Arrête-moi si tu peux
Les facéties d'un réseau de robots polymorphe
Rapport
Sommaire
Introduction 3
Présentation du ver 4
Évolution : la mutation du ver W32/Worm-AAEH 5 Algorithme de génération de domaines 6 Mécanisme de téléchargement en chaîne 7 Moteur polymorphe pour la création de vers uniques 8 Système automatisé de collecte d'échantillons 11 Prévalence 12
Prévention des infections 13
Démantèlement 14
Conclusion 14
Ce rapport a été préparé et rédigé par :
Anand Bodke Abhishek Karnik Sanchit Karve Raj Samani
Introduction
Le domaine de la cybercriminalité peut être comparé à un jeu du chat et de la souris qui voit s'affronter deux camps : les professionnels chargés de la combattre et les individus qui y voient des opportunités de profit. Il existe une multitude d'exemples où les innovations techniques réalisées de part et d'autre ont conduit un camp à prendre l'avantage à un moment donné pour se faire distancer à d'autres. Cette lutte permanente a pris de multiples formes à mesure que les cybercriminels développaient des infrastructures de communication complexes en vue de faciliter le contrôle des logiciels malveillants, des paiements et des services de blanchiment de leurs gains mal acquis.
McAfee Labs en propose de nombreux exemples dans des rapports, des livres blancs et des articles de blog traitant de l'écosystème de la cybercriminalité et des tendances émergentes ainsi que de l'engagement pris par Intel Security et ses principaux partenaires pour perturber ou mettre un terme à ces opérations.
Si les premières avancées en matière de logiciels malveillants peuvent sembler rudimentaires aujourd'hui, force est de constater que la cybercriminalité représente une activité majeure et très lucrative. L'année dernière, Intel Security a demandé au CSIS (Center for Strategic and International Studies) de rédiger un rapport d'estimation du coût de la cybercriminalité à l'échelle mondiale. Selon le rapport, celle-ci coûte à l'économie mondiale la bagatelle de 400 milliards de dollars par an.
Que ces estimations soient jugées trop faibles pour certains ou trop élevées pour d'autres, le fait est que la cybercriminalité est une activité en pleine croissance et que les cyberattaques peuvent générer des revenus considérables. Compte tenu de leur rendement élevé, il n'est guère surprenant d'assister à des innovations impressionnantes de la part des cybercriminels et de ceux qui cherchent à les contrer. On voit ainsi apparaître des méthodes de communication peer-to-peer intégrant des dizaines de milliers de domaines pour communiquer avec les hôtes infectés ou des AET, ou techniques de contournement avancées, destinées à infiltrer les points de contrôle de sortie des réseaux approuvés.
Ce rapport s'intéresse à l'une de ces innovations mise au point par les cybercriminels : un ver autoexécutable qui échappait à toute détection en changeant constamment de forme à chaque infection. Sa capacité à muter était telle que de nouvelles variantes pouvaient apparaître jusqu'à six fois par jour.
Au début du mois d'avril 2015, une opération internationale menée par les forces de l'ordre de plusieurs pays a permis le démantèlement des serveurs de contrôle de ce réseau de robots (botnet). Pour lire le récit détaillé du démantèlement, cliquez ici.
— Raj Samani, Directeur des technologies de McAfee Labs pour la région EMEA
Suivre McAfee Labs
Présentation du ver
Les cybercriminels écrivent du code dans un but précis, généralement pour voler des informations telles que des données d'entreprise, des éléments de propriété intellectuelle et des informations d'identification bancaires. À la différence des objectifs poursuivis dans le cas d'autres familles de logiciels malveillants (malware), le but ultime du concepteur du ver décrit ici consiste à maintenir la présence de celui-ci sur l'ordinateur de la victime.
Connu sous le nom W32/Worm-AAEH (ou encore W32/Autorun.worm.aaeh, VObfus, VBObfus, Beebone, Changeup et quelques autres), la mission de cette famille de vers est de faciliter le téléchargement d'autres logiciels malveillants, notamment des voleurs de mots de passe bancaires, des rootkits, des faux antivirus et des logiciels de demande de rançon (ransomware). Les logiciels malveillants comportent des fonctionnalités propres aux vers pour se propager rapidement à de nouveaux ordinateurs via les réseaux, les lecteurs amovibles (USB, CD, DVD) et des fichiers archives ZIP ou RAR.
