{"id":38772,"date":"2014-08-21T08:50:49","date_gmt":"2014-08-21T08:50:49","guid":{"rendered":"http:\/\/www.agglotv.com\/?p=38772"},"modified":"2014-08-21T08:51:14","modified_gmt":"2014-08-21T08:51:14","slug":"icoscript-le-code-malveillant-qui-communique-par-webmail","status":"publish","type":"post","link":"https:\/\/www.agglotv.com\/?p=38772","title":{"rendered":"IcoScript, le code malveillant qui communique par webmail"},"content":{"rendered":"<div class=\"alignleft\"><script type=\"text\/javascript\"><!--\ngoogle_ad_client = \"pub-2913804460579993\";\n\/* 300x250, date de cr\u00e9ation 09\/09\/10 *\/\ngoogle_ad_slot = \"3968300003\";\ngoogle_ad_width = 300;\ngoogle_ad_height = 250;\n\/\/-->\n<\/script><br \/>\n<script type=\"text\/javascript\"\nsrc=\"http:\/\/pagead2.googlesyndication.com\/pagead\/show_ads.js\">\n<\/script><\/div>\n<p><strong>Un malware d\u00e9couvert par G DATA utilise la messagerie Yahoo\u00a0! pour recevoir ses instructions.<\/strong><\/p>\n<p>Le nouveau code malveillant IcoScript est capable d&rsquo;utiliser n\u2019importe quel webmail courant pour recevoir des commandes de son serveur de contr\u00f4le. L&rsquo;acc\u00e8s aux services de webmail \u00e9tant rarement bloqu\u00e9 dans les entreprises, le cheval de Troie peut recevoir et ex\u00e9cuter des commandes sans \u00eatre remarqu\u00e9. Les experts du G DATA SecurityLabs ont nomm\u00e9 ce code Win32.Trojan.IcoScript.A. Son analyse d\u00e9taill\u00e9e a \u00e9t\u00e9 publi\u00e9e dans le Magazine Virus Bulletin.<\/p>\n<p><strong>Le webmail pour communiquer : une nouveaut\u00e9<\/strong><br \/>\nAlors que les chevaux de Troie les plus courants utilisent des protocoles de communications sp\u00e9cifiques pour contacter leur serveur de contr\u00f4le, IcoScript communique via les services de messagerie Web. En pratique, lcoScript se connecte au webmail (yahoo\u00a0! dans la version du code \u00e9tudi\u00e9) et r\u00e9cup\u00e8re ses instructions dans un email pr\u00e9alablement envoy\u00e9 par l\u2019attaquant. IcoScript est aussi capable de cr\u00e9er ses propres emails. Ceci afin d\u2019envoyer des donn\u00e9es vol\u00e9es sur le poste infect\u00e9 vers un serveur distant. Les webmails \u00e9tant rarement bloqu\u00e9s dans les entreprises, les possibilit\u00e9s d\u2019actions de ce code sont larges et difficilement d\u00e9tectables lors d\u2019une analyse de flux r\u00e9seau. <!--more-->Le code \u00e9tant modulaire, il peut aussi \u00e0 tout moment changer de moyen de communication comme l\u2019explique Ralf Benzm\u00fcller, Directeur du G\u00a0DATA SecurityLabs\u00a0: \u00ab\u00a0Le webmail utilis\u00e9 est Yahoo\u00a0!, mais cela pourrait aussi fonctionner avec d\u2019autres services, tels que Gmail ou Outlook.com. M\u00eame LinkedIn, Facebook tout autre r\u00e9seau social pourraient techniquement servir pour la communication\u00a0\u00bb.