Guide de rétablissement à la suite d'une infection par le téléchargeur AAEH

Numéro : TR15-002
Date : Le 09 avril 2015

Le contenu de ce rapport n'est donné qu'à titre informatif. Les liens vers d'autres sites ne relevant pas du gouvernement du Canada sont fournis aux utilisateurs uniquement pour des raisons de commodité. Le gouvernement du Canada n'est pas responsable de l'exactitude, de l'à-propos ou de la fiabilité du contenu de ces sites. Il revient à chaque utilisateur de décider comment utiliser ces renseignements, en fonction de ses besoins et de ses compétences.

Objet

Le présent rapport vise à décrire le téléchargeur polymorphe AAEH, et conseiller sur les façons de rétablir un poste infecté.

Systèmes touchés

Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7 et 8
Microsoft Server 2003, Server 2008, Server 2008 R2 et Server 2012

Évaluation

Le téléchargeur polymorphe AAEH (alias Beebone,Vobfus, VBObfus et Changeup) peut infecter les poste touchés avec d'autres maliciels, notamment des chevaux de Troie de fraude bancaire, des trousses administrateur pirate, de faux antivirus et des rançongiciels chiffreurs.

Découvert en 2009, AAEH est resté actif par de nombreuses techniques. Après son installation, il se propage rapidement dans les réseaux, sur les supports amovibles (clés USB, CD et DVD), et par les archives zip et rar. Son polymorphisme lui permet de passer sous le radar des antivirus, car il se modifie à chaque infection et après quelques heures. On a ainsi détecté jusqu'à six nouvelles variantes par jour, et on connaît à ce jour 2,25 millions d'échantillons.

Incidence

Un système infecté par AAEH peut servir à diffuser d'autres maliciels, recueillir les justificatifs de l'utilisateur sur divers services en ligne dont les services bancaires, et chiffrer des fichiers importants pour les tenir en otage puis exiger un paiement pour les déchiffrer. AAEH peut déjouer les antivirus : il bloque toute connexion aux adresses IP associées aux entreprises de sécurité, et empêche l'exécution des antivirus.

Stratégies d"atténuation

Le CCRIC recommande aux organisations d'examiner les mesures ci-dessous et de les mettre en œuvre en fonction de leur environnement réseau :

Désinfection d'AAEH
Voici quelques outils de tiers qui peuvent vous aider à supprimer les infections par AAEH. Vu la nature de ce maliciel, il peut aussi être infecté par d'autres maliciels comme Zeus, Cryptolocker, ZeroAccess et Cutwail. Le CCIRC recommande d'en tenir compte dans l'élaboration de votre stratégie de désinfection.

Les liens externes suivants, en anglais, qui vous dirigent vers des outils couramment employés, ne sont fournis qu'à titre informatif et ne doivent pas être interprétés comme l'appui d'un outil ou d'une technologie en particulier :

F-Secure
Windows Vista, 7 et 8 : http://www.f-secure.com/en/web/home_global/online-scanner
Windows XP : http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142

McAfee
Windows XP SP2, 2003 SP2, Vista SP1, 2008, 7 et 8 : www.mcafee.com/stinger

Microsoft
Windows 8.1, Windows 8, Windows 7, Windows Vista et Windows XP : http://www.microsoft.com/security/scanner/en-us/default.aspx

Sophos
Windows XP (SP2) et versions ultérieures : http://www.sophos.com/VirusRemoval

Trend Micro
Windows XP, Windows Vista, Windows 7, Windows 8/8.1, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 : http://www.trendmicro.com/threatdetector

Symantec
Windows XP (SP2) et versions ultérieures : https://security.symantec.com/nbrt/npe.aspx

Références :

International Police Operation Targets Polymorphic BeeBone Botnet (une opération policière internationale cible le botnet polymorphe BeeBone)
https://www.europol.europa.eu/content/international-police-operation-targets-polymorphic-beebone-botnet

US-CERT Alert (TA15-098A) AAEH (en anglais)
https://www.us-cert.gov/ncas/alerts/TA15-098A

Shadow Server AAEH/Beebone Botnet (en anglais)
https://aaeh.shadowserver.org/

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :