actualité
 L'actualité informatique et multimédia
 Faille PnP de Microsoft : Mocbot débarque [MàJ]
 Mocbot : avoir ou ne pas avoir un cheval
Malware

Voilà qui va redonner une popularité croissante à la dernière vague de mises à jour, pour rappeler à l’ordre ceux qui n’ont pas encore pris ce train-là. Une faille corrigée lors du dernier train de correctifs Microsoft (MS05-047), vient d’être exploitée par un cheval de Troie. L'éditeur l’indiquait déjà dans son bulletin : la faille, dont la rustine est disponible depuis le 11 octobre 2005, autorise l’exécution de code à distance entre autres joyeusetés, suite à un bug dans la gestion du module Plug’n’Play (PnP).

Le trojan IRC Mocbot exploite la brèche pour installer dans le dossier system32 de Windows, le fichier Wudpcom.exe. Il tente alors de se connecter sur plusieurs canaux IRC, basés en Russie (inaccessibles depuis peu). Tout en modifiant plusieurs clés dans la base des registres, il attend alors sagement les ordres d’un usager distant, lequel pourra entreprendre une attaque par Ddos, faire un scan pour trouver d’autres vulnérabilités, voire télécharger ou exécuter des fichiers sur la machine un peu trop hôte.

Le cas ressemble à celui du ver zotob qui exploitait déjà une autre faille du module PnP, décrite dans le bulletin MS05-039 publié en août dernier. Celui-ci avait frappé de grosses sociétés ; entre autres victimes, Associated Press, Caterpillar, CNN, Daimler/Chrysler, General Electric, SBC Communications ou encore United Parcel Service. Toutes avaient un peu tardé à faire les mises à jour de rigueur… C'est d'ailleurs ce tableau de chasse qui lui avait donné une certaine notoriété en matière de malware. Mais alors que Zotob ne galopait que sur les terres de Windows 2000 (essentiellement), la nouvelle faille PnP et le cheval de Troie MocBot visent aussi bien Windows 2000 SP4 que XP SP1 et SP2, ce qui laisse présager un certain « succès » chez ceux qui auront sauté le train d’update du 11 octobre dernier.

[MàJ] Selon une mise à jour qui vient d'être postée chez McAfee, MocBot exploiterait bien la même faille que Zotob et concerne donc uniquement le bulletin MS05-039, non celui du 11 octobre. "Les premières analyses suggéraient que le bulletin MS05-047 était exploité en raison des similitudes entre les deux exploits" indique à l'instant l'éditeur. Il ne concernerait donc plus que Windows 2000 contraitelment à ce qui avait été indiqué initialement.

Rédigée par le lundi 24 octobre 2005 à 08h55 (10745 lectures)
Source de l'INformation : Branchez-Vous
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 9 commentaires dont 9 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

12 octobre 2005   Microsoft : bulletin de sécurité d'octobre 2005
12 septembre 2005   Mardi 13 : Microsoft annule ses mises à jour
05 septembre 2005   Top 10 des virus : Zotob pas au top
01 septembre 2005   Microsoft veut ouvrir un portail dédié au cybercrime
30 août 2005   Nouveaux suspects dans l'affaire du ver Zotob
29 août 2005   Arrestation des auteurs présumés de Zotob
24 août 2005   Zotob s'attaque aussi à Windows XP SP1
19 août 2005   Les dégâts de Zotob dans le monde professionnel
14 septembre 2004   Longhorn pourra bloquer les ports USB en entreprise

Recherches relatives : - -