<\/p>\n<p><strong>Le code en d\u00e9tail<\/strong><br \/>\nWin32.Trojan.IcoScript.A, dont l\u2019activit\u00e9 a commenc\u00e9 en 2012, est un outil d&rsquo;administration \u00e0 distance (RAT) modulaire qui cible les PC sous Windows. Le code malveillant s&rsquo;injecte g\u00e9n\u00e9ralement dans les processus applicatifs. IcoScript utilise d&rsquo;autre part l\u2019interface d\u00e9veloppeur COM (Component Object Model) pour se lier \u00e0 Internet Explorer\u00a0; l&rsquo;interface COM permet aux d\u00e9veloppeurs d\u2019utiliser le navigateur de mani\u00e8re transparente dans des applications tiers. Cette fonctionnalit\u00e9 offre aux cybercriminels une opportunit\u00e9 pour compromettre le navigateur sans \u00eatre remarqu\u00e9e par l&rsquo;utilisateur (les solutions G DATA d\u00e9tectent IcoSript). Ainsi int\u00e9gr\u00e9, le code nuisible utilise les protocoles de communication configur\u00e9s dans le navigateur.<\/p>\n<p><strong>L\u2019analyse compl\u00e8te publi\u00e9e dans Virus Bulletin<\/strong><br \/>\nL&rsquo;analyse a \u00e9t\u00e9 publi\u00e9e dans le Magazine anglais Virus Bulletin sous le titre \u00ab\u00a0IcoScript: Using Webmail to control malware\u00a0\u00bb. Ralf Benzm\u00fcller commente\u00a0: \u00ab\u00a0IcoScript est un code malveillant tr\u00e8s inhabituel. Nous sommes ravis que notre article ait \u00e9t\u00e9 publi\u00e9 dans ce magazine d&rsquo;experts de renom. Nous consid\u00e9rons cela comme une reconnaissance de nos recherches. Virus Bulletin est un \u00e9l\u00e9ment important dans le secteur de l&rsquo;antivirus. Il s\u2019est \u00e9tabli une excellente r\u00e9putation pour son ind\u00e9pendance, l&rsquo;information professionnelle sur les logiciels malveillants au cours des ann\u00e9es \u00bb.<\/p>\n<p>Une version HTML de l\u2019analyse compl\u00e8te, en anglais, publi\u00e9e par le Virus Bulletin est disponible ici :\u00a0<a href=\"https:\/\/www.virusbtn.com\/virusbulletin\/archive\/2014\/08\/vb201408-IcoScript\" target=\"_blank\">https:\/\/www.virusbtn.com\/virusbulletin\/archive\/2014\/08\/vb201408-IcoScript<\/a> ou en PDF ici :<a href=\"https:\/\/www.virusbtn.com\/pdf\/magazine\/2014\/vb201408-IcoScript.pdf\" target=\"_blank\">https:\/\/www.virusbtn.com\/pdf\/magazine\/2014\/vb201408-IcoScript.pdf<\/a><\/p>\n<p><strong>\u00c0 propos de G DATA<\/strong><br \/>\nLa s\u00e9curit\u00e9 informatique invent\u00e9e en Allemagne : G DATA Software AG peut \u00eatre consid\u00e9r\u00e9 comme l\u2019inventeur de l\u2019AntiVirus. Il y a plus de 25 ans, la soci\u00e9t\u00e9, fond\u00e9e \u00e0 Bochum en 1985, d\u00e9veloppait le premier programme pour combattre les virus. Aujourd\u2019hui, G DATA est un des principaux \u00e9diteurs de solutions de s\u00e9curit\u00e9 informatique.<\/p>\n<p>Les r\u00e9sultats de test prouvent que la s\u00e9curit\u00e9 informatique \u00ab\u00a0Made in Germany\u00a0\u00bb offre aux internautes la meilleure protection possible. Stiftung Warentest teste les solutions Internet Security depuis 2005. Dans les six tests effectu\u00e9s entre 2005 et 2013, G DATA a toujours propos\u00e9 la meilleure d\u00e9tection antivirale. Dans les tests r\u00e9alis\u00e9s par AV Comparatives, G DATA d\u00e9montre l\u00e0 aussi r\u00e9guli\u00e8rement de tr\u00e8s bons r\u00e9sultats de d\u00e9tection. \u00c0 l\u2019international, la solution G DATA INTERNET SECURITY a aussi \u00e9t\u00e9 largement r\u00e9compens\u00e9e par des magazines consommateurs ind\u00e9pendants dans les pays tels que l\u2019Australie, l\u2019Autriche, la Belgique, la France, l\u2019Italie, les Pays-Bas, l\u2019Espagne et les \u00c9tats-Unis.