Trojan "Flux"

[ode]

je viens de recevoir une newsletter de a-squared concernant ce trojan...sur secuser pas un mot de ce troyen....

je vous fais lire...(desolée c'est un peu long)

Trojan "Flux" la propagation augmente

Flux est le nom d'une nouvelle épidémie qui, en ce moment sévit dans les sous-sol d' Internet et prend des ampleurs de plus en plus effrayante. Chez le Trojan "Flux" il s'agit d'un Trojan-Backdoor, qui actuellement donne pas mal de maux de tête aux fabricants de protection de système contre les Malwares.

L'organisme nuisible fait partie de la catégorie des soi-disant "Reverse Backdoor". Reverse (Inverse) se réfère à la logique de connexion. Normalement, la partie nuisible d'un Backdoor (le serveur) ouvre un Port dans le système de la victime et attend là une connexion du dehors par le programme de contrôle (le soi-disant client). Cette procédure traditionnelle a toutefois une sérieuse faiblesse:

Si la victime se trouve dans un réseau ou "derrière" un Router (Passerelle) et/ou un Hardware Firewall, le client ne peut avoir de connexion avec le serveur et la prise en charge du PC échoue.

C'est pour cette raison que de plus en plus de Trojans-Backdoors se créent eux-même une connexion sur un Port qui, auparavant a été ouvert par le programme de contrôle (client). Puisque là, généralement le traffic de données de son propre PC est permis, donc passe au travers du Hardware Firewalls et du Router, le Backdoor peut prendre contact malgré ces mécanismes de protection, grâce au programme de contrôle (client).

La perfidie et la sournoiserie du Trojan "Flux" est moins le fait qu'il utilise cette logique de connexion inverse, mais plutôt de la façon dont elle a été mise en oeuvre. "Flux" utilise une nouvelle technique le "Code Injectings" propre au nouveau Trojan. Par "Code Injecting", on entend par là, l'injection d'un code étranger dans un processus. Jusqu'à présent la technique du "Code Injecting" était basée sur le fait d'infiltrer un nouveau module (une soi-disante DLL) dans un processus. Cette méthode (appelé aussi DLL Injecting) était facile à repérer, puisque tous modules chargés pouvaient-être déterminés et examinés. Le Trojan "Flux" en revanche écrit directement son code de connexion dans la mémoire du processus et veille à ce que celui-ci soit exécuté. À côté du fait, que beaucoup de Desktop-Firewalls prennent dans ce cas un processus légitime comme par ex: l'Internet Explorer qui veut se connecter à Internet et qui par conséquent obtient l'accès, le problème principal est que le code nuisible du Trojan "Flux" n'est lié à aucun module dans les processus et est pour la plupart des mécanismes de protection contre les Malwares simplement invisible ou indétectable. Cela rend une élimination propre et durable du Trojan "Flux" presque impossible.

Puisqu'il y a quelques temps nous avions prévu que ce genre de technique d'infection pouvait arriver, nous avons préparé une contre-mesure et nous avons développé pour a² Version 2.0 un "Scanner de mémoire de processus avancé". Puisque le Trojan "Flux" s'étend de plus en plus massivement, nous avons décidé de mettre déjà le "Scanner de mémoire de processus avancé" dans la Version 1.5.

Cela signifie pour vous, qu'a² est l'un des tous premiers programmes de protection qui entretemps est en mesure de vous protéger efficacement contre "Flux" et de désactiver "Flux" si il est actif. En outre, nous avons développé un programme de reconnaissance spéciale, que nous mettons à disposition gratuitement pour d'autres utilisateurs de logiciels Anti-Malware autres que a² pour faire un test rapide et détecté si une infection par le Trojan "Flux" y est présente. Le programme reconnaît et désactive "Flux" dans les processus contaminés et permet ainsi en relation avec un programme Anti-Malware actuel, comme par ex:a² ,d'éliminer complètement le Trojan "Flux".

Vous pouvez télécharger le "Flux" Scanner à page de a² téléchargement:
http://www.emsisoft.net/fr/software/download

qu'en pensez vous?