Publié le 25 Mai 2010

Quand les malwares se font passer pour de vrais anti-virus

  Les cybercriminels ne manquent pas d'originalité puisque l'éditeur en sécurité Bitdefender a constaté qu'un malware "Bytedefender", un faux anti-virus ou rogue dans le jargon sécurité, circule en se faisant passer pour lui.

 Pour tromper la vigilance des internautes, le faux site de Bytedefender (www.bytedefender.in) a repris le visuel et la charte graphique du véritable site de l'éditeur Bitdefender. Si l'internaute à la recherche de l'antivirus saisit mal l'URL, il sera redirigé vers le faux site web et installera sur l'ordinateur de la victime un "Scareware" dont la fonction est d'envoyé de fausses alertes d'infection afin de télécharger un faux antivirus

 Est-ce qu'on assiste à une nouvelle génération d'attaque de type contre façon, cette pratique peut s'avérer dangereuse pour l'internaute s'il ne fait pas suffisamment attention.

 Heureusement que l'éditeur a repéré rapidement ce malware détecté sous le nom de Trojan.FakeAV.KZO, de plus il a développé un outil de désinfection pour nettoyer les ordinateurs des utilisateurs touchés par cette infection.

Télécharger l'outil de suppression

Source : Bitdefender

Comprendre l'insécurité sur Internet : www.theshield.fr

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 23 Mai 2010

McAfee : Des clés USB comme support d'infection

 Le rapport trimestriel de l'éditeur McAfee mentionne que les clés USB sont devenus un des vecteurs d'attaques de malwares en s'attaquant au programme Autorun des périphériques externes.

 La raison est des plus simples puisque ce support de stockage est trèsfacile à utiliser ou à transporter donc une cible de choix pour les cybercriminels.

 Dans le top cinq des malwares, deux sont utilisés par le port USB.
- Generic! Atr : logiciel générique s’attaque aux périphériques externes.
- Generic.dx : Chevaux de Troie génériques.
- W32/Conficker.worm!inf : ver Conficker sur périphérique amovible
- Programme potentiellement indésirable générique
- Gamevance : logiciel de jeu en ligne qui collecte des statistiques anonymement.

 Autre constat, le spam se développe dans les pays émergents où l'usage d'Internet se démocratise comme la Thaïlande, la Roumanie, les Philippines, l'Indonésie, la Colombie, le Chili, la Chine et le Brésil. A l'opposé en Chine, Corée du Sud et au Vietnam ce serait plutôt une recrudescence.

 Ce fléau représente pour le premier trimestre environ 90% de la totalité des e-mails envoyés chaque jour dans le monde, soit une hausse de 5% par rapport au dernier semestre 2009.

Source : McAfee

Comprendre l'insécurité sur Internet : www.theshield.fr

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 22 Mai 2010

Windows : Cheval de Troie pour la béta office 2010

 L'éditeur de logiciel en sécurité Bidefender émet une alerte contre une fausse version vérolé d'Office 2010

 Toujours la même technique virale, l'internaute reçoit un mail avec pour objet : "see office 2010 Beta in action" (Testez la version bêta d’Office 2010). Le corps du message présente les nouveautés de la suite de Microsoft, afin de pouvoir évaluer le produit une pièce-jointe permet de télécharger une version béta d'autant plus que Microsoft propose une version de sa suite bureautique.

 Une fois téléchargé et décompressé, le nom du fichier correspond à une clé d'activation (combinaison de lettres et de chiffres mais malheureusement pour la victime, l'installation de la soi disante version d'office contient un Cheval de Troie identifié par Bitdefender sous Trojan.Downloader.Delf.RUJ.

 Ce malware crée une copie de lui-même puis modifie la base de registre pour exécuter une copie à chaque démarrage de Windows ce qui lui permet d'ouvrir une porte dérobée (Backdoor) en se connectant à un site web contenant des programmes malsains, des adwares ou spywares, dont le but sera d'afficher des pop-up publicitaires.

 Pour rappel les éditeurs de logiciels proposent un lien pour télécharger leurs logiciels et non une pièce jointe.

Source : Bitdefender

Comprendre l'insécurité sur Internet : www.theshield.fr

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 22 Mai 2010

 Des chercheurs américains de l'université de Washington, ont démontré qu'il était possible de contrôler les systèmes électroniques des voitures modernes, nommés ECU (Electronic Control Unit).

 En agissant sur les ports américains On-Board-Diagnostic (OBD - II) situé sous le tableau de bord, les chercheurs, grâce à un programme crée spécialement pour la démo appelé CarShark, pouvaient prendre le contrôle du système électronique à savoir freins, moteurs, ceintures de sécurité, lumières, chauffage et climatiseur, indicateur du tableau de bord... Concernant la norme Européenne E-OBD, la démarche est également possible.

