Arrête-moi si tu peux

Transcription

1 Rapport Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe

2 Sommaire Ce rapport a été préparé et rédigé par : Anand Bodke Abhishek Karnik Sanchit Karve Raj Samani Introduction 3 Présentation du ver 4 Évolution : la mutation du ver W32/Worm-AAEH 5 Algorithme de génération de domaines 6 Mécanisme de téléchargement en chaîne 7 Moteur polymorphe pour la création de vers uniques 8 Système automatisé de collecte d'échantillons 11 Prévalence 12 Prévention des infections 13 Démantèlement 14 Conclusion 14 Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 2

3 Introduction Le domaine de la cybercriminalité peut être comparé à un jeu du chat et de la souris qui voit s'affronter deux camps : les professionnels chargés de la combattre et les individus qui y voient des opportunités de profit. Il existe une multitude d'exemples où les innovations techniques réalisées de part et d'autre ont conduit un camp à prendre l'avantage à un moment donné pour se faire distancer à d'autres. Cette lutte permanente a pris de multiples formes à mesure que les cybercriminels développaient des infrastructures de communication complexes en vue de faciliter le contrôle des logiciels malveillants, des paiements et des services de blanchiment de leurs gains mal acquis. McAfee Labs en propose de nombreux exemples dans des rapports, des livres blancs et des articles de blog traitant de l'écosystème de la cybercriminalité et des tendances émergentes ainsi que de l'engagement pris par Intel Security et ses principaux partenaires pour perturber ou mettre un terme à ces opérations. Si les premières avancées en matière de logiciels malveillants peuvent sembler rudimentaires aujourd'hui, force est de constater que la cybercriminalité représente une activité majeure et très lucrative. L'année dernière, Intel Security a demandé au CSIS (Center for Strategic and International Studies) de rédiger un rapport d'estimation du coût de la cybercriminalité à l'échelle mondiale. Selon le rapport, celle-ci coûte à l'économie mondiale la bagatelle de 400 milliards de dollars par an. Que ces estimations soient jugées trop faibles pour certains ou trop élevées pour d'autres, le fait est que la cybercriminalité est une activité en pleine croissance et que les cyberattaques peuvent générer des revenus considérables. Compte tenu de leur rendement élevé, il n'est guère surprenant d'assister à des innovations impressionnantes de la part des cybercriminels et de ceux qui cherchent à les contrer. On voit ainsi apparaître des méthodes de communication peer to peer intégrant des dizaines de milliers de domaines pour communiquer avec les hôtes infectés ou des AET, ou techniques de contournement avancées, destinées à infiltrer les points de contrôle de sortie des réseaux approuvés. Ce rapport s'intéresse à l'une de ces innovations mise au point par les cybercriminels : un ver autoexécutable qui échappait à toute détection en changeant constamment de forme à chaque infection. Sa capacité à muter était telle que de nouvelles variantes pouvaient apparaître jusqu'à six fois par jour. Au début du mois d'avril 2015, une opération internationale menée par les forces de l'ordre de plusieurs pays a permis le démantèlement des serveurs de contrôle de ce réseau de robots (botnet). Pour lire le récit détaillé du démantèlement, cliquez ici. Raj Samani, Directeur des technologies de McAfee Labs pour la région EMEA Suivre McAfee Labs Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 3

