S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Un cheval de Troie dans le chargeur de batteries Energizer DUO USB

L'accu rie

C’est une première : dans un bulletin de sécurité, l’United States Computer Emergency Response Team (US-CERT) alerte de la présence d’un cheval de Troie dans la version Windows du logiciel accompagnant un chargeur de batterie Energizer.

energizer duo usb trojan cheval troie

L’Energizer Duo se connecte sur un port USB pour recharger des accus AAA ou AA. Il est équipé d’un logiciel pour gérer ces recharges. Et c’est en son sein que s’embarque le code malveillant. Ce code (analysé par Symantec) est de type backdoor, une porte dérobée, qui permet à un utilisateur distant via le port TCP 7777 d’envoyer ou d’importer voire d’exécuter des fichiers sur la machine faillible. Le trojan est dans le fichier Arucer.dll, enregistré dans le dossier System32. Ce fichier est appelé par UsbCharger.dll, un autre logiciel installé par Energizer Duo, via RunDLL32.exe. Pour faire bonne mesure, Arucer.dll modifie la base des registres pour s’exécuter à chaque démarrage de Windows.

energizer duo usb trojan cheval troie

Pour l’US CERT, la solution la plus simple consiste à désinstaller le logiciel du chargeur de batterie, procédure qui évitera le lancement d’Arucer.dll à chaque reboot. Le code deviendra une bombe sans système de mise à feu. Autre étape : effacer à la main Arucer.dll dans System32 voire bloquer le port 7777/TCP.  

Energizer a retiré de la vente ce produit – du moins aux Etats-Unis – et supprimé la possibilité de télécharger le logiciel piégé. Le spécialiste des batteries est en relation avec le CERT pour comprendre comment un tel code a pu s’insérer dans sa chaîne de conception ; 

Contactée, le service marketing d'Energizer France nous indique ne pas avoir entendu parler de cette problématique dans notre pays.

Il reste que c’est la première fois qu’un chargeur de batterie est ainsi vérolé. Voilà plusieurs années, lors d'une campagne promotionnelle, McDonald’s avait offert 10 000 lecteurs mp3. 10 chansons préchargées étaient en plus d’une variante de QQPass, un cheval de Troie amateur de mots de passe.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 08/03/2010 à 17:11

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 113 commentaires

Avatar de Tetsumaki INpactien
Tetsumaki Le lundi 8 mars 2010 à 22:46:55
Inscrit le vendredi 3 novembre 06 - 21 commentaires
Sympa la screenshot avec netcat.
Avatar de fabricer INpactien
fabricer Le lundi 8 mars 2010 à 23:04:42
Inscrit le dimanche 12 octobre 03 - 3188 commentaires

Il reste intéressant de déterminer comment une bourde pareille a pu se faufiler... le dossier sera suivit ?



Ca sent clairement l'acte de malveillance ciblée chez un sous traitant.
Avatar de mPcy INpactien
mPcy Le lundi 8 mars 2010 à 23:07:57
Inscrit le jeudi 23 juillet 09 - 1888 commentaires

Ca sent clairement l'acte de malveillance ciblée chez un sous traitant.


Même pas, juste le PC d'un dev Pakistanais qui était vérolé.
Avatar de fabricer INpactien
fabricer Le lundi 8 mars 2010 à 23:08:46
Inscrit le dimanche 12 octobre 03 - 3188 commentaires
Tu as raison, rien ne vaut le logiciel fermé proprio, c'est beaucoup plus sûr !


Les certitudes c'est surtout ça l'ennemi de la sécurité en info, ce n'est pas le libre ou le proprio.
On a toujours un flot de certitudes à chaque bon technologique ou génération d'ingénieurs ou de systèmes, elles font rarement long feu...
Avatar de fabricer INpactien
fabricer Le lundi 8 mars 2010 à 23:12:30
Inscrit le dimanche 12 octobre 03 - 3188 commentaires
Chroot, sysjail ça vous dit quelque chose ?


D'une part c'est un concept relativement peu courant dans le monde windowsien, et d'autre part en fonction des softs même sous les *nices ce n'est pas toujours trivial.

Le problème n'est pas la, le problème est que des softs provenant de sous-traitants passent des phases de certifications qui n'incluent pas le scan malware/antivirus. Ca c'est choquant.

Enfin je parle de sous traitance parce que c'est le use case qui vient immédiatement à l'esprit, mais je sais que c'est en partie de la mauvaise foi


Edité par fabricer le lundi 8 mars 2010 à 23:16
Avatar de fabricer INpactien
fabricer Le lundi 8 mars 2010 à 23:15:07
Inscrit le dimanche 12 octobre 03 - 3188 commentaires

Même pas, juste le PC d'un dev Pakistanais qui était vérolé.



Pourquoi mettre ça sur la tête d'un pakistanais? Il y a suffisamment de PC vérolés en France ou aux US dans les boîtes privées pour ne pas avoir besoin de faire intervenir les spectres de l'offshore Mais le fait que ça arrive sur ce type de produit me fait penser à un acte volontaire, je ne sais pas pourquoi
Avatar de mPcy INpactien
mPcy Le lundi 8 mars 2010 à 23:16:56
Inscrit le jeudi 23 juillet 09 - 1888 commentaires


Pourquoi mettre ça sur la tête d'un pakistanais?


Parce qu'ils coutent moins cher que les dev des pays développé et qu'ils se tappent 80% du codage bourrin dans les applications grand public.
Avatar de fabricer INpactien
fabricer Le lundi 8 mars 2010 à 23:20:53
Inscrit le dimanche 12 octobre 03 - 3188 commentaires

Parce qu'ils coutent moins cher que les dev des pays développé et qu'ils se tappent 80% du codage bourrin dans les applications grand public.


Et? Ca implique forcément qu'ils bossent plus mal que les autres? Avoir du scan antivirus dans une entreprise ça coûte pinuts, et pourtant y a des tas de grosses boîtes françaises ou occidentales qui se font véroler honteusement Alors bon, le pakistanais il a bon dos

Et puis 80%, bon tout dépend dans quel secteur (applications grand public c'est large, ça ne veut pas dire grand chose), il ne faut pas généraliser, globalement à l'échelle de la totalité du secteur IT/éditeurs/ pure sofware player j'ai pas les chiffres mais ce n'est vrai que pour quelque acteurs (pas les plus petits certes, mais il ne faut pas généraliser; ne serait ce que parce que le secteur est bcp plus vaste que ce que le public peut imaginer).


Edité par fabricer le lundi 8 mars 2010 à 23:24
Avatar de mPcy INpactien
mPcy Le lundi 8 mars 2010 à 23:23:28
Inscrit le jeudi 23 juillet 09 - 1888 commentaires

Et? Ca implique forcément qu'ils bossent plus mal que les autres? Avoir du scan antivirus dans une entreprise ça coûte pinuts, et pourtant y a des tas de grosses boîtes françaises ou occidentales qui se font véroler honteusement Alors bon, le pakistanais il a bon dos


Je voulais juste dire que vu le prix misérable qu'il est payé, le Pakistanais va pas se faire chier à faire de la qualité que ce soit sur son poste de travail ou bien dans la qualité de son code généré avec un L4G quelconque. C'est toi qui cherche la "petite bête" pas moi.
Avatar de after_burner INpactien
after_burner Le lundi 8 mars 2010 à 23:25:47
Inscrit le mercredi 16 juillet 08 - 6963 commentaires


trop tard.

;