Adobe a posté hier un avertissement sur son blog concernant un ver postant sur des sites web de réseaux sociaux des liens vers un site malveillant. Le site en question incite les utilisateurs à installer une nouvelle version de Flash Player, afin de visionner une vidéo des 10 meilleures actualités de CNN.

Le côté "social engineering" est cette fois-ci un peu plus poussé que lors des campagnes précédentes.
Le code source de la page révèle lui aussi des informations intéressantes, puisque ce ne sont pas moins de 9 codes d'exploitations pour des vulnérabilités connues qui s'y cachent. Et contrairement à la campagne précédente, ceux-ci contiennent une charge d'exploitation fonctionnelle, visant à faire installer automatiquement la présumée mise à jour de Flash.

Du côté des vulnérabilités exploitées, on retrouve quelques grands classiques, et une petite nouvelle :

La mise à jour proposée est quand à elle la dernière version du ver Storm, pour l'instant assez peu détectée lors d'une analyse antivirale.

L'analyse comportementale nous montre les caractéristiques habituelles du ver, telles que la copie vers "CbEvtSvc.exe" et l'enregistrement de celui-ci en tant que service :

Terminons cette rapide analyse en observant le binaire dans un désassembleur/débogueur. Le packer n'est pas connu par PeID, mais celui-ci se révèle n'être qu'une succession de boucles effectuant des opérations arithmétiques sur des portions de code :

Une fois ces quelques boucles passées, le code du malware apparaît en clair, et la véritable analyse peut commencer :-)

La recommandation du jour sera la suivante : bien vérifier la provenance des mises à jour logicielles. En général, de telles mises à jours sont prises en charge directement au sein du logiciel, et ne sont pas distribuées sous la forme d'exécutables directement téléchargeables. Comme le recommande Adobe, préférez visiter le site officiel du constructeur pour obtenir les mises à jour, plutôt que de faire confiance aux pop-up intempestifs.