4 Présentation du ver Un ver est un type de logiciel malveillant qui se réplique afin de se propager à d'autres ordinateurs. En règle générale, il se répand via le réseau en exploitant les vulnérabilités de sécurité des systèmes cibles pour y accéder. Une fois un système infecté, un ver y installe souvent une porte dérobée (backdoor) pour le transformer en «zombie» que son auteur pourra contrôler. Le réseau de systèmes zombies est qualifié de réseau de robots, ou botnet. Le ver W32/Worm-AAEH a ceci de remarquable qu'il modifie ses empreintes propres au système plusieurs fois par jour pour échapper à la détection. Les cybercriminels écrivent du code dans un but précis, généralement pour voler des informations telles que des données d'entreprise, des éléments de propriété intellectuelle et des informations d'identification bancaires. À la différence des objectifs poursuivis dans le cas d'autres familles de logiciels malveillants (malware), le but ultime du concepteur du ver décrit ici consiste à maintenir la présence de celui-ci sur l'ordinateur de la victime. Connu sous le nom W32/Worm-AAEH (ou encore W32/Autorun.worm.aaeh, VObfus, VBObfus, Beebone, Changeup et quelques autres), la mission de cette famille de vers est de faciliter le téléchargement d'autres logiciels malveillants, notamment des voleurs de mots de passe bancaires, des rootkits, des faux antivirus et des logiciels de demande de rançon (ransomware). Les logiciels malveillants comportent des fonctionnalités propres aux vers pour se propager rapidement à de nouveaux ordinateurs via les réseaux, les lecteurs amovibles (USB, CD, DVD) et des fichiers archives ZIP ou RAR. Le ver a été écrit en Visual Basic 6. Tirant parti de la nature complexe et non documentée de Visual Basic 6 ainsi que de méthodes telles le polymorphisme et la dissimulation, W32/Worm-AAEH n'a rien perdu de son efficacité depuis sa première détection, en juin Un logiciel malveillant polymorphe, capable de changer de forme à chaque infection, est une menace très difficile à combattre. W32/Worm-AAEH est un ver téléchargeur polymorphe dont McAfee Labs a déjà recensé plus de cinq millions d'échantillons uniques. Ce ver a eu un impact dévastateur sur les systèmes des clients (plus de systèmes infectés depuis mars 2014). Une fois introduit dans le système, le ver mute toutes les quelques heures et se propage rapidement sur le réseau, téléchargeant au passage une multitude de logiciels malveillants dont des voleurs de mots de passe, des logiciels de demande de rançon, des rootkits, des robots utilisés pour l'envoi de spam et d'autres téléchargeurs. Nos recherches sur le ver, sous surveillance depuis mars 2014, montrent que le serveur de contrôle remplace les échantillons par de nouvelles variantes entre une et six fois par jour et que le moteur polymorphe côté serveur distribue des échantillons propres au client, de façon à ce qu'un échantillon unique soit transmis à chaque nouvelle demande de téléchargement. Cette surveillance proactive et automatisée a permis à McAfee Labs de garder une longueur d'avance sur ces adversaires en termes de détection et de suppression, et de bloquer l'offensive des logiciels malveillants dans les environnements de nos clients. Ce rapport décrit le système d'automatisation développé en mars 2014 par McAfee Labs pour reproduire le comportement de communication du ver et exploiter ses serveurs de contrôle pour en extraire les logiciels malveillants. Ce système a permis aux chercheurs de bénéficier d'un accès «jour zéro» aux logiciels malveillants et de surveiller l'activité du réseau de robots, aidant ainsi les clients à prévenir l'infection. Ainsi, l'automatisation a considérablement réduit le nombre d'infections des systèmes des clients et limité le risque d'escalade. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 4