Le ver a été écrit en Visual Basic 6. Tirant parti de la nature complexe et non documentée de Visual Basic 6 ainsi que de méthodes telles le polymorphisme et la dissimulation, W32/Worm-AAEH n'a rien perdu de son efficacité depuis sa première détection, en juin 2009.
Un logiciel malveillant polymorphe, capable de changer de forme à chaque infection, est une menace très difficile à combattre. W32/Worm-AAEH est un ver téléchargeur polymorphe dont McAfee Labs a déjà recensé plus de cinq millions d'échantillons uniques. Ce ver a eu un impact dévastateur sur les systèmes des clients (plus de 100 000 systèmes infectés depuis mars 2014). Une fois introduit dans le système, le ver mute toutes les quelques heures et se propage rapidement sur le réseau, téléchargeant au passage une multitude de logiciels malveillants dont des voleurs de mots de passe, des logiciels de demande de rançon, des rootkits, des robots utilisés pour l'envoi de spam et d'autres téléchargeurs.
Nos recherches sur le ver, sous surveillance depuis mars 2014, montrent que le serveur de contrôle remplace les échantillons par de nouvelles variantes entre une et six fois par jour et que le moteur polymorphe côté serveur distribue des échantillons propres au client, de façon à ce qu'un échantillon unique soit transmis à chaque nouvelle demande de téléchargement. Cette surveillance proactive et automatisée a permis à McAfee Labs de garder une longueur d'avance sur ces adversaires en termes de détection et de suppression, et de bloquer l'offensive des logiciels malveillants dans les environnements de nos clients.
Ce rapport décrit le système d'automatisation développé en mars 2014 par McAfee Labs pour reproduire le comportement de communication du ver et exploiter ses serveurs de contrôle pour en extraire les logiciels malveillants.
Ce système a permis aux chercheurs de bénéficier d'un accès « jour zéro » aux logiciels malveillants et de surveiller l'activité du réseau de robots, aidant ainsi les clients à prévenir l'infection. Ainsi, l'automatisation a considérablement réduit le nombre d'infections des systèmes des clients et limité le risque d'escalade.
Un ver est un type de logiciel malveillant qui se réplique afin de se propager à d'autres ordinateurs.
En règle générale, il se répand via le réseau en exploitant les vulnérabilités de sécurité des systèmes cibles pour y accéder.
Une fois un système infecté, un ver y installe souvent une porte dérobée (backdoor) pour le transformer en « zombie » que son auteur pourra contrôler. Le réseau de systèmes zombies est qualifié de réseau de robots, ou botnet.
Partager ce rapport
Le ver W32/Worm-AAEH a ceci de remarquable qu'il modifie ses empreintes propres au système plusieurs fois par jour pour échapper à la détection.
Évolution : la mutation du ver W32/Worm-AAEH
Le premier échantillon du ver W32/Worm-AAEH (6ca70205cdd67682d6e86c- 8394ea459e) a été identifié le 22 juin 2009 (compilé le 20 juin). Il a été détecté sous le nom Generic Packed.c. Dès la mise en circulation de cette première version, l'intention des auteurs du ver était claire : compliquer la tâche d'analyse en enregistrant chaque chaîne en tant que caractères individuels et en les concaténant au moment de l'exécution. Toutefois, hormis cette étape, aucune autre fonctionnalité ne venait empêcher l'analyse du logiciel malveillant.
L'échantillon possédait des fonctionnalités limitées qui lui permettaient d'exécuter les actions suivantes :
■S'exécuter au démarrage du système et se dissimuler dans le répertoire du profil utilisateur
■Se copier sur tous les lecteurs amovibles et utiliser un fichier autorun.inf masqué pour se lancer automatiquement Utiliser la chaîne « Open folder to view files » (Ouvrir le dossier pour afficher les fichiers) comme texte d'action dans la langue locale (16 langues prises en charge)
■Désactiver la commande d'arrêt des applications du Gestionnaire des tâches de Microsoft Windows pour éviter d'être lui-même arrêté manuellement par l'utilisateur
■ Contacter un domaine codé en dur (ns1.theimageparlour.net) pour télécharger et exécuter d'autres logiciels malveillants.
