PROJET AUTOBLOG


shaarli-Liens en vrac de sebsauvage

Site original : shaarli-Liens en vrac de sebsauvage

⇐ retour index

A propos de ce malware qui remplace Chrome...

mardi 27 octobre 2015 à 09:23
Pour détourner le fonctionnement normal d'un ordinateur, il y a des tonnes de façon de faire: modification des exécutables (méthode la plus commune), modification des scripts de démarrage, modification des secteurs de démarrage... mais de toutes, je suis tombé sur un assez subtile, une à laquelle on ne pense pas forcément.

Je suis arrivé un jour sur un ordinateur qui n'affichait pas correctement certains sites web. Certains marchaient bien, d'autres pas du tout, d'autres s'affichaient de façon étrange. Après avoir lancé MalwareByte pour un scan complet: Rien. Quelques autres antivirus: Toujours rien de détecté.  Pas de logiciel remplacé. Le navigateur est récent et à jour. Pas de plugins/extensions bizarres dans le navigateur. Pas de service ou application étrange lancée au démarrage de l'ordinateur. Pas de fichiers hosts modifié. Aucun proxy configuré dans le navigateur.
Je me suis gratté la tête un moment... et puis l'illumination: Je suis allé voir dans la config IPv4 du système:  Les serveurs DNS avaient été détourné et configurés pour pointer vers des adresses bizarres.
Il n'y avait pas le moindre malware présent sur l'ordinateur, pas le *moindre* fichier infecté, aucun fichier de démarrage modifié. Mais par cette seule modification de la config DNS, le pirate pouvait faire afficher n'importe quoi à la place d'un site officiel.

Même sans rien installer (rootkits, chevaux de troie, virus, logiciels espions), il est possible de détourner le comportement d'un ordinateur en altérant très légèrement sa configuration. Pensez-y le jour où vous déverminez une Fenêtre™.
(Permalink)