S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Un cheval de Troie dans le chargeur de batteries Energizer DUO USB

L'accu rie

C’est une première : dans un bulletin de sécurité, l’United States Computer Emergency Response Team (US-CERT) alerte de la présence d’un cheval de Troie dans la version Windows du logiciel accompagnant un chargeur de batterie Energizer.

energizer duo usb trojan cheval troie

L’Energizer Duo se connecte sur un port USB pour recharger des accus AAA ou AA. Il est équipé d’un logiciel pour gérer ces recharges. Et c’est en son sein que s’embarque le code malveillant. Ce code (analysé par Symantec) est de type backdoor, une porte dérobée, qui permet à un utilisateur distant via le port TCP 7777 d’envoyer ou d’importer voire d’exécuter des fichiers sur la machine faillible. Le trojan est dans le fichier Arucer.dll, enregistré dans le dossier System32. Ce fichier est appelé par UsbCharger.dll, un autre logiciel installé par Energizer Duo, via RunDLL32.exe. Pour faire bonne mesure, Arucer.dll modifie la base des registres pour s’exécuter à chaque démarrage de Windows.

energizer duo usb trojan cheval troie

Pour l’US CERT, la solution la plus simple consiste à désinstaller le logiciel du chargeur de batterie, procédure qui évitera le lancement d’Arucer.dll à chaque reboot. Le code deviendra une bombe sans système de mise à feu. Autre étape : effacer à la main Arucer.dll dans System32 voire bloquer le port 7777/TCP.  

Energizer a retiré de la vente ce produit – du moins aux Etats-Unis – et supprimé la possibilité de télécharger le logiciel piégé. Le spécialiste des batteries est en relation avec le CERT pour comprendre comment un tel code a pu s’insérer dans sa chaîne de conception ; 

Contactée, le service marketing d'Energizer France nous indique ne pas avoir entendu parler de cette problématique dans notre pays.

Il reste que c’est la première fois qu’un chargeur de batterie est ainsi vérolé. Voilà plusieurs années, lors d'une campagne promotionnelle, McDonald’s avait offert 10 000 lecteurs mp3. 10 chansons préchargées étaient en plus d’une variante de QQPass, un cheval de Troie amateur de mots de passe.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 08/03/2010 à 17:11

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 113 commentaires

Avatar de PatBe INpactien
PatBe Le lundi 8 mars 2010 à 18:12:42
Inscrit le mardi 4 août 09 - 549 commentaires

Avec un design pareil on voit bien que c'est un truc serieux.

Il y a du vert fluo dessus. Ca prouve bien que c'est un truc puissant

dix.gif
Déjà, rien que le nom, cela me mettait des frissons de Dark Vador...
Bon, maintenant que j'ai chargé l'accu magique plantage.gif

tiens, personne a une idée du prix de cette prouesse technologique ???
Avatar de PatBe INpactien
PatBe Le lundi 8 mars 2010 à 18:19:25
Inscrit le mardi 4 août 09 - 549 commentaires
avoir la charge de l'accu à l'écran, ça pète bien quand même

"Vous venez d'envoyer 12 683 483 spams avec votre connexion USB en 24 heures.
Souhaitez vous continuer de charger votre accu ?
si non, tapez "oui", si oui, tapez "oui" ...
merci de rentrer votre code de carte bancaire pour que le rechargement s'effectue sans problème, ceci est une simple mesure de sécurité afin de vous protéger

Avatar de Fantassin INpactien
Fantassin Le lundi 8 mars 2010 à 18:27:17
Inscrit le lundi 5 novembre 07 - 4083 commentaires
Faut jeter les piles après ? Quelquefois qu'elles contamineraient le radio réveil.

Y'avait eu une histoire identique il y a quelques mois, je sais plus pour quel périphérique au juste...
Avatar de link385 INpactien
link385 Le lundi 8 mars 2010 à 18:31:54
Inscrit le lundi 12 mai 03 - 3178 commentaires
On le sait tous, mais comme effectivement les malwares utilisent les failles Win, UNIX/Linux continue d'être plus sûr à la finale, CQFD.

tu as fumé quoi là?

les malwares n'ont pas besoin de faille de sécurité pour fonctionner
(certains malwares utilisent des failles pour se propager cela dit, mais pas systématiquement)

où as tu vu que ce malware (dont parle l'article) exploite une faille dans windows? c'est juste un logiciel comme les autres, sauf qu'il effectue quelque chose de malveillant... (chose qu'aucun OS ne peut bloquer puisqu'une meme action peut etre malveillante ou non selon le contexte et selon si l'utilisateur est au courant de cette action: ex, logiciel de prise de controle à distance)
Avatar de link385 INpactien
link385 Le lundi 8 mars 2010 à 18:35:23
Inscrit le lundi 12 mai 03 - 3178 commentaires


Les heuristiques, ça existe hein...

c'est du vent
concretement ça fait soit beaucoup trop de faux positifs (ou alors il y a sans cesse des messages de confirmation), soit ça ne detecte rien...


Et puis ton parefeu peut largement empêcher la connexion d'un processus inconnu ou suspect à internet.


pas si le processus en question utilise iexplore.exe ou firefox.exe pour communiquer avec le net... je doute que ton firewall te prévient pour chaque connection effectuée par ton browser

Idem sur la modif de la base de registre, tu peux surveiller certaines clés (comme celles de l'exécution auto au démarrage de l'OS).


comment faire la différence entre un logiciel légitime et un malware (ou logiciel légitime infecté) qui veut se lancer au démarrage?
Avatar de link385 INpactien
link385 Le lundi 8 mars 2010 à 18:41:02
Inscrit le lundi 12 mai 03 - 3178 commentaires

les analyses heuristiques permettent de detecter des menaces non-connues, meme si effectivement elles peuvent passer a coter de certaines menaces.


concretement ça ne marche pas. l'antivirus n'a aucun moyen de faire la différence entre un serveur FTP et un trojan qui ouvre un port FTP. Il demandera alors à l'utilisateur... le probleme c'est que l'utilisateur qui ne comprend pas validera l'action...


un antivirus a jour seras toujours sur de le degager si il est dans ses bases, et il mettras moins longtemps a le detecter cela dit


pas si le virus a entre temps neutralisé l'antivirus, ou qu'il s'agit d'un rootkit (l'antivirus ne peut alors plus le voir)
Avatar de Vindev_HELL84 INpactien
Vindev_HELL84 Le lundi 8 mars 2010 à 18:52:34
Inscrit le mardi 3 janvier 06 - 6954 commentaires
Et pourquoi pas une LED simplement comme sur tout chargeur "normaux"?

e pire c'est qu'il y a une led qui clignote en charge et reste fixe une fois la charge complete
Avatar de ilfiniol INpactien
ilfiniol Le lundi 8 mars 2010 à 18:52:58
Inscrit le dimanche 20 mars 05 - 508 commentaires
Cette news appelle un dessin !
Avatar de JCDentonMale INpactien
JCDentonMale Le lundi 8 mars 2010 à 19:01:39
Inscrit le mardi 24 mars 09 - 1670 commentaires
Attends les gars se sont fait chier à programmer un logiciel pour un chargeur de batterie...
Avatar de huskie INpactien
huskie Le lundi 8 mars 2010 à 19:04:40
Inscrit le mercredi 20 avril 05 - 29925 commentaires
Pffff, mes accus, je lez recharge sur l'allume-cigare.

Ca s'éjecte quand ça sent le cramé.
;