Au fil du temps, les auteurs du ver ont introduit de nouvelles fonctionnalités.
À l'heure actuelle, celui-ci peut effectuer les actions suivantes :
■Détecter les machines virtuelles et les logiciels antivirus
■Interrompre les connexions Internet à destination des adresses IP des éditeurs de solutions de sécurité
■Utiliser un algorithme de génération de noms de domaines (DGA, Domain Generation Algorithm) pour rechercher ses serveurs de contrôle
■Injecter des logiciels malveillants dans des processus existants
■Utiliser le chiffrement
■Désactiver les outils pour éviter qu'ils n'arrêtent son exécution
■Se propager via des lecteurs CD/DVD amovibles
■Exploiter une vulnérabilité des fichiers LNK (CVE-2010-2568)
■S'introduire dans des archives ZIP ou RAR pour favoriser sa persistance et sa propagation
Le ver se décline en deux composants, à savoir Beebone et VBObfus (également connu sous le nom de VObfus), possédant chacun une série de fonctionnalités.
Le premier composant joue le rôle d'un téléchargeur pour VBObfus, qui contient, quant à lui, toutes les fonctionnalités du cheval de Troie et du ver.
Plusieurs techniques de dissimulation et de contournement des analyses rendent la détection difficile. Par ailleurs, les méthodes de chiffrement sont fréquemment mises à jour et diverses optimisations à l'aide de code de projets logiciels en source libre compliquent encore la tâche des outils d'analyse. Ces stratagèmes ont, sans grande surprise, permis au ver de ne rien perdre de son efficacité depuis sa mise au jour en 2009.
Partager ce rapport
L'adresse IP du même serveur de contrôle est enregistrée dans plusieurs chaînes secrètes.
Algorithme de génération de noms de domaines
W32/Worm-AAEH utilise un algorithme de génération de domaines simple mais efficace qui permet aux distributeurs de logiciels malveillants de modifier les noms de domaine et les adresses IP des serveurs à la demande (par exemple, en cas de blocage par les produits de sécurité) lors des communications avec les hôtes infectés.
■L'algorithme peut être représenté sous la forme {chaîne_secrète}{N}.{DPN}, chaîne_secrète étant une chaîne cachée codée en dur dans l'échantillon malveillant.
■N est un nombre compris entre 0 et 20.
■DPN, ou domaine de premier niveau, peut représenter l'une des chaînes suivantes : com, org, net, biz, info.
Alors que N et DPN restent généralement constants, la chaîne secrète change de temps en temps. À un moment donné, le distributeur de logiciels malveillants configure les enregistrements DNS appropriés pour la chaîne secrète actuelle et la précédente afin que les échantillons plus anciens puissent se connecter aux nouveaux serveurs pour effectuer les mises à jour.
Par exemple, le 14 septembre 2014, le serveur de contrôle avait l'adresse IP 188.127.249.119. Cette adresse IP était enregistrée sous plusieurs noms de
domaine avec la chaîne secrète actuelle ns1.dnsfor et la chaîne précédente ns1.backdates. Comme illustré dans l'image suivante, certains noms de domaines générés par l'algorithme sont parfaitement résolus.
Les logiciels malveillants utilisent un algorithme de génération de noms de domaines pour créer régulièrement un nombre important de noms de domaine dont ils se serviront pour échanger des informations. Face au volume important de noms de domaines générés, les forces de l'ordre éprouvent de grandes difficultés à démanteler les réseaux de robots.
Partager ce rapport
Mécanisme de téléchargement en chaîne
L'une des raisons pour lesquelles cette menace donne du fil à retordre aux logiciels antivirus est que le ver peut se remplacer par de nouvelles variantes avant que des signatures soient créées pour les neutraliser. Cette tactique est mise en œuvre grâce à un mécanisme de téléchargement en chaîne qui consiste, pour chacun des deux composants du ver W32/Worm-AAEH (Beebone et VBObfus), à télécharger de nouvelles variantes de l'autre. Cela garantit la persistance du ver même en cas de détection de l'un des composants par un logiciel de sécurité puisque le composant qui sera passé entre les mailles du filet finira par télécharger une version non détectée de son homologue.
