Un botnet multi plates-formes écrit en Java

Par:
fredericmazue

jeu, 30/01/2014 - 17:49

La devise de Java "Write once - Run everywhere" deviendra-t-elle un jour "Hack once - botnet evereywhere" ? Les spécialistes en sécurité de Kaspersky Labs relatent sur leur blog  avoir découvert un malware, HEUR:Backdoor.Java.Agent de son petit nom, écrit entièrement en Java. De fait, il est capable d'infecter les machines tournant sous Windows, Linux ou Mac OS X.

Ce malware exploite une faille de Java 7, présente dans les JVM Java 7 update 21 et antérieures. Cette faille est corrigée depuis juin 2013, mais, selon Kaspersky, les utilisateurs de Java n'appliquent que peu les correctifs et de ce fait  HEUR:Backdoor.Java.Agent reste dangereux.

Le malware utilise l'obfuscateur Zelix Klassmaster. pour rendre sa détection plus difficile. Non seulement Zelix obfusque le code-byte, mais il crypte également les chaînes constantes avec une clé différente pour chaque classe. Le billet de blog mentionné plus haut contient d'intéressantes informations relatives à ce cryptage.

Lorsque le malware parvient à s'exécuter sur l'OS attaqué, il y installe un service ou un démon selon le cas, ce qui place la machine dans un botnet. Le démon est un serveur IRC qui se met à l'écoute des instructions du maître du botnet. Celui peut alors utiliser la machine pour lancer des attaques en déni de service distribuées (DDoS), activité pour laquelle HEUR:Backdoor.Java.Agent semble être principalement conçu.