Commentaires : Méfiez-vous des clés USB ! Ce malware peut prendre possession de votre PC en un rien de temps

Raspberry Robin n’est, hélas, pas le nom d’une nouvelle variété de framboise, mais celui d’un ver repéré par Red Canary depuis bientôt neuf mois.

1 « J'aime »

Méfiez-vous des clés USB ! Ce malware peut prendre possession de votre PC en un rien de temps

Ok, je retourne de ce clic à carrouf acheter un micro-ondes pour cramer la clé toute neuve que je viens de leur acheter… Ainsi que toutes celles que j’ai chez moi depuis que j’ai eu mon premier PC.

Connaissez-vous une caverne ou je peux me planquer de tout ce danger incontrôlable ?

PS : au cas où ce n’était pas clair, c’est 200% ironique, marre de ces titres péripatéticlics… Par pitié laissez ce genre de titres pour faire peur aux gens, et donc forcer le clic, aux autres, c’est juste insupportable de voir ça sur Clubic !

Edit : et tout ça pour nous dire à la fin que seules les clés QNAP sont impactées en plus ?!?

C’est surtout qu’une bibliothèque logicielle c’est une DLL et pas une DDL, et que l’exécuteur c’est rundll32.exe et pas rund1132.exe…

5 « J'aime »

Pt1 ça y est je suis saoulé, j’ai l’impression de visiter gala…

Nan mais on ne peut pas concocter un titre voicièsque ET EN PLUS rédiger correctement l’article !

Vous avez tout à fait le droit de ne pas aimer cet article et de le dire, mais « No flood » s’il vous plaît :slight_smile: NB : on a précisé que cela ne concerne que « certaines » clés dans le titre

Ce n’est pas l’article le problème, c’est le traitement apporté au sujet et, oh mon dieu, ce « titre ».

Faut juste arrêter cette dérive, et passer le temps perdu à trouver ce genre de titre, à améliorer le contenu qui comme l’a noté mon co-forumeur au-dessus, contient de belles bévues.

Mon but n’était pas de flooder.

@Felaz :
Au moins, mettez à jour l’article…
M’enfin « rund1132.exe » à la place de « rundll32.exe »… ne me dites pas que vous utilisez un OCR pour scanner des articles papier !

1 « J'aime »

Aïe aïe aïe, beaucoup d’imprécisions. Voici l’article originale Raspberry Robin gets the worm early

Pour les anglophobes, mêm la traduction autmatique permet de comprendre dans les grande ligne le déroulement de l’attaque. en gros:

Une clé usb contient un fichier .lnk malicieux prenant la forme d’un dossier légitme.
la victime clique dessus et déclenche la chaîne d’exécution: cmd.exe appelle msiexec.exe qui va télécharger une dll véreuse et ainsi de suite.

Les C&C sont des NAS QNAP qui ont été compromis. Aucune rapport avec des clés usb de marque QNAP.

2 « J'aime »

Soit j’ai pas compris l’article original, soit il n’est nullement question de « clés USB fabriquées par QNAP ».
→ « Red Canary suit un ver propagé par des disques externes qui exploite Windows Installer pour atteindre les domaines associés à QNAP »

Toujours à la fin de l’article, il est résumé très clairement comment fonctionne ce worm :

  1. Il est introduit sur l’ordi via un disque amovible infecté comme un périphérique USB (nullement question explicitement de clefs usb de quelque marque que ce soit)
  2. Exécute un code malicieux qui se connecte à une URL (QNAP associated) - Ceux qui ont des NAS comprendront de quoi il s’agit.
  3. Si c’est ok, ça télécharge bouzin.
  4. Se sert de Rundll et Obdc pour exécuter la DLL.
  5. Connection au Tor nodes comme infrastructure de commande et de contrôle

Une fois connecté, le ver est en mesure de communiquer le nom d’utilisateur et d’appareil. Mais à priori pas le mot de passe.

Et pour finir, d’après VirusCentral, il est détecté par l’av de base de Windows.

1 « J'aime »

Un peu d’indulgence. Si y a erreur, ça sera corrigé.

L’article est destiné à la plus grande majorité de personnes, à titre informatif. Pas uniquement aux chevronnés/professionnels que nous sommes. Après, effectivement, ça peut déraper lors de la rédaction mais pas besoin de leur gueuler dessus.

1 « J'aime »

Un peu d’indulgence pour ce membre, c’est apparemment son seul loisir … :roll_eyes:

Il suffit très bêtement de :

  • Dans les options de l’explorateur de fichiers de décocher « Masquer les extensions des fichiers dont le type est connu » (je sais c’est bien planqué, je soupçonne Mickeysoft de le faire exprès)
  • de désactiver l’exécution des média à l’insertion des média (même remarque qu’au-dessus)

Sinon d’utiliser un OS digne de confiance…

1 « J'aime »

Exact Popoulo.
Ceux qui trouvent que des articles sont mieux écrits sur un autre site, qu’ils ne se gênent pas pour quitter Cluclu… :roll_eyes:

@serged : « Sinon d’utiliser un OS digne de confiance… » : l’av par défaut bloque ce ver. Aucun soucis si l’utilisateur ne fait pas n’importe quoi.

@SPH : On peut gueuler… mais avec un minimum de politesse. Après c’est important de signaler si erreur il y a ou si la personne qui a écrit l’article s’est égarée.

@Palou : Y a manière de dire les choses même si on est pas d’accord. C’est cool ce genre d’articles mais c’est un domaine ou on a vite fait de s’emmêler les pédales. Et une correction - s’il y a boulette - est bénéfique pour tous.

ps : Par contre ça serait sympa que le contributeur nous dise si c’est nous qu’on fabule ou s’il y a effectivement eu un problème dans la rédaction de l’article.