5 Évolution : la mutation du ver W32/Worm-AAEH Le premier échantillon du ver W32/Worm-AAEH (6ca70205cdd67682d6e86c- 8394ea459e) a été identifié le 22 juin 2009 (compilé le 20 juin). Il a été détecté sous le nom Generic Packed.c. Dès la mise en circulation de cette première version, l'intention des auteurs du ver était claire : compliquer la tâche d'analyse en enregistrant chaque chaîne en tant que caractères individuels et en les concaténant au moment de l'exécution. Toutefois, hormis cette étape, aucune autre fonctionnalité ne venait empêcher l'analyse du logiciel malveillant. L'échantillon possédait des fonctionnalités limitées qui lui permettaient d'exécuter les actions suivantes : S'exécuter au démarrage du système et se dissimuler dans le répertoire du profil utilisateur Se copier sur tous les lecteurs amovibles et utiliser un fichier autorun.inf masqué pour se lancer automatiquement Utiliser la chaîne «Open folder to view files» (Ouvrir le dossier pour afficher les fichiers) comme texte d'action dans la langue locale (16 langues prises en charge) Désactiver la commande d'arrêt des applications du Gestionnaire des tâches de Microsoft Windows pour éviter d'être lui-même arrêté manuellement par l'utilisateur Contacter un domaine codé en dur (ns1.theimageparlour.net) pour télécharger et exécuter d'autres logiciels malveillants. Au fil du temps, les auteurs du ver ont introduit de nouvelles fonctionnalités. À l'heure actuelle, celui-ci peut effectuer les actions suivantes : Détecter les machines virtuelles et les logiciels antivirus Interrompre les connexions Internet à destination des adresses IP des éditeurs de solutions de sécurité Utiliser un algorithme de génération de noms de domaines (DGA, Domain Generation Algorithm) pour rechercher ses serveurs de contrôle Injecter des logiciels malveillants dans des processus existants Utiliser le chiffrement Désactiver les outils pour éviter qu'ils n'arrêtent son exécution Se propager via des lecteurs CD/DVD amovibles Exploiter une vulnérabilité des fichiers LNK (CVE ) S'introduire dans des archives ZIP ou RAR pour favoriser sa persistance et sa propagation Le ver se décline en deux composants, à savoir Beebone et VBObfus (également connu sous le nom de VObfus), possédant chacun une série de fonctionnalités. Le premier composant joue le rôle d'un téléchargeur pour VBObfus, qui contient, quant à lui, toutes les fonctionnalités du cheval de Troie et du ver. Plusieurs techniques de dissimulation et de contournement des analyses rendent la détection difficile. Par ailleurs, les méthodes de chiffrement sont fréquemment mises à jour et diverses optimisations à l'aide de code de projets logiciels en source libre compliquent encore la tâche des outils d'analyse. Ces stratagèmes ont, sans grande surprise, permis au ver de ne rien perdre de son efficacité depuis sa mise au jour en Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 5

6 Les logiciels malveillants utilisent un algorithme de génération de noms de domaines pour créer régulièrement un nombre important de noms de domaine dont ils se serviront pour échanger des informations. Face au volume important de noms de domaines générés, les forces de l'ordre éprouvent de grandes difficultés à démanteler les réseaux de robots. Algorithme de génération de noms de domaines W32/Worm-AAEH utilise un algorithme de génération de domaines simple mais efficace qui permet aux distributeurs de logiciels malveillants de modifier les noms de domaine et les adresses IP des serveurs à la demande (par exemple, en cas de blocage par les produits de sécurité) lors des communications avec les hôtes infectés. L'algorithme peut être représenté sous la forme {chaîne_secrète}{n}.{dpn}, chaîne_secrète étant une chaîne cachée codée en dur dans l'échantillon malveillant. N est un nombre compris entre 0 et 20. DPN, ou domaine de premier niveau, peut représenter l'une des chaînes suivantes : com, org, net, biz, info. Alors que N et DPN restent généralement constants, la chaîne secrète change de temps en temps. À un moment donné, le distributeur de logiciels malveillants configure les enregistrements DNS appropriés pour la chaîne secrète actuelle et la précédente afin que les échantillons plus anciens puissent se connecter aux nouveaux serveurs pour effectuer les mises à jour. Par exemple, le 14 septembre 2014, le serveur de contrôle avait l'adresse IP Cette adresse IP était enregistrée sous plusieurs noms de domaine avec la chaîne secrète actuelle ns1.dnsfor et la chaîne précédente ns1.backdates. Comme illustré dans l'image suivante, certains noms de domaines générés par l'algorithme sont parfaitement résolus. L'adresse IP du même serveur de contrôle est enregistrée dans plusieurs chaînes secrètes. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 6

