Œuvrant tel un fantôme sur les trois systèmes d’exploitation
depuis un moment, le malware
, qui est en réalité une porte dérobée, a enfin été repéré. Il se fait passer pour une mise à jour système.
Ils sont déjà louches ces répertoires-là à la base. De quoi rapidement éveiller les soupçons.
Ca doit un casse-tête pour les Unices. 
En tout cas, l’utilisateur lambda n’a pas grand souci à se faire. C’est déjà ça.
"aucun n’est parvenu à le détecter sur macOS et Linux. Seuls six d’entre eux ont opéré un signalement sur la version Windows. Cela signifie " qu’au final, Windows serait plus sécure que les 2 autres.
Après il serait bien de savoir comment il infecte réellement.
Incroyable tous ces nouveaux malwares, ces failles découvertes chaque jour, on se croirait sous XP et son lot de malwares, Seven a vraiment eue une période d’accalmie.
Récemment une faille vient d’être repérée au sein de Microsoft Defender, l’antivirus intégré à Windows 10.
La faille en question date de 8 ans et n’a jamais été comblée par Microsoft. À ce jour, on ne sait pas si elle a pu être exploitée. Relativement simple, la faille est assez banale et simple à exploiter.
« Ils sont déjà louches ces répertoires-là à la base. »
1/ Pourquoi est-il louche alors qu’il existe par défaut depuis Windows 95 ?
2/ Par défaut, indispensable et invisible, qui va le suspecter ?
3/ Pourquoi le quidam n’aurait pas à s’en soucier ? Nombre d’infections d’abord réservé à qq acteurs se sont généralisés.
Plutôt ingénieux 
« un injecteur de premier niveau » De ce que je sais, ce type d’injecteur se comporte comme un cheval de Troie minimaliste qui lance ensuite des commandes pour installer (ou télécharger et installer) le logiciel malveillant a proprement parlé. Pourquoi parle-t-on de « premier ordre » ? (je n’ai vu ça nulle part).
Une DLL est une bibliothèque dynamique (par opposition à statique, car les fonctions qui la contiennent sont chargées uniq. si besoin). Elle ne se lance pas seule, mais est chargé par un programme.
→ « une bibliothèque de liens dynamiques qui fournit la plupart des fonctionnalités du système d’exploitation », ne veut rien dire et est semble-t-il faux.
Il faut être précis sans quoi c’est incompréhensible.
Plus un logiciel est gros, plus il peut avoir des bugs. Alors, imaginez avec Windows 10 (ou 11)
Du tout, non.
Je te suggère cet excellent article de Microsoft qui détaille (ce que nous, nous ne pouvons pas détailler dans un seul et même article d’actu au risque de pondre des pavés de 2 500 mots à la moindre actualité ^^) davantage les propriétés d’une DLL > Bibliothèque de liens dynamiques (DLL) - Windows Client | Microsoft Docs
Avec pour citation :
"Pour les Windows d’exploitation, la plupart des fonctionnalités du système d’exploitation sont fournies par la DLL. En outre, lorsque vous exécutez un programme sur l’un de ces systèmes d’exploitation Windows, une grande partie des fonctionnalités du programme peuvent être fournies par les DLL. Par exemple, certains programmes peuvent contenir de nombreux modules différents, et chaque module du programme est contenu et distribué dans des DLL.
L’utilisation de DLLs permet de promouvoir la modularisation du code, la réutilisation du code, l’utilisation efficace de la mémoire et la réduction de l’espace disque. Ainsi, le système d’exploitation et les programmes se chargent plus rapidement, s’exécutent plus rapidement et prennent moins d’espace disque sur l’ordinateur"
Je pense que les explications détaillées de Microsoft sont, si on en a le temps évidemment, plus instructives que les nôtres, que l’on ne peut pas détailler et encore moins dans des termes qui ne seraient accessibles qu’aux initiés. Ca peut être un des défauts de la « vulgarisation » 
Pour ce qui est de la qualification de « premier niveau » donnée par Intezer, je pense qu’il s’agit d’une formulation qui aide à résumer « le premier niveau ou début » de la démonstration de ce qu’est concrètement SysJoker.