Le téléchargement en chaîne est initié par un autre composant, détecté par McAfee Labs sous la désignation Generic VB.kk. Conçu exclusivement pour télécharger Beebone, cet échantillon est transmis par des kits d'exploits et des attaques d'ingénierie sociale. Un composant sans rapport avec les autres — Downloader-BJM — est un robot IRC qui communique avec le même serveur de contrôle mais n'a aucune interaction avec le ver W32/Worm-AAEH.
Le processus est illustré ci-après :
Processus d'infection par le ver W32/Worm-AAEH.
Réponse reçue par Generic VB.kk à l'étape 3.
Generic VB.kk contacte le serveur de contrôle avec les informations de la victime.
3
Ordinateur victime 1 Serveur de contrôle
Accessible aux logiciels malveillants via l'algorithme de génération de noms de domaines
Le serveur de contrôle renvoie Beebone.
4
Beebone contacte le serveur de contrôle.
5
Le serveur de contrôle renvoie une série de logiciels malveillants dont VBObfus et d'autres logiciels tiers tels que Cutwail, Necurs, Upatre et Zbot.
6
VBObfus contacte le serveur de contrôle.
7
Le serveur de contrôle renvoie (à nouveau) Beebone.
8
Kit d'exploits
La victime visite la page malveillante.
1 Ordinateur victime 2
Le kit d'exploits installe Generic VB.kk.
2
Downloader-BJM (robot IRC)
Dans l'illustration précédente, Beebone (étape 4) télécharge une nouvelle variante de VBObfus (6), qui remplace l'ancienne version de Beebone par une nouvelle variante du composant (8). La chaîne de téléchargement se présente comme suit :
Partager ce rapport
Cette réponse inclut la commande (download), l'URL et le nom de fichier à utiliser lors de l'enregistrement de la variante de Beebone téléchargée. L'URL renvoie un blob (Binary Large OBject) chiffré à l'aide de l'algorithme RC4 et qui, une fois déchiffré, représente la variante de Beebone.
La décompression de ce blob révèle une nouvelle variante de Beebone.
Les URL déchiffrées fournissent d'autres logiciels malveillants à l'emplacement actuel.
Blob chiffré Fichier binaire déchiffré
Beebone contacte à nouveau le serveur de contrôle (7) et reçoit un blob chiffré qui, après déchiffrement, donne une série d'URL (8) :
Chaque URL renvoie des blobs chiffrés qui, après déchiffrement, donnent Beebone et d'autres logiciels malveillants, le cycle se répétant à l'infini.
Moteur polymorphe pour la création de vers uniques
Avant d'avoir recours à des outils de chiffrement disponibles sur le marché en juillet 2014, le ver W32/Worm-AAEH utilisait un moteur polymorphe côté serveur qui générait des fichiers binaires de ver spécifiques à la victime. Pour ce faire, le moteur utilisait les informations (numéro de série du lecteur C et nom d'utilisateur) contenues dans la demande de téléchargement comme source de génération de chaînes aléatoires. Ces chaînes étaient remplacées à certains emplacements précis du fichier. L'une d'entre elles était utilisée comme clé de déchiffrement des chaînes ou du fichier binaire incorporés et exigeait le chiffrement de toutes les informations en texte clair à l'aide des nouvelles chaînes générées aléatoirement :
Comparaison octet par octet de deux fichiers binaires générés par le moteur polymorphe.
L'en-tête du fichier exécutable est identique.
Les différences entre les deux échantillons (en rouge) montrent la capacité de mutation du logiciel malveillant.
Partager ce rapport
Le moteur polymorphe conservait également des informations sur l'origine de l'échantillon en lui ajoutant un marqueur en préfixe. Des lettres d'alphabet uniques étaient mappées à des numéros de ports de téléchargement individuels situés dans les plages 7001–7008, 8000–8003 et 9002–9004, et indiquaient que l'échantillon était téléchargé par Beebone. Un nombre à deux chiffres signifiait que l'échantillon avait été téléchargé par le logiciel malveillant VBObfus à partir de ports compris entre 20000 et 40000.
