Trojan.ByteVerify

1. Evite les restrictions SandBox à l'aide de la classe Blackbox.class en procédant comme suit :
   
   1. Déclare un nouveau paramètre PermissionDataSet avec la valeur setFullyTrusted définie sur TRUE.
   2. Crée un paramètre PermissionSet de confiance.
   3. Définit les autorisations PermissionSet en créant sa propre classe URLClassLoader, dérivée de la classe VerifierBug.class.
      
      
2. Charge Beyond.classà l'aide de URLClassLoader à partir de Blackbox.class.
   
   
3. Obtient des droits illimités sur la machine locale en appelant la méthode .assertPermission de la classe PolicyEngine dans Beyond.class.
   
   
4. Ouvre la page Web http://www.clavus.net/lst.backs et parse le texte affiché.
   
   Par exemple, SP|www.ewebsearch.net/sp.htm signifie que la page de démarrage d'Internet Explorer sera configurée sur www.ewebsearch.net/sp.htm
   
   
5. Plusieurs liens pornographiques seront ajoutés aux Favoris.
   
   
6. Peut tenter de récupérer des programmes de composition de numéros et de les installer sur l'ordinateur infecté. Ces programmes peuvent essayer de connecter l'ordinateur infecté à des sites Web pornographiques.

• Trojan.ByteVerify fait généralement partie d'un autre contenu malveillant. Un attaquant peut utiliser le fichier de classe Java compilé pour exécuter un autre code. Il est probable que le fichier existe sous la forme VerifierBug.Class. Par exemple, un attaquant peut créer un fichier .html qui utilise le cheval de Troie, puis créer un fichier script exécutant d'autres actions, comme le paramétrage de la page de démarrage d'Internet Explorer.
• La notification d'une infection ne signifie pas systématiquement que la machine a été infectée ; cela indique simplement qu'un programme contient le fichier de classe virale. Cela ne signifie pas que le programme a utilisé une fonctionnalité malveillante.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.