7 Mécanisme de téléchargement en chaîne L'une des raisons pour lesquelles cette menace donne du fil à retordre aux logiciels antivirus est que le ver peut se remplacer par de nouvelles variantes avant que des signatures soient créées pour les neutraliser. Cette tactique est mise en œuvre grâce à un mécanisme de téléchargement en chaîne qui consiste, pour chacun des deux composants du ver W32/Worm-AAEH (Beebone et VBObfus), à télécharger de nouvelles variantes de l'autre. Cela garantit la persistance du ver même en cas de détection de l'un des composants par un logiciel de sécurité puisque le composant qui sera passé entre les mailles du filet finira par télécharger une version non détectée de son homologue. Le téléchargement en chaîne est initié par un autre composant, détecté par McAfee Labs sous la désignation Generic VB.kk. Conçu exclusivement pour télécharger Beebone, cet échantillon est transmis par des kits d'exploits et des attaques d'ingénierie sociale. Un composant sans rapport avec les autres Downloader-BJM est un robot IRC qui communique avec le même serveur de contrôle mais n'a aucune interaction avec le ver W32/Worm-AAEH. Le processus est illustré ci-après : Downloader-BJM (robot IRC) Ordinateur victime 2 Serveur de contrôle Accessible aux logiciels malveillants via l'algorithme de génération de noms de domaines Generic VB.kk contacte le serveur de contrôle avec les informations de la victime. Le serveur de contrôle renvoie Beebone. Beebone contacte le serveur de contrôle. Le serveur de contrôle renvoie une série de logiciels malveillants dont VBObfus et d'autres logiciels tiers tels que Cutwail, Necurs, Upatre et Zbot. VBObfus contacte le serveur de contrôle. Le serveur de contrôle renvoie (à nouveau) Beebone. La victime visite la page malveillante. 2 Le kit d'exploits installe Generic VB.kk. Kit d'exploits Ordinateur victime 1 Processus d'infection par le ver W32/Worm-AAEH. Dans l'illustration précédente, Beebone (étape 4) télécharge une nouvelle variante de VBObfus (6), qui remplace l'ancienne version de Beebone par une nouvelle variante du composant (8). La chaîne de téléchargement se présente comme suit : Réponse reçue par Generic VB.kk à l'étape 3. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 7

8 Cette réponse inclut la commande (download), l'url et le nom de fichier à utiliser lors de l'enregistrement de la variante de Beebone téléchargée. L'URL renvoie un blob (Binary Large OBject) chiffré à l'aide de l'algorithme RC4 et qui, une fois déchiffré, représente la variante de Beebone. Blob chiffré Fichier binaire déchiffré La décompression de ce blob révèle une nouvelle variante de Beebone. Beebone contacte à nouveau le serveur de contrôle (7) et reçoit un blob chiffré qui, après déchiffrement, donne une série d'url (8) : Les URL déchiffrées fournissent d'autres logiciels malveillants à l'emplacement actuel. Chaque URL renvoie des blobs chiffrés qui, après déchiffrement, donnent Beebone et d'autres logiciels malveillants, le cycle se répétant à l'infini. Moteur polymorphe pour la création de vers uniques Avant d'avoir recours à des outils de chiffrement disponibles sur le marché en juillet 2014, le ver W32/Worm-AAEH utilisait un moteur polymorphe côté serveur qui générait des fichiers binaires de ver spécifiques à la victime. Pour ce faire, le moteur utilisait les informations (numéro de série du lecteur C et nom d'utilisateur) contenues dans la demande de téléchargement comme source de génération de chaînes aléatoires. Ces chaînes étaient remplacées à certains emplacements précis du fichier. L'une d'entre elles était utilisée comme clé de déchiffrement des chaînes ou du fichier binaire incorporés et exigeait le chiffrement de toutes les informations en texte clair à l'aide des nouvelles chaînes générées aléatoirement : Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 8

9 Comparaison octet par octet de deux fichiers binaires générés par le moteur polymorphe. L'en-tête du fichier exécutable est identique. Les différences entre les deux échantillons (en rouge) montrent la capacité de mutation du logiciel malveillant. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 9