Les différences (en rouge) montrent que les noms de projet sont modifiés chaque fois qu'un nouveau fichier binaire est généré.
Modifications dans les chaînes et les données chiffrées.
Partager ce rapport
Système automatisé de collecte d'échantillons
En mars 2014, McAfee Labs a mis au point un système automatisé pour
communiquer avec les serveurs de contrôle de W32/Worm-AAEH et télécharger les nouveaux vers dès leur mise à disposition par le distributeur de logiciels malveillants. Notre moteur d'automatisation est conçu pour reproduire la communication du ver avec son serveur de contrôle à chaque étape de la séquence de communication décrite dans la section précédente.
Jusqu'à présent, le système a collecté plus de 20 000 échantillons uniques à partir de plus de 35 serveurs de contrôle, tous situés en Europe (voir la carte page 12), ce qui a permis aux chercheurs de McAfee Labs d'écrire des signatures de détection des échantillons avant qu'ils ne puissent infecter nos clients. Notre système a également détecté le remplacement de l'outil de chiffrement du ver le 21 juillet 2014. Le 15 septembre 2014, le ver a introduit l'outil 29A-Loader, vendu dans le marché clandestin pour 300 dollars.
À l'aide d'un nouvel algorithme de clustering de McAfee Labs, nous avons appris que l'outil de collecte avait recueilli plus de 350 variantes entre mars et août 2014 avec quelque 55 échantillons pour chacune d'elles, soit une moyenne de
58 nouvelles variantes par mois.
Partager ce rapport
Clusters découverts par l'outil de collecte d'échantillons de McAfee Labs
Hachage de code Visual Basic Nombre d'échantillons
e9e18926d027d7edf7d659993c4a40ab 934
2381fb3e2e40af0cc22b11ac7d3e3074 540
d473569124daab37f395cb786141d32a 500
7738a5bbc26a081360be58fa63d08d0a 379
d25a5071b7217d5b99aa10dcbade749d 362
7856a1378367926d204f936f1cfa3111 353
13eae0e4d399be260cfc5b631a25855d 335
987e0ad6a6422bec1e847d629b474af8 335
0988b64de750539f45184b98315a7ace 332
63463a5529a2d0d564633e389c932a37 320
Prévalence
La collection de logiciels malveillants de McAfee Labs contient plus de cinq millions d'échantillons uniques du ver W32/Worm-AAEH. Nous avons détecté plus de 205 000 échantillons sur 23 000 systèmes entre 2013 et 2014. Le fait que ces systèmes soient répartis dans plus de 195 pays prouve la portée mondiale de la menace. Les États-Unis présentent le nombre le plus élevé d'infections.
Tous les serveurs de contrôle du ver détectés par McAfee Labs entre le 14 mars 2014 et le 14 septembre 2014 étaient situés en Europe.
9 000 8 000 7 000 6 000 5 000 4 000 3 000 2 000 1 000
États-Unis Taïwan Brésil Chine France Russie Mexique Italie Pays-Bas Suède
0
Nombre total de systèmes infectés par le ver W32/Worm-AAEH entre 2013 et 2014
Source : McAfee Labs, 2015
Les systèmes américains sont la principale cible de ce ver.
Partager ce rapport
Les chiffres qui précèdent représentent une estimation prudente de la propagation de l'infection. Celle-ci se base sur les informations émanant des détections signalées par les postes du réseau McAfee Labs, soit une petite partie de l'ensemble des infections. Il se peut que les données géographiques ne correspondent pas à la propagation réelle dans la mesure où la distribution géographique des postes n'est peut être pas uniforme.
Prévention des infections
Les produits Intel Security détectent toutes les variantes de cette famille.
Les noms de détection possèdent les préfixes suivants :
■ W32/Autorun.worm.aaeh
■ W32/Worm-AAEH
■ VBObfus
■ Generic VB
En dépit de la nature polymorphe de la menace, son comportement de base est resté essentiellement inchangé, ce qui permet aux clients d'éviter facilement les infections en prenant les quelques mesures de précaution suivantes :
Règles de protection d'accès pour bloquer le ver W32/Worm-AAEH
Catégorie Règle
Protection maximale commune Empêcher l'enregistrement de programmes à des fins d'exécution automatique Défini par l'utilisateur Empêcher l'exécution de fichiers
dans le répertoire %USERPROFILE%
Défini par l'utilisateur Bloquer les connexions sortantes aux ports 7001–7008, 8000–8003, 9002–9004 et 20000–40000 (Les applications légitimes peuvent utiliser ces ports.)