 Pour l'instant, il faut être à l'intérieur du véhicule mais qu'est-ce qui se passerait si une personne mal intentionné arrivait en utilisant une connexion Internet en Wi-Fi à contrôler le véhicule. Un constat relativement inquiétant, les constructeurs vont devoir anticiper sur les futures protections électroniques et informatiques embarqués à bord des voitures.

Source : Autosec

Voir les commentaires

Rédigé par DarkNight

Publié dans #Internet

Repost 0

Publié le 18 Mai 2010

Windows : Cheval de Troie dans un faux outil de compatibilité Windows 7


 Attention les cybercriminels sont toujours à l'affût de la moindre occasion pour attirer les internautes dans un piège qui peut occasionner des dégâts pour votre ordinateur. Actuellement un mail vous propose une aide pour vérifier la compatibilité de votre ordinateur avec le dernier système d'exploitation de Windows : Windows 7.

 Si la victime télécharge la pièce jointe puis exécute le fichier .zip Windows 7 Upgrade Advisor, malheureusement il n'installera pas l'outil de Windows mais un cheval de Troie : Trojan.Generic.3783603 qui ouvrira une porte dérobée (Backdoor) pour contrôler l'ordinateur à distance.
Windows 7 Upgrade Advisor  est un outil destiné à évaluer la compatibilité d'un PC en vue d'une mise à jour vers Windows 7.

 D'après l'éditeur en sécurité Bitdefender, ce trojan à un taux d'infection assez élevé d'où les recommandations classiques :
- Eviter d'ouvrir les pièces jointes de personnes inconnues
- Mettre à jour vos solutions de sécurité : antivirus - antimalware...
- Télécharger vos logiciels depuis le site de l'éditeur

Source : BitDefender

Comprendre l'insécurité sur Internet : www.theshield.fr

 

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 18 Mai 2010

Antivirus : nos ordinateurs en danger

 La majorité d'entre nous, a un antivirus installé sur notre ordinateur, mais êtes-vous sur qu'il soit efficace contre les malwares de toutes sortes. Au vu du résultat d'un concours, nos ordinateurs  ne résisterait pas très longtemps aux attaques.

  L'école d’ingénieurs ESIEA (Ecole Supérieure d’Informatique, Electronique et Automatisme) a organisé le week-end dernier du 7 au 9 mai, le 2ème concours iAWACS (International Alternative Workshop on Aggressive Computing and Security) qui testait la sécurité de nos anti-virus face aux programmes malveillants.

Le Challenge

 Durant trois jours le challenge PWN2KILL a défié sept experts en sécurité ou étudiants en informatique pour mettre à rude épreuve quinze antivirus "grand public". Par ordre alphabétique : AVG, Avira, Bit Defender, DrWeb, F-Secure, GData, Kapersky, McAfee, Microsoft AV, NOD 32, Norton Symantec, Safe 'n" Sec, Sophos, Trend Micro, plus un antivirus gratuit Avast.

 Pour réaliser cette épreuve, les participants avaient à leur disposition 15 ordinateurs, émulés sur des  machines virtuelles avec chacune un antivirus différent, fonctionnant sous Windows 7 en session utilisateur (donc sans aucun privilège administrateur contrairement au dernier concours) plus des logiciels bureautiques classiques comme Microsoft Office, Open Office ou Adobe Reader.

 Chaque participant a installé via une clé USB son code malsain, un cas d'infection courant, puis exécuté par l'utilisateur en simulant le comportement d'une personne peu prudente devant son ordinateur, novice en sécurité sans comprendre les messages d'avertissements des antivirus.

 Le code malsain devaient outrepasser l’antivirus, en mode non exécuté (demande de scan), puis exécuté (scan à l’accès) et permettre ensuite une attaque affectant le système.

Le Bilan

 Triste bilan pour la sécurité de nos ordinateurs, sur les sept attaques, une seule a été détecté par tous les antivirus. Ne nous réjouissons pas trop vite car aucun antivirus n'arrive à bloquer les programmes malveillants pire ils sont incapables de détecter plus de 2 attaques sur les 7 dont certaines étaient d'un niveau relativement simple qualifié même de "bas de gamme".

 Le résultat montre que les attaques obtiennent un taux de réussite dans 90% des cas.

 Eric Filiol, directeur de la recherche de l'Esiea n'épargne pas les éditeurs : "Tous les antivirus sont à égalité dans la nullité. Ces résultats prouvent que la détection de signatures virales n'est plus suffisante. Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques est de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux. Autre constat alarmant : une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus !".

