S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Un cheval de Troie dans le chargeur de batteries Energizer DUO USB

L'accu rie

C’est une première : dans un bulletin de sécurité, l’United States Computer Emergency Response Team (US-CERT) alerte de la présence d’un cheval de Troie dans la version Windows du logiciel accompagnant un chargeur de batterie Energizer.

energizer duo usb trojan cheval troie

L’Energizer Duo se connecte sur un port USB pour recharger des accus AAA ou AA. Il est équipé d’un logiciel pour gérer ces recharges. Et c’est en son sein que s’embarque le code malveillant. Ce code (analysé par Symantec) est de type backdoor, une porte dérobée, qui permet à un utilisateur distant via le port TCP 7777 d’envoyer ou d’importer voire d’exécuter des fichiers sur la machine faillible. Le trojan est dans le fichier Arucer.dll, enregistré dans le dossier System32. Ce fichier est appelé par UsbCharger.dll, un autre logiciel installé par Energizer Duo, via RunDLL32.exe. Pour faire bonne mesure, Arucer.dll modifie la base des registres pour s’exécuter à chaque démarrage de Windows.

energizer duo usb trojan cheval troie

Pour l’US CERT, la solution la plus simple consiste à désinstaller le logiciel du chargeur de batterie, procédure qui évitera le lancement d’Arucer.dll à chaque reboot. Le code deviendra une bombe sans système de mise à feu. Autre étape : effacer à la main Arucer.dll dans System32 voire bloquer le port 7777/TCP.  

Energizer a retiré de la vente ce produit – du moins aux Etats-Unis – et supprimé la possibilité de télécharger le logiciel piégé. Le spécialiste des batteries est en relation avec le CERT pour comprendre comment un tel code a pu s’insérer dans sa chaîne de conception ; 

Contactée, le service marketing d'Energizer France nous indique ne pas avoir entendu parler de cette problématique dans notre pays.

Il reste que c’est la première fois qu’un chargeur de batterie est ainsi vérolé. Voilà plusieurs années, lors d'une campagne promotionnelle, McDonald’s avait offert 10 000 lecteurs mp3. 10 chansons préchargées étaient en plus d’une variante de QQPass, un cheval de Troie amateur de mots de passe.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 08/03/2010 à 17:11

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 113 commentaires

Avatar de illustreanonyme INpactien
illustreanonyme Le mercredi 10 mars 2010 à 10:17:31
Inscrit le mercredi 18 février 09 - 1262 commentaires
@paradise
Je préfère les correctifs réguliers de windows, que ceux de linux qui n'arrivent pas toujours.

Microsoft fait vraiment des efforts, personne ne peut dire le contraire et ce n'est pas du marketing.
Pas de polémique please...si tu veux être sécure prends toi un bsd!

@fabricer
Suis bien de ton avis dude, except one thing
IDS .... IDS.... il te sert à quoi ?
si tu veux, la prochaine fois demande à ce qu'on te laisse un postit sur ton bureau :Hello ! U have been powned ! ( alors heureux ?)....
En plus je te mets au défi de comprendre tes logs d'ids...


Avatar de fabricer INpactien
fabricer Le mercredi 10 mars 2010 à 11:30:26
Inscrit le dimanche 12 octobre 03 - 3188 commentaires

IDS .... IDS.... il te sert à quoi ?
si tu veux, la prochaine fois demande à ce qu'on te laisse un postit sur ton bureau :Hello ! U have been powned ! ( alors heureux ?)....
En plus je te mets au défi de comprendre tes logs d'ids...


Ben comme tu l'indique à savoir que tu es owned ou qu'il y a une activité suspecte sur ton système. Bon je ne dis pas qu'il est trivial de pondre qqc d'intuitif et facile à utiliser, mais on l'a bien fait pour les firewall SW, on peut très bien le faire pour les IDS dans une certaine mesure (n'impliquer que les détections les plus basiques et les plus pertinentes pour un home user).

Pour ce qui est de mes logs d'IDS, ben pour l'instant ça va vu que je n'en ai plus sur ma machine (j'ai eu des soucis avec SNORT sur mon snow leopard)


Edité par fabricer le mercredi 10 mars 2010 à 11:31
Avatar de Pogny INpactien
Pogny Le mercredi 10 mars 2010 à 11:47:46
Inscrit le mardi 9 mars 10 - 374 commentaires
Le jour ou mon parefeu me signale une tentative d'entrée sur le port 7777 je me fais du soucis...

Un OS ca se blinde et se complète par un PAREFEU... au dessus du port 1024 on accepte pas une entrée/sortie sans lire le processus concernéhéhé
;