Des règles supplémentaires sont publiées dans notre base de connaissances (KnowledgeBase), à la page https://kc.mcafee.com/corporate/
index?page=content&id=KB76807.
■Pare-feu — Bloquer l'accès aux domaines générés par l'algorithme DGA ns1.dnsfor{N}.{DPN}, où N représente un nombre compris entre 0 et 20 et DPN peut avoir l'une des valeurs suivantes : com, net, org, biz, info.
■McAfee Network Security Platform — Utiliser cette règle Snort pour bloquer les téléchargements de logiciels malveillants (les instructions sont publiées à la page https://community.mcafee.com/docs/
DOC-6086) :
– alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:
"W32/Worm-AAEH C2 Server Communication Detected";
flow: to_server,established; content: "User-Agent: Mozilla/4.0 (compatible\; MSIE 7.0\; Windows NT 5.1\; SV1)"; classtype:
trojan-activity; ) Découvrez comment Intel Security
peut vous aider à vous protéger contre cette menace.
Partager ce rapport
Démantèlement
Au début du mois d'avril 2015, une opération internationale menée par les forces de l'ordre de plusieurs pays a permis le démantèlement des serveurs de contrôle du réseau de robots Beebone. Le FBI, le Centre européen de lutte contre la cybercriminalité (EC3, ou European Cybercrime Centre), Intel Security et Shadowserver Foundation ont collaboré pour identifier et démanteler l'infrastructure de ce réseau de robots.
Pour lire le récit détaillé du démantèlement, cliquez ici.
Conclusion
Dans la mesure où la cybercriminalité est un secteur d'activités florissant et en pleine expansion, il n'est guère surprenant que les attaques se multiplient.
Comme l'illustre parfaitement cet exemple, les cybercriminels feront tout pour échapper aux professionnels de la sécurité informatique, au secteur de la sécurité et aux forces de l'ordre du monde entier afin de pouvoir continuer à perpétrer leurs vols en toute impunité.
La coopération de tous les acteurs est nécessaire pour arrêter de telles attaques.
Les éditeurs de solutions de sécurité doivent partager des informations cruciales entre eux, et les entreprises doivent être protégées contre les actions en justice afin de s'assurer de leur collaboration avec d'autres entreprises et leurs gouvernements dans le but de bloquer les attaques. Enfin, les autorités policières du monde entier doivent travailler main dans la main avec le secteur de la sécurité et les sociétés touchées pour neutraliser les attaques les plus malveillantes. Ce n'est qu'en unissant nos efforts que nous pouvons espérer mettre un frein à la progression des cyberattaques et au vol d'informations.
À propos de McAfee Labs
McAfee Labs est l'une des principales sources de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité.
Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques.
www.mcafee.com/fr/mcafee-labs.aspx
À propos d'Intel Security
McAfee fait désormais partie d'Intel Security. Avec sa stratégie Security Connected, son approche innovante de la sécurité optimisée par le matériel et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, Intel Security consacre tous ses efforts à développer des solutions et des services de sécurité proactifs et éprouvés, qui assurent la protection des systèmes, des réseaux et des équipements mobiles des entreprises et des particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations et aux performances éprouvées d'Intel pour faire de la sécurité un élément essentiel de chaque architecture et plate-forme informatique.
La mission d'Intel Security est de permettre à chacun de vivre et de travailler en toute confiance et en toute sécurité dans le monde numérique.
www.intelsecurity.com
Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques.
Intel et le logo Intel sont des marques commerciales déposées d'Intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright © 2015 McAfee, Inc. 61788rpt_polymorphic-botnet_0315
McAfee. Part of Intel Security.
Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France
+33 1 47 62 56 00 (standard) www.intelsecurity.com
Suivre McAfee Labs
