Bytverify Exploit
Bytverify Exploit
|
||||
| |
Bytverify Exploit
Comment se débarasser du parasite et se protéger à l'avenir ?
ByteVerify Exploit est une exploitation d'une faille de sécurité apparue le 5 septembre 2003 dans la machine virtuelle Java de Microsoft (exploite une faille du composant de vérification du code octet (Byte Code Verify)). Cette attaque rend l'ordinateur vulnérable à des attaques ultérieures (généralement enchaînées immédiatement après l'attaque BytVerify). La vulnérabilité avait été corrigée dès le 09 avril 2003 par Microsoft dans sont bulletin MS03-011.
Il s'agit d'un parasite classé, arbitrairement, à "Cheval de Troie - Trojan" par les antivirus, ce qu'il n'est pas.
Il permet de détecter une faille de sécurité dans la machine virtuelle Java de Microsoft, donnant ainsi la possibilité à un hacker d'exécuter du code arbitraire sur une machine infectée.
Cette malveillance n'est donc qu'un composant commun à plusieurs attaques visant essentiellement à diriger les internautes, par usurpation de certains réglages de leurs machines (Hijack) vers des sites de type portails commerciaux à affiliations multiples et, surtout, vers des sites pornographiques représentant la ressource financière probablement la plus importante du Net, tenue par de véritables gangs mafieux, triades et autres "honorables sociétés". Une autre grande activité de ces crapules du Net est la transformation en zombies de vos machines pour créer des réseaux pirates, appelés BotNets, de machines robots pilotées à distance.
La pullulation des sites pornographiques crée une véritable guerre compétitive entre eux (12% des sites mondiaux et 25% du trafic sur les moteurs de recherches) et tous les moyens sont bons pour diriger les internautes vers tel ou tel portail pornographique. Vous pouvez bloquer plusieurs milliers (plus de 60.000 en septembre 2006 dans notre liste noire de blocage) de sites porno en téléchargeant notre liste hosts.
L'une des innombrales méthodes d'attaques utilisées par le gang furieux CoolWebSearch (CWS) utilise la faille ByteVerify.
Le parasite connaît d'innombrables variantes. On trouve, par exemple, un fichier nommé verifierbug.class (VerifierBug.class-5aad7e12-22ccba3f.class) qu'il faut localiser et détruire (il cherche à savoir si vous utilisez la machine virtuelle Java de Microsoft et si celle-ci est vulnérable en permettant de s'échapper de la sandbox (Blackbox.class - BlackBox.class-222b5bf4-396aa046.class), le fameux "bac à sable" ou "machine virtuelle" dans lequel sont exécutés les applications JAVA (applets) afin de les limiter et surveiller.
Comment se débarasser du parasite et se protéger à l'avenir ?
Les anti-trojan avancés, comme PestPatrol, détecte et éradique ce parasite et contiennent un moniteur temps réel qui bloque cette attaque en amont. Certains antivirus également.
Il ne suffit pas de supprimer la malveillance qui recherche cette faille, il faut corriger la faille par l'application, sur la machine virtuelle Java de Microsoft, du patch publié dans le bulletin MS03-011. Ceci n'est qu'une solution d'attente, Microsoft ayant été condamné à ne plus diffuser sa machine virtuelle Java (qu'il a abandonné, ne diffuse plus et ne maintient plus suite aux procès intentés par SUN Microsystems, l'auteur et propriétaire de Java). La solution est de remplacer la machine virtuelle Java de Microsoft par celle de SUN elle-même, beaucoup plus stable et respectant, par la force des choses, les spécifications Java.
Comment se débarasser du parasite et se protéger à l'avenir ?
ByteVerify Exploit est une exploitation d'une faille de sécurité apparue le 5 septembre 2003 dans la machine virtuelle Java de Microsoft (exploite une faille du composant de vérification du code octet (Byte Code Verify)). Cette attaque rend l'ordinateur vulnérable à des attaques ultérieures (généralement enchaînées immédiatement après l'attaque BytVerify). La vulnérabilité avait été corrigée dès le 09 avril 2003 par Microsoft dans sont bulletin MS03-011.
Il s'agit d'un parasite classé, arbitrairement, à "Cheval de Troie - Trojan" par les antivirus, ce qu'il n'est pas.
Il permet de détecter une faille de sécurité dans la machine virtuelle Java de Microsoft, donnant ainsi la possibilité à un hacker d'exécuter du code arbitraire sur une machine infectée.
- Il évite les restrictions de la SandBox de la machine virtuelle JAVA de Microsoft à l'aide de la classe Blackbox.class en procédant comme suit :
- Il déclare un nouveau paramètre "PermissionDataSet" avec la valeur "setFullyTrusted" définie sur "TRUE".
- Il crée un paramètre "PermissionSet" de confiance.
- Il définit les autorisations "PermissionSet" en créant sa propre classe "URLClassLoader", dérivée de la classe "VerifierBug.class".