 

iAWACS 2010

Ce qu'il faut retenir de ce concours

 Malgré un bilan négatif, il serait trop facile de dire que les antivirus ne valent pas grand chose.

- Déjà, part le fait que les participants ont eu un accès physique à l'ordinateur en installant leur code avec une clé USB, quelle conséquence via une attaque par Internet ?

- Ensuite les programmes utilisaient de vieilles techniques virales, et nullement la signature des nouvelles signatures pour bloquer ces attaques.

- dernier constat, est-ce qu'un utilisateur même novice en la matière aurait exécuté un tel programme malgré les avertissements de son antivirus ?

 Quoiqu'il en soit, l'utilisation d'un antivirus reste nécessaire car il assure une protection contre les malwares connus. Mais une solution antivirale ne résout pas tout, une bonne sécurité passe par une sensibilisation des utilisateurs aux risques sur Internet puis avoir un comportement prudent lorsqu'ils naviguent sur Internet ou lorsqu'ils cliquent sur des pièces jointes ou sur des liens dans un mail.
Sans oublier de mettre régulièrement à jour le système d'exploitation, le navigateur et les logiciels.

 Le reproche à faire, concerne le marketing des éditeurs, au vu du challenge ils faudraient qu'ils se recentrent sur l'essentiel de leur activité à savoir la détection des nuisances en temps réel.
Du travail en perspective pour le département recherche et développement.

à suivre...

Source : ESIA

Comprendre l'insécurité sur Internet : www.theshield.fr

 

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 18 Mai 2010

Safari : Une faille dans le navigateur d'Apple

 

 La société Sécunia, spécialisée dans la sécurité informatique, met en garde les utilisateurs du Navigateur d'Apple Safari jusqu'à la version 4.0.5. Cette société a découverte une faille de type 0-day (non exploitée sur internet) jugée comme hautement critique sous windows XP mais elle n'exclue pas qu'elle pourrait apparaitre pour Mac OS X.

 Cette vulnérabilité est due à un problème de corruption de mémoire qui agit sur la gestion des fenêtres externes comme la fermeture d'un pop-up lors d'une consultation d'un site web. Un cybercriminel peut récupérer des données personnelles pendant une authentification HTTP.

 Les internautes doivent faire attention aux sites qu'ils visitent car ils peuvent être orintés vers des pages web infectées dont le but sera d'installer un code malveillant sur la machine de la victime, donc prudence si un site vous demande de vous authentifier. En attendant une mise à jour du navigateur, il est recommandé de désactiver la prise en charge Javascript.

Source : Secunia

Comprendre l'insécurité sur Internet : www.theshield.fr

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0

Publié le 10 Mai 2010

Beckham faux compte Twitter

 

 A l'approche de la coupe du monde de Football, faites très attention aux mails suspects ou aux contacts connus comme celui du joueur de foot Anglais David Beckham.

 

 Effectivement, le footballeur est victime d'une usurpation d'identité, un faux compte sur le site de micro-blogging Twitter utilise son nom (ou celui d'une célébrité) pour devenir abonnés à des comptes Twitter légitimes. Si vous décidez de suivre son fil d'actualité, vous risquez d'être orienter vers des sites Web infectés de malwares.

 

 Selon Symantec, le faux David (détaillant en ligne chinois) a suivi plus d'un millier de comptes avec un seul lien commun contenant le nom de compte de la star du ballon rond avec comme conséquence d'inonder les fils Twitter des abonnés de spams publicitaires.

 

 Cette pratique devient de plus en plus courante, soyez donc vigilants si une célébrité décide de rentrer en contact avec vous, puis réfléchissez à deux fois avant de cliquer sur un lien présent sur le Tweet.

 

Source : Symantec

 

Voir les commentaires

Rédigé par DarkNight

Publié dans #Réseaux Sociaux

Repost 0

Publié le 6 Mai 2010

Malware : Classement du mois d'Avril

 

 Voici pour le mois d'Avril, deux classements d'éditeurs informatiques sur les risques que l'internaute est susceptible de rencontrer.

 Dans le classement de Bitdefender apparaît deux nouveautés et trois cheval de Troie

- 1er du classement un cheval de Troie : Trojan.AutorunInf.Gen en tête pour le troisième mois consécutif.
Celui-ci infecte les supports amovibles , les clés USB - disques dur externe - carte mémoire

- En 2ème position toujours le ver Win32.Worm.Downadup.Gen (connu aussi sous le nom de Kido et Conficker)
Ce ver exploite une faille dans Windows, le système d'exploitation de Microsoft

- Nouveau en troisième un autre cheval de Troie : Trojan.FakeAV.KUE
Ce malware se diffuse via des sites web dans lesquels un code JavaScript déclenche l’apparition d’une fausse alerte destinée à faire croire aux utilisateurs que leur système est infecté et à leur faire installer un faux antivirus.

