Apparition d'une nouvelle variante du malware Shamoon‏

Malware: Shamoon

Liste des alias: W32.Disstrack, WORM_DISTTRACK.A , TROJ_WIPMBR.A

Criticité: Critique

Plates-formes affectées: Systèmes Microsoft Windows.

Brève description: Après investigation, les laboratoires de sécurité de Symantec et de Kaspersky ont détecté une nouvelle variante du malware «W32.Disttrack» qui vise à détruire la zone d’amorçage (MBR : Master Boot Record) du disque dur, de changer les partitions actives et de cibler des répertoires spécifiques (contenant les noms : téléchargement, documents, images, musique, vidéos et bureau). En cas de succès d’infection, Il se reproduira dans le répertoire « System32 », tentera d'exécuter lui-même via le composant «psexec.exe» et communiquera avec un serveur C&C afin de recevoir les opérations à réaliser. En outre, il supprimera ses traces d’attaques. Créé par un groupe des hackers nommé « Cutting Sword of Justice », ce malware a infecté 30000 machines appartenant à la société d’exportation du pétrole « Saudi Aramco ».

Signes visibles: Apparition des composants « psexec.exe » et « csrss.exe ». Apparition des pilotes « %System%\Drivers\ddr.sys » et « %System%\Drives\ddrisk.sys ». Apparition d’un service nommé « ddr ».

Propagation: Disques amovibles et supports de stockage. Dossiers partagés via les réseaux locaux. Emails non fiables et sites Web malveillants de l’Internet.

Effet(s): Exploitation des vulnérabilités afin de se propager. Etablissement des connexions sécurisées (HTTPS et SSH) entre les machines victimes et les serveurs C&C (Command & Control servers). Transfert des données volées vers plusieurs serveurs C&C.

Solutions :  veuillez nous  contacter pour  vérifier votre  système et le  nettoyer  aussi clic ici