- Il déclare un nouveau paramètre "PermissionDataSet" avec la valeur "setFullyTrusted" définie sur "TRUE".
- Il charge "Beyond.class" à l'aide de "URLClassLoader" à partir de "Blackbox.class".
- Il obtient des droits illimités sur la machine locale en appelant la méthode ".assertPermission" de la classe "PolicyEngine" dans "Beyond.class".
- Il ouvre un site Web désigné par la crapule exploitant la faille et analyse le texte contenu sur cette page qui contient des ordres à exécuter, sous forme d'un script écrit en Javascript ou d'un contrôle ActiveX dont, par exemple
- Réglage de la page de démarrage d'Internet Explorer sur le site choisi par la crapule (ce genre d'usurpation est appelé Hijack (voir Anti-Hijack)).
- Insertions de liens dans les favoris (par exemple, de très nombreux liens vers des sites pornographiques sont ajoutés dans les favoris.
- Téléchargement et installation de numéroteurs téléphoniques (dialers) ou de RATS (Remote Administration Tools) ou d'outils transformant la machine attaquée en zombie ou toute forme de parasitage et compromission.
- Réglage de la page de démarrage d'Internet Explorer sur le site choisi par la crapule (ce genre d'usurpation est appelé Hijack (voir Anti-Hijack)).
Cette malveillance n'est donc qu'un composant commun à plusieurs attaques visant essentiellement à diriger les internautes, par usurpation de certains réglages de leurs machines (Hijack) vers des sites de type portails commerciaux à affiliations multiples et, surtout, vers des sites pornographiques représentant la ressource financière probablement la plus importante du Net, tenue par de véritables gangs mafieux, triades et autres "honorables sociétés". Une autre grande activité de ces crapules du Net est la transformation en zombies de vos machines pour créer des réseaux pirates, appelés BotNets, de machines robots pilotées à distance.
La pullulation des sites pornographiques crée une véritable guerre compétitive entre eux (12% des sites mondiaux et 25% du trafic sur les moteurs de recherches) et tous les moyens sont bons pour diriger les internautes vers tel ou tel portail pornographique. Vous pouvez bloquer plusieurs milliers (plus de 60.000 en septembre 2006 dans notre liste noire de blocage) de sites porno en téléchargeant notre liste hosts.
L'une des innombrales méthodes d'attaques utilisées par le gang furieux CoolWebSearch (CWS) utilise la faille ByteVerify.
Le parasite connaît d'innombrables variantes. On trouve, par exemple, un fichier nommé verifierbug.class (VerifierBug.class-5aad7e12-22ccba3f.class) qu'il faut localiser et détruire (il cherche à savoir si vous utilisez la machine virtuelle Java de Microsoft et si celle-ci est vulnérable en permettant de s'échapper de la sandbox (Blackbox.class - BlackBox.class-222b5bf4-396aa046.class), le fameux "bac à sable" ou "machine virtuelle" dans lequel sont exécutés les applications JAVA (applets) afin de les limiter et surveiller.
Comment se débarasser du parasite et se protéger à l'avenir ?
Les anti-trojan avancés, comme PestPatrol, détecte et éradique ce parasite et contiennent un moniteur temps réel qui bloque cette attaque en amont. Certains antivirus également.
Il ne suffit pas de supprimer la malveillance qui recherche cette faille, il faut corriger la faille par l'application, sur la machine virtuelle Java de Microsoft, du patch publié dans le bulletin MS03-011. Ceci n'est qu'une solution d'attente, Microsoft ayant été condamné à ne plus diffuser sa machine virtuelle Java (qu'il a abandonné, ne diffuse plus et ne maintient plus suite aux procès intentés par SUN Microsystems, l'auteur et propriétaire de Java). La solution est de remplacer la machine virtuelle Java de Microsoft par celle de SUN elle-même, beaucoup plus stable et respectant, par la force des choses, les spécifications Java.
- Vous devez, sur les systèmes en disposant (Win 2000, Win XP) il faut désactiver les points de restauration puis redémarrer en "mode sans échec" (en mode vga pour Windows NT4) avant de détruire les fichiers parasites identifiés à la main (ou en exécutant un antivirus ou un anti-trojan à jour - Vous pouvez utiliser nos antivirus en-ligne (gratuits).
- Vous devez ensuite installer la machine virtuelle JAVA de SUN, l'inventeur et propriétaire de JAVA.
- Vous devez enfin, si vous décidez de conserver, simultanément à la machine virtuelle JAVA de SUN, celle de Microsoft, mettre à jour votre système en appliquant les patchs de sécurité de Microsoft (Windows Update - Microsoft Update) dont, en particulier, le patch MS03-011.
