort heureusement relativement simple comme l’explique les chercheurs de l’US-CERT. Il suffit, pour la solution la plus simple, de désinstaller l’application Energizer, cela permettant de supprimer la clé de registre à l’origine de l’exécution automatique de la porte dérobée au démarrage de Windows.

Le cheval de Troie facile à supprimer

Un utilisateur peut également supprimer manuellement le fichier Arucer.dll dans le répertoire Windows system32. Afin de rendre le cheval de Troie inopérant, il convient ensuite de redémarrer l’ordinateur.

Pour prévenir l’exploitation d’une telle vulnérabilité, l’US-CERT recommande également de bloquer l’accès réseau sur le port TCP 7777. Par chance, lors de l’installation, l’utilitaire Energizer UsbCharger ne paramètre pas automatiquement d’exception dans le pare-feu Windows. Des règles dans l’IPS Snort permettent par ailleurs de détecter tout trafic lié à ce programme malveillant.

Ce type de mésaventure n’est pas une première pour les constructeurs du secteur high-tech. En 2007, Seagate révélait que des disques durs produits dans une usine asiatique embarquaient un cheval de Troie.

En 2006, Apple publiait un bulletin d’alerte pour avertir ses clients qu’un petit nombre d’iPod avaient été vendu avec un programme malveillant opérant seulement sous Windows. En 2008 c’était au tour d’Asus et de ses modèles japonais d’Eeebox infectés par le code malveillant Xirtam.

par Christophe Auffray, ZDNet France. Publié le 8 mars 2010

Source :zdnet

Alertes Sécurité

l Accueil l Intrapole l Alerte sécurité l Expertise l RÈfÈrences l Partenaires l Téléchargements l FAQ l Contacts l