(Précisons que des journalistes issus d’autres médias - et je ne veux pas leur jeter la pierre hein - auraient sans doute botté en touche et n’auraient pas pris la peine de répondre à ton - pertinent - message. Mais parfois, c’est bien de prendre quelques minutes pour le faire, surtout si ça peut aider à comprendre telle ou telle chose).
Bonne soirée
1 « J'aime »
6 qui ont fait une détection mais on aimerait bien savoir lesquels
1 « J'aime »
C:\ProgramData\SystemData existe par défaut ???
Ca ressemble à un truc qui pourrait exister, mais cela n’existe pas.
Je viens de vérifier sur plusieurs VM de différentes version de Windows.
L’histoire me parait fumeuse : indétectable alors que c’est un fichier au nom bien précis dans un dossier bien précis !?!
Il n’était peut-être pas répertorié, jusqu’ici. C’est tout.
Pour le reste, rien dans l’article ne laisse entrevoir autre chose qu’un backdoor comme il en existe des dizaines. Un bootstrap qui télécharge un truc plus gros, ça n’a rien de neuf et c’est même plutôt classique (y compris dans les setup légitime).
« arrive à se frayer un chemin » : c’est à dire? comment ? C’est ça qui serait intéressant.
Si cela demande une action initiale de l’utilisateur, il n’y a rien de neuf.
Parce qu’un fois qu’on est dans la machine, lancer un autre exe, des commandes PowerSheel ou télécharger des trucs, ça ne demande aucun génie. L’important c’est comment le premier étage arrive dans la machine et passe l’élévation de privilège. Tout ce qu’il y a après, c’est du blabla.
Le truc qui m’a vraiment fait marrer c’est le : « avec un mouvement latéral qui pourrait également conduire à une attaque par rançongiciel » :
Ca fait peur … il n’y a pas à dire. Mais, oui, un backdoor, ça fait ce que ça veux, donc éventuellement du rançongiciel.
Mais des centaines de médias IT ont parlé de la société Intezer, capable de découvrir un trojan d’un nouveau genre. 
À ce stade, impossible de le savoir malheureusement… Mais il est possible (je dis bien « possible ») qu’il y en ait davantage désormais qui soient capables de le détecter.
Un trojan ou autre peut aussi faire planter un ordinateur, malgré lui malheureusement, ce qui alerte immédiatement. Les hackers ne sont pas toujours si vaillants et leurs bébés si infaillibles que cela.
Dès lors où il y a eu plantage, le trojan ou autre n’est plus invisible/indétectable.
ce dossier n’existe pas dans windows et pas comme le gus plus haut qui raconte n’importe quoi ?
1 « J'aime »
ProgramData existe bien, de manière invisible par défaut, mais SystemData non.
2 « J'aime »
, Bravo, mais j’aurais aimé plus de précisions de la part de Clubic comme quels antivirus l’ont signalés sur Windows.
J’ai envie de pleurer de dépit quand je lis le mécanisme d’infection … et … non rien.
Risible en fait.
Il y a beaucoup plus efficace en mode stealth …
Plus qu’une chose à faire:
Machine virtuelle avec infos de débug.
Nan en vrait je pense pas que l’on voient mieux comment il fonctionne comme ça. 
finalement, on espère qu’il n’est pas indétectable, mais surtout non détecté et que ça va très vite se corriger (y compris ses variants)
mais de base, ce qui m’inquiète le plus, c’est qu’on ne sait pas comment il est arrivé là, et le fait qu’il infecte aussi bien Linux, MacOS que Windows ne me semble pas une bonne nouvelle
Ce n’est pas le même code qui infecte les 3 O/S, les implémentations sont spécifiques à chacun - mais on sait qu’elles viennent du même groupe car elles prennent des commandes à distance de la même façon.
De l’article source :
The malware is written in C++ and each sample is tailored for the specific operating system it targets.
Quant à la méthode d’arrivée, c’est probablement l’installation d’un programme à partir d’une source non sure.
1 « J'aime »
Il y a déjà eu des articles à ce sujet où c’est un dépôt par exemple qui a été volontairement infecté en y publiant le code malveillant dissimulé dans une soit disante mise à jour. Et par l’installation de mises à jours, l’infection se répand.
L’exemple relaté était celui de Microsoft lui-même qui a été ou aurait été piraté par cette méthode. C’était l’article sur des données clients du support qui auraient été volées.
1 « J'aime »