10 Les différences (en rouge) montrent que les noms de projet sont modifiés chaque fois qu'un nouveau fichier binaire est généré. Modifications dans les chaînes et les données chiffrées. Le moteur polymorphe conservait également des informations sur l'origine de l'échantillon en lui ajoutant un marqueur en préfixe. Des lettres d'alphabet uniques étaient mappées à des numéros de ports de téléchargement individuels situés dans les plages , et , et indiquaient que l'échantillon était téléchargé par Beebone. Un nombre à deux chiffres signifiait que l'échantillon avait été téléchargé par le logiciel malveillant VBObfus à partir de ports compris entre et Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 10

11 Système automatisé de collecte d'échantillons En mars 2014, McAfee Labs a mis au point un système automatisé pour communiquer avec les serveurs de contrôle de W32/Worm-AAEH et télécharger les nouveaux vers dès leur mise à disposition par le distributeur de logiciels malveillants. Notre moteur d'automatisation est conçu pour reproduire la communication du ver avec son serveur de contrôle à chaque étape de la séquence de communication décrite dans la section précédente. Jusqu'à présent, le système a collecté plus de échantillons uniques à partir de plus de 35 serveurs de contrôle, tous situés en Europe (voir la carte page 12), ce qui a permis aux chercheurs de McAfee Labs d'écrire des signatures de détection des échantillons avant qu'ils ne puissent infecter nos clients. Notre système a également détecté le remplacement de l'outil de chiffrement du ver le 21 juillet Le 15 septembre 2014, le ver a introduit l'outil 29A-Loader, vendu dans le marché clandestin pour 300 dollars. À l'aide d'un nouvel algorithme de clustering de McAfee Labs, nous avons appris que l'outil de collecte avait recueilli plus de 350 variantes entre mars et août 2014 avec quelque 55 échantillons pour chacune d'elles, soit une moyenne de 58 nouvelles variantes par mois. Clusters découverts par l'outil de collecte d'échantillons de McAfee Labs Hachage de code Visual Basic Nombre d'échantillons e9e18926d027d7edf7d659993c4a40ab fb3e2e40af0cc22b11ac7d3e d daab37f395cb786141d32a a5bbc26a081360be58fa63d08d0a 379 d25a5071b7217d5b99aa10dcbade749d a d204f936f1cfa eae0e4d399be260cfc5b631a25855d e0ad6a6422bec1e847d629b474af b64de750539f45184b98315a7ace a5529a2d0d564633e389c932a Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 11

12 Tous les serveurs de contrôle du ver détectés par McAfee Labs entre le 14 mars 2014 et le 14 septembre 2014 étaient situés en Europe. Prévalence La collection de logiciels malveillants de McAfee Labs contient plus de cinq millions d'échantillons uniques du ver W32/Worm-AAEH. Nous avons détecté plus de échantillons sur systèmes entre 2013 et Le fait que ces systèmes soient répartis dans plus de 195 pays prouve la portée mondiale de la menace. Les États-Unis présentent le nombre le plus élevé d'infections. Nombre total de systèmes infectés par le ver W32/Worm-AAEH entre 2013 et 2014 Les systèmes américains sont la principale cible de ce ver Suède Pays-Bas Italie Mexique Russie France Chine Brésil Taïwan États-Unis Source : McAfee Labs, 2015 Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 12