<\/p>\n<p>La large gamme des produits G DATA couvre tous les besoins, du particulier \u00e0 la multinationale. Les solutions de s\u00e9curit\u00e9 G DATA sont disponibles dans plus de 90 pays.<\/p>\n<p>Pour plus d\u2019informations \u00e0 propos de la soci\u00e9t\u00e9 et les solutions de s\u00e9curit\u00e9 G\u00a0DATA, visitez\u00a0<a href=\"http:\/\/www.gdata.fr\/\" target=\"_blank\">www.gdata.fr<\/a><\/p>\n<p><center><script type=\"text\/javascript\"><!--\ngoogle_ad_client = \"ca-pub-2913804460579993\";\n\/* Comm *\/\ngoogle_ad_slot = \"9074092525\";\ngoogle_ad_width = 468;\ngoogle_ad_height = 15;\n\/\/-->\n<\/script><br \/>\n<script type=\"text\/javascript\"\nsrc=\"http:\/\/pagead2.googlesyndication.com\/pagead\/show_ads.js\">\n<\/script><\/center><\/p>\n<table border=\"0\" align=\"center\">\n<tbody>\n<tr>\n<td>\n<div class=\"fb-like\" data-send=\"false\" data-layout=\"button_count\" data-width=\"150\" data-show-faces=\"false\"><\/div>\n<\/td>\n<td><script src=\"\/\/platform.linkedin.com\/in.js\" type=\"text\/javascript\">lang: fr_FR<\/script><script type=\"IN\/Share\" data-counter=\"right\"><\/script><\/td>\n<td><a href=\"https:\/\/twitter.com\/share\" class=\"twitter-share-button\" data-count=\"horizontal\" data-via=\"IciOnVousVoit\" data-lang=\"fr\">Tweeter<\/a><script type=\"text\/javascript\" src=\"\/\/platform.twitter.com\/widgets.js\"><\/script><\/td>\n<tr>\n<td><a href=\"http:\/\/www.scoop.it\" class=\"scoopit-button\" scit-position=\"horizontal\" >Scoop.it<\/a><script type=\"text\/javascript\" src=\"http:\/\/www.scoop.it\/button\/scit.js\"><\/script><\/td>\n<td><script type=\"text\/javascript\">var viadeoWidgetsJsUrl = document.location.protocol+\"\/\/widgets.viadeo.com\";(function(){var e = document.createElement('script'); e.type='text\/javascript'; e.async = true;e.src = viadeoWidgetsJsUrl+'\/js\/viadeowidgets.js'; var s = document.getElementsByTagName('head')[0]; s.appendChild(e);})();<\/script><\/p>\n<div class=\"viadeo-share\" data-display=\"btnlight\" data-count=\"right\" data-align=\"left\" data-partner-id=\"forzoovrqaoAviDtoqEjyhtvVo\"><\/div>\n<\/td>\n<td><g:plusone><\/g:plusone><\/td>\n<\/tr>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"excerpt":{"rendered":"<p>Un malware d\u00e9couvert par G DATA utilise la messagerie Yahoo\u00a0! pour recevoir ses instructions. Le nouveau code malveillant IcoScript est capable d&rsquo;utiliser n\u2019importe quel webmail courant pour recevoir des commandes de son serveur de contr\u00f4le. L&rsquo;acc\u00e8s aux services de webmail \u00e9tant rarement bloqu\u00e9 dans les entreprises, le cheval de Troie peut recevoir et ex\u00e9cuter des [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/38772"}],"collection":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=38772"}],"version-history":[{"count":2,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/38772\/revisions"}],"predecessor-version":[{"id":38774,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/38772\/revisions\/38774"}],"wp:attachment":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=38772"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=38772"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=38772"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}