Les chercheurs en sécurité de Kaspersky ont présenté, hier, une étude complète du logiciel de cyberespionnage Adwind/JSocket, que les pirates peuvent se procurer très facilement sur Internet sous la forme d’une abonnement. Des lecteurs de 01net.com nous ont demandé comment se protéger contre ce fléau, dans la mesure où cette plate-forme permet de créer des variantes indétectables. En effet, le pirate peut « customiser » son malware et le tester grâce à un « banc de test » embarquant 23 moteurs d’antivirus. Nous avons donc posé cette question à Vitaly Kamluk, l’un des chercheurs en sécurité qui a participé à cette étude.
Selon lui, il n’existe pas de solution magique: il faut adopter toute une série de mesures pour ce protéger. En premier lieu, il faut déjà installer un antivirus. Toutes les campagnes menées avec Adwind/JSocket ne sont pas ultra-ciblées. Il se peut donc qu’un exemplaire qui arrive sur un système ait déjà été détecté ailleurs et soit déjà référencé dans une base de signatures.
Une autre mesure que l’on peut adopter est de désinstaller Java, si c’est possible. En effet, ce malware est écrit en Java et a donc besoin de ce framework pour s’exécuter. Mais supprimer Java n’est malheureusement pas suffisant, car Adwind/JSocket propose également une option d’attaque qui permet d’installer Java si celui n’est pas présent sur la machine, par l’intermédiaire de programmes écrits en HTML dynamique (.HTA) ou en VBScript (.VBS).
Modifier l’attribution applicative
Une solution relativement simple à mettre en place est alors de changer l’attribution applicative par défaut pour les fichiers Java (.JAR). « Au lieu de les faire exécuter par le framework Java, vous les associez à un éditeur de texte tel que Notepad. Même si vous vous faites avoir par l’email piégé et que vous cliquez sur la pièce jointe, il ne se passera rien », explique Vitaly Kamluk. Cette même technique fonctionne aussi avec les fichiers HTA ou VBS.
Une autre solution pourrait être de limiter l’espace d’exécution des applications Java à un certain répertoire. « Les antivirus, tels que Kaspersky, permettent de réaliser ce type de réglages », précise Vitaly Kamluk.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