13 Découvrez comment Intel Security peut vous aider à vous protéger contre cette menace. Les chiffres qui précèdent représentent une estimation prudente de la propagation de l'infection. Celle-ci se base sur les informations émanant des détections signalées par les postes du réseau McAfee Labs, soit une petite partie de l'ensemble des infections. Il se peut que les données géographiques ne correspondent pas à la propagation réelle dans la mesure où la distribution géographique des postes n'est peut être pas uniforme. Prévention des infections Les produits Intel Security détectent toutes les variantes de cette famille. Les noms de détection possèdent les préfixes suivants : W32/Autorun.worm.aaeh W32/Worm-AAEH VBObfus Generic VB En dépit de la nature polymorphe de la menace, son comportement de base est resté essentiellement inchangé, ce qui permet aux clients d'éviter facilement les infections en prenant les quelques mesures de précaution suivantes : Règles de protection d'accès pour bloquer le ver W32/Worm-AAEH Catégorie Protection maximale commune Défini par l'utilisateur Défini par l'utilisateur Règle Empêcher l'enregistrement de programmes à des fins d'exécution automatique Empêcher l'exécution de fichiers dans le répertoire %USERPROFILE% Bloquer les connexions sortantes aux ports , , et (Les applications légitimes peuvent utiliser ces ports.) Des règles supplémentaires sont publiées dans notre base de connaissances (KnowledgeBase), à la page index?page=content&id=kb Pare-feu Bloquer l'accès aux domaines générés par l'algorithme DGA ns1.dnsfor{n}.{dpn}, où N représente un nombre compris entre 0 et 20 et DPN peut avoir l'une des valeurs suivantes : com, net, org, biz, info. McAfee Network Security Platform Utiliser cette règle Snort pour bloquer les téléchargements de logiciels malveillants (les instructions sont publiées à la page DOC-6086) : alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "W32/Worm-AAEH C2 Server Communication Detected"; flow: to_server,established; content: "User-Agent: Mozilla/4.0 (compatible\; MSIE 7.0\; Windows NT 5.1\; SV1)"; classtype: trojan-activity; ) Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 13

14 Démantèlement Au début du mois d'avril 2015, une opération internationale menée par les forces de l'ordre de plusieurs pays a permis le démantèlement des serveurs de contrôle du réseau de robots Beebone. Le FBI, le Centre européen de lutte contre la cybercriminalité (EC3, ou European Cybercrime Centre), Intel Security et Shadowserver Foundation ont collaboré pour identifier et démanteler l'infrastructure de ce réseau de robots. Pour lire le récit détaillé du démantèlement, cliquez ici. Conclusion Dans la mesure où la cybercriminalité est un secteur d'activités florissant et en pleine expansion, il n'est guère surprenant que les attaques se multiplient. Comme l'illustre parfaitement cet exemple, les cybercriminels feront tout pour échapper aux professionnels de la sécurité informatique, au secteur de la sécurité et aux forces de l'ordre du monde entier afin de pouvoir continuer à perpétrer leurs vols en toute impunité. La coopération de tous les acteurs est nécessaire pour arrêter de telles attaques. Les éditeurs de solutions de sécurité doivent partager des informations cruciales entre eux, et les entreprises doivent être protégées contre les actions en justice afin de s'assurer de leur collaboration avec d'autres entreprises et leurs gouvernements dans le but de bloquer les attaques. Enfin, les autorités policières du monde entier doivent travailler main dans la main avec le secteur de la sécurité et les sociétés touchées pour neutraliser les attaques les plus malveillantes. Ce n'est qu'en unissant nos efforts que nous pouvons espérer mettre un frein à la progression des cyberattaques et au vol d'informations. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 14

15 À propos de McAfee Labs Suivre McAfee Labs McAfee Labs est l'une des principales sources de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. À propos d'intel Security McAfee fait désormais partie d'intel Security. Avec sa stratégie Security Connected, son approche innovante de la sécurité optimisée par le matériel et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, Intel Security consacre tous ses efforts à développer des solutions et des services de sécurité proactifs et éprouvés, qui assurent la protection des systèmes, des réseaux et des équipements mobiles des entreprises et des particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations et aux performances éprouvées d'intel pour faire de la sécurité un élément essentiel de chaque architecture et plate-forme informatique. La mission d'intel Security est de permettre à chacun de vivre et de travailler en toute confiance et en toute sécurité dans le monde numérique. McAfee. Part of Intel Security. Tour Franklin, La Défense Paris La Défense Cedex France (standard) Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. Intel et le logo Intel sont des marques commerciales déposées d'intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright 2015 McAfee, Inc rpt_polymorphic-botnet_0315