Premier virus s'attaquant aux PDA
La société Kaspersky a détecté Backdoor.WinCE.Brador.a, la première backdoor pour PDA sous PocketPC (le système d'exploitation de Microsoft basé sur Windows CE).
Rappelons à ce titre deux notions. Tout d'abord, une backdoor (porte dérobée) est la partie serveur d'un troyen, qui peut permettre la prise de contrôle à distance d'une machine qui en est infectée. Ensuite, la notion de "proof of concept" (preuve de faisabilité). Nous vous annoncions dans cette actualité l'apparition du premier virus pour Windows CE, destiné à "prouver la faisabilité" d'un virus pour cette plateforme.
Revenons à Brador. C'est un troyen classique, pesant 5632 octets : il permet l'administration du PDA à distance, à l'insu de l'utilisateur. Après la backdoor exécutée, il copie le fichier svchost.exe dans le dossier de démarrage de Windows afin de se lancer à chaque démarrage de la machine. identifie l'adresse IP du PDA, l'envoi à l'auteur du virus et ouvre le port 44299 pour attendre d'autres commandes.
Brador a été créé dans l'optique de permettre la prise de contrôle à distance d'un PDA infecté. Il permet le téléchargement et l'envoi de données et exécuter une série de commandes. Comme toutes les backdoors, il ne peut se répliquer de lui-même, et se propage donc soit sous la forme d'un fichier attaché à un e-mail, soit d'un fichier vérolé provenant d'internet ou envoyé à partir de votre machine de bureau.
"Nous sommes persuadés que des virus viables pour PDA vont apparaïtre peu après la première preuve de faisabilité effectuée sur les téléphones mobiles et Windows Mobile", commente Eugene Kaspersky, du centre de recherche de Kaspersky Labs. "WinCE.Brador.a est un logiciel tout prêt : contrairement à un virus proof of concept, Brador dispose d'un arsenal complet de fonctions destructrices typiques des backdoors".
- [Edito] Asus et les cartes mères dopées
- Riva Tuner : réactiver les 16 pipes des GeForce 6800
- Premier retard pour Counter-Strike : Source
- Baisse du prix de la mémoire
- Test - ventirad Thermaltake Fanless103 (CL-P0019)
- Windows XP SP2 en pré-commande
- Vulnérabilités dans la technologie Bluetooth
- Le SP 2 n'est pas une priorité pour les professionnels
- Résultats en retrait pour Nvidia
trop de technologie tue la technologie
brador la terror pour palm !!
c'est quoi la prochaine menace web ?
la c'est toujours fichier de démarrage .exe
hklm/software/m$/CS/run c'est lassant à force :
brador la terror pour palm !!
c'est quoi la prochaine menace web ?
la c'est toujours fichier de démarrage .exe
hklm/software/m$[g]/windows/current version/[/g]run c'est lassant à force :
et t'as oublié /run Once /Run Services
et HKCU/softw...
brador la terror [g]pour palm !![/g]
c'est quoi la prochaine menace web ?
la c'est toujours fichier de démarrage .exe
hklm/software/m$/CS/run c'est lassant à force :
Pourquoi tu parles du Palm
Parceque c'est les vacances !
Parceque c'est les vacances !
Tu veux dire qu'il écrit depuis "Palm Beach"
Tu confond pas avec Dark Brador ?
![[:nuage]](http://img.infos-du-net.com/forum/images/perso/nuage.gif)
et son fils c'est luck Kasperskywalker ?![[:grut]](http://img.infos-du-net.com/forum/images/perso/grut.gif)
![[:topicalacon]](http://img.infos-du-net.com/forum/images/perso/topicalacon.gif)
C'est vraiment nimp les commentaires
Combien de temps avant le premier virus/backdoor/troyen pour Zaurus? Les paris sont ouverts? (Les piéges à trolls aussi)
ça serait pas svchostS.exe ?
ouvre le port 44299 pour attendre d'autres commandes.
Étant donné que les pda ont quasiment toujours une ip privé (USB > routeur nat, wifi > routeur nat, GPRS > c'est une ip privé qui est donné, NATé chez l'opérateur),
la possibilité de prendre le contrôle d'une machine vérolé est quasiment nul.
Et ça n'est pas moins difficile d'envoyer le virus au pocket PC.
Ralala... ces éditeurs d'antivirus, ils nous font bien peur des fois
et t'as oublié /run Once /Run Services
et HKCU/softw...
En parlant de ça, y a pas un petit programme qui nettoie ces emplacements de la base de registre tout seul ? Parce que ça saoûle regedit puis naviguer dans la base.
Au fait, pour ceux qui veulent killer les processus mais ça marche pas sous le gestionnaire de tâches, j'ai trouvé un petit programme, il s'appelle process.exe, et sous commande DOS permet de killer les plus récalcitrants.
Au passage, ne pas killer Winlogon.exe !!! Non non non, ne pas le killer.
john san > t'as "msconfig" qui te permet de selectionner ce qui se charche au démarrage
n'empeche avec un firewall bien configuré, on en a rien a battre des ces backdoors.....
tarass > ça se fait des firewall pour PDA ??
tarass > ça se fait des firewall pour PDA ??
ps: à quand NIS 2004 pour PDA???
J'ai le fichier SVCHOST.EXE en service local, réseau et system.
Je me demande si ce fichier est le meme que celui qui affect les PDA. Je suppose qu'il est dangereux que s'il ont le copie comme le ait le troyen.
J'ai Windows XP Pro. merci de m'éclairer.
svchost c un fichier de Windows XP (par contre svchosts et svxhost sont des virus), si tu le vires tu risques pas de redémarrer dessus
svchost c un fichier de Windows XP (par contre svchosts et svxhost sont des virus), si tu le vires tu risques pas de redémarrer dessus
Oui, d'où mon commentaire de 7h40. Sinon, sous 2000, il existe aussi svchost.exe.
tarass > ça se fait des firewall pour PDA ??
oups je pensais que le port etait ouvert sur le PC et non sur le pocket PC....Maintenant comme je me sert jamais de mon PDA pour surfer....
Sinon quand on lit la new chez kaspersky le port ouvert est le 2989 et non 44299
http://www.kaspersky.com/news?id=151142122
Oui, d'où mon commentaire de 7h40. Sinon, sous 2000, il existe aussi svchost.exe.
je m'en doutais un peu mais gt pas totalement sûr, vu que je suis jaamis allé sous Win2000 il me semble
+1. Quand on parle de "svchost", je pense toujours au "svchost.exe" sous win 2000 (vieux réflex de windowsien 2000 Pro, encore que les diffs entre XP Pro et 2000 soient minimes
).
john san > t'as "msconfig" qui te permet de selectionner ce qui se charche au démarrage
Merci mais je ne veux pas savoir comment les désactiver, je veux un programme qui retire tout seul comme un grand les clés de registre lié à ces backdoor.
Genre en un clic il nettoie tout comme un grand.
Remplaçons nos pda contre des blocs notes papier .. sus aux virii !!!!
![[:ddr555]](http://img.infos-du-net.com/forum/images/perso/ddr555.gif)
Remplaçons nos pda contre des blocs notes papier .. sus aux virii !!!!
![[:ddr555]](http://img.infos-du-net.com/forum/images/perso/ddr555.gif)
Y'a des bactéries qui s'attaquent au papier hein