Experts en sécurité chez Symantec ont découvert une application logicielle conçue pour un chargeur de batterie basé sur USB vendu par Énergisant comprenait en fait une porte dérobée cachée qui permettait un accès à distance non autorisé au système de l’utilisateur. Le cheval de Troie de porte dérobée est facilement supprimé, mais Symantec pense que le logiciel contaminé est peut-être en circulation depuis mai 2007.
Le produit est le Duo Énergisant Chargeur de batterie USB, un appareil qui charge les batteries en s’alimentant à partir d’un port USB. Le logiciel téléchargeable qui accompagne le produit – conçu pour surveiller les performances et l’état du chargeur – était disponible pour les deux Mac et les fenêtresmais selon la Équipe américaine d’intervention d’urgence informatique (US-CERT) seule la version Windows était concernée.
Symantec mentionné il a trouvé la porte dérobée après avoir analysé un composant du logiciel du chargeur USB qui lui a été envoyé par l’US-CERT. La porte dérobée est conçue pour s’exécuter à chaque démarrage de l’ordinateur, puis écouter les commandes de toute personne qui se connecte. Parmi les actions qu’un attaquant peut entreprendre après la connexion, citons le téléchargement d’un fichier ; exécuter un fichier ; envoyer une liste de fichiers sur le système ; et décharger les fichiers sur l’attaquant distant.
Le CERT américain a publié un avis qui explique plus en détail comment supprimer cette porte dérobée, si vous avez eu la malchance d’avoir installé le logiciel. Mais l’incident est le dernier rappel que les périphériques USB doivent toujours être considérés comme hostiles. À tout le moins, les utilisateurs devraient désactiver la fonction d’exécution automatique dans Windows (que de nombreuses familles de logiciels malveillants utilisent pour se greffer sur des supports amovibles) et analysez minutieusement tous les supports amovibles à la recherche de fichiers malveillants.
Dans un autre incident de malware faisant de l’auto-stop sur des périphériques USB, Sécurité Panda publié un article de blog Lundi disant qu’il avait trouvé un tout nouveau mobile Vodaphone HTC Magic avec le système d’exploitation Android de Google qui était livré en usine avec des logiciels malveillants. Selon Panda, le logiciel malveillant, qui a profité de la fonctionnalité d’exécution automatique de Windows, a été configuré pour asservir l’ordinateur hôte dans le botnet Mariposa.