- En quatrième position le seul infecteur de fichiers : Win32.Sality.OG
Famille de malware difficile à détecter et à supprimer. De plus, leur composant rootkit tente de désactiver une liste d’antivirus pouvant être installés pour protéger le système infecté.

- Le cinquième et nouveau dans le palmarès est encore un cheval de Troie : Trojan.Keygen.AX.
Il utilise les applications de cracks, correctifs et autres générateurs de clés pour se diffuser.
La génération de clés et de correctifs pour de nombreux logiciels commerciaux est une pratique courante sur Internet, les plateformes P2P, les messageries instantanées, les sites de téléchargement et les réseaux sociaux. Cette activité est certes en vogue, mais elle est aussi illégale et risquée.

Source : BitDéfender

 Autre classement celui de G Data Software

- En 1er : JS:Pdfka-OE [Expl]
Ce parasite exploite une faille JavaScript dans les programmes PDF
Il suffit d’ouvrir un fichier PDF infecté pour que le cybercriminel accède à l’ordinateur de sa victime.

- En 2ème : Win32:Rodecap [Trj]
Ce Cheval de Troie arrive sur l’ordinateur cible via un injecteur (dropper). Une fois présent sur le système toutes les actions sont possibles : intégration de l’ordinateur à un Botnet, vol de données sur le système…

- En 3ème : Worm.Autorun.VHG
Ce vers exploitant l’Autorun de Windows se diffuse à partir de clé USB ou de disques durs externes.

- en 4ème : WMA:Wimad [Drp]
Cet injecteur de cheval de Troie se diffuse comme un fichier audio WMA légitime et invite l'internaute à installer un Codec vidéo. À défaut de vidéo l’infection est bien présente.

- En 5ème : Saturday 14th-669
Ce virus est toujours en activité, chaque 14 du mois il supprime certains fichiers systèmes.

Source : G-Data


Complément sur la Sécurité sur Internet : www.theshield.fr

 

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 5 Mai 2010

Virus : Un ver dans les messageries instantanées


 Attention, utilisateur de messagerie instantanée, une vague de spam cache un ver aux effets ravageurs.

 Le message du mail incite l'internaute, qui ne serait pas assez vigilant, à cliquer sur un lien accompagné d’un smiley souriant, censé le diriger vers une galerie de photos. Au lieu d'accéder aux images, la victime doit enregistrer un fichier au format .JPG, en fait il s'agit d'un fichier exécutable qui contient le ver worm.P2P.Palevo.DP [Bitdefender] ou W32.Yimfoca [Symantec].

 Cette version est une variante du célèbre malware Palevo, dès qu'il se trouve sur la machine, il installe dans le dossier Windows les fichiers cachés suivants : mds.sys, mdt.sys, winbrd.jpg, infocard.exe puis il modifie des clés dans le registre pour qu’elles pointent vers ces fichiers afin de neutraliser le pare-feu du système d’exploitation.

 Ce ver ouvre une porte dérobée (Backdoor) qui permet aux pirates informatique de prendre à distance le contrôle de l’ordinateur infecté pour y installer d’autres malwares, voler des fichiers, lancer des campagnes de spam ou des attaques sur d’autres ordinateurs.

 Autres fonctions désastreuses, l'infection des supports amovibles (clés USB, disques durs externes, cartes mémoires), si la fonction autorun.inf (exécution automatique) est activée l'ordinateur est automatiquement infecté. Pour les habitués des plateformes de partage de fichiers Peer-to-peer comme Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule et LimeWire, Palevo ajoute son code malveillant aux fichiers partagés.

 De plus, si vous utilisez comme navigateur Internet Explorer ou Firefox, Palevo est capable de récupérer vos mots de passe ou vos données saisies lors de vos connexions sur des sites d'achat ou de services bancaires.

 Il va sans dire d'être extrêmement prudent à toute réception de mail suspect, d'autant plus si votre antivirus n'est pas à jour des signatures virales. Au vu de l'agressivité du malware, il serait prudent de faire une mise à jour puis une analyse complète de votre machine.

Source : BitDefender - Symantec

Lire d'autres articles sur la cybersécurité : blog-cybersécurité

Complément d'information
- Effectuer une analyse de votre PC en ligne
- Comprendre le fonctionnement du Spam

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0