- BlackBox.class-222b5bf4-396aa046.class -
- Byte Verify Exploit -
- Byteverify Exploit -
- Bytverify Exploit -
- destructive program - Dénomination évasive de F-Prot
- Downloader.Trojan - Dénomination générique floue
- Exploit.Java.Byteverify - Dénomination de Kaspersky
- Exploit.Java.Bytverify - Dénomination de Ewido et Ikarus
- Exploit.Java.Bytverify.69B2 - Dénomination de UNA
- Exploit/ByteVerify - Dénomination de Panda et The Hacker
- Exploit-ByteVerify - Dénomination de McAfee
- Hijacker/Cws - Dénomination erronée de Fortinet et qui n'a rien à voir avec le gang CWS (CoolWebSerach)
- Java.ByteVerify.exploit -
- Java.Bytverify.896 - Dénomination de ClamAV
- Java.Shinwow.AT -
- Java.Trojan.Exploit.Bytverify -
- Java/ByteVerify - Dénomination de Grisoft AVG
- Java/ByteVerify!exploit - Dénomination de eTrust-Vet
- Java/ByteVerify!exploit!Trojan - Dénomination de eTrust-InoculateIT
- Java/Byteverify.B - Dénomination de Norman
- Java/Bytverify - Dénomination de RAV et de Microsoft
- Java/Exploit.Bytverify - Dénomination de Eset Nod32 et de Avira Antivir
- Java/Exploit.Bytverify.1 - Dénomination Avira Antivir
- Java/Exploit.Bytverify.2 - Dénomination Avira Antivir
- Java/Exploit.Bytverify.A - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.B - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.C - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.D - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.E - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.F - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.G - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.H - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.I - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.J - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.K - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.L - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.M - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.N - Dénomination de Eset Nod32
- Java/Exploit.Bytverify.O - Dénomination de Eset Nod32
- Java_Bytever.a - Dénomination de Trend
- JS:Exploit-Bytverify-1 - Dénomination de Alwil Avast
- JS:Exploit-Bytverify-2 - Dénomination de Alwil Avast
- JS:Exploit-Bytverify-3 - Dénomination de Alwil Avast
- JS:Exploit-Bytverify-4 - Dénomination de Alwil Avast
- JS:Exploit-Bytverify-5 - Dénomination de Alwil Avast
- JS:Exploit-Bytverify-6 - Dénomination de Alwil Avast
- Not-A-Virus.Exploit.Java.Bytverify - Dénomination de Ewido
- PE_Virus!Maximus - Dénomination évasive de F-Prot4
- Possibly a new unknown PE_Virus!Maximus - Dénomination évasive de F-Prot4
- TR/Java.ByteVerify - Dénomination de H+BEDV Antivir
- Troj/ByteVeri-F -
- Troj/BytVrfy-A - Dénomination de Sophos
- Trojan.ByteVerify - Dénomination de Symantec (Norton)
- Trojan.Exploit.Java.Bytverify - Dénomination de SoftWin BitDefender
- TrojanDownloader:Java/OpenConnection.K -
- VBS:Malware - Dénomination (complètement floue) de Alwil Avast
- verifierbug.class -
- VerifierBug.class-5aad7e12-22ccba3f.class -
- Win32/ByteVerify.26610!Exploit!Trojan -
- Troj/NoCheat-B - Dénomination de Sophos - utilise la faille Troj/ByteVeri-F pour télécharger et installer Troj/Banker-H.
- Troj/JDownL-A - Dénomination de Sophos - est un applet Java qui, lorsqu'il est exécuté, rend l'ordinateur vunérable à des attaques malveillantes.
- Troj/ByteVeri-E - Dénomination de Sophos - est un applet Java qui, lorsqu'il est exécuté, rend l'ordinateur vunérable à des attaques malveillantes.
- Troj/ByteVeri-M - Dénomination de Sophos - est un Java Applet qui exploite une faille du composant Byte Code Verify de Microsoft VM pour télécharger et exécuter un fichier exécutable.
- Troj/ByteVeri-Q - Dénomination de Sophos - est un Applet Java qui exploite une faille du composant de vérification du code octet (Byte Code Verify) de Microsoft VM. Arrive en parcourant des sites web dont les pages contiennent l'applet Troj/ByteVeri-Q. Le correctif de la faille du système d'exploitation utilisée par Troj/ByteVeri-Q est disponible sur le site web de Microsoft : MS03-011
- Trojan.Java.NoCheat -
- JAVA_NOCHEAT.A -
- Trojan.Java.ClassLoader.c -
- JAVA_BYTEVER.Q -
- Trojan.Java.ClassLoader.ai -
- Trojan.Java.ClassLoader.b -
- Blackbox Trojan -
- HTML.ByteVerify!exploit -
- HTML.ByteVerify.exploit -
- Java/ByteVerify.Exploit.240.Troj -
- Java/Shinwow.F.Blackbox.Trojan -
| Historique des révisions de ce document : |
|
02.09.06 Mise à jour
|
Rédigé en écoutant :
Music
Music