Articles avec #menaces informatiques tag

Publié le 22 Mai 2010

Windows : Cheval de Troie pour la béta office 2010

 L'éditeur de logiciel en sécurité Bidefender émet une alerte contre une fausse version vérolé d'Office 2010

 Toujours la même technique virale, l'internaute reçoit un mail avec pour objet : "see office 2010 Beta in action" (Testez la version bêta d’Office 2010). Le corps du message présente les nouveautés de la suite de Microsoft, afin de pouvoir évaluer le produit une pièce-jointe permet de télécharger une version béta d'autant plus que Microsoft propose une version de sa suite bureautique.

 Une fois téléchargé et décompressé, le nom du fichier correspond à une clé d'activation (combinaison de lettres et de chiffres mais malheureusement pour la victime, l'installation de la soi disante version d'office contient un Cheval de Troie identifié par Bitdefender sous Trojan.Downloader.Delf.RUJ.

 Ce malware crée une copie de lui-même puis modifie la base de registre pour exécuter une copie à chaque démarrage de Windows ce qui lui permet d'ouvrir une porte dérobée (Backdoor) en se connectant à un site web contenant des programmes malsains, des adwares ou spywares, dont le but sera d'afficher des pop-up publicitaires.

 Pour rappel les éditeurs de logiciels proposent un lien pour télécharger leurs logiciels et non une pièce jointe.

Source : Bitdefender

Comprendre l'insécurité sur Internet : www.theshield.fr

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 18 Mai 2010

Windows : Cheval de Troie dans un faux outil de compatibilité Windows 7


 Attention les cybercriminels sont toujours à l'affût de la moindre occasion pour attirer les internautes dans un piège qui peut occasionner des dégâts pour votre ordinateur. Actuellement un mail vous propose une aide pour vérifier la compatibilité de votre ordinateur avec le dernier système d'exploitation de Windows : Windows 7.

 Si la victime télécharge la pièce jointe puis exécute le fichier .zip Windows 7 Upgrade Advisor, malheureusement il n'installera pas l'outil de Windows mais un cheval de Troie : Trojan.Generic.3783603 qui ouvrira une porte dérobée (Backdoor) pour contrôler l'ordinateur à distance.
Windows 7 Upgrade Advisor  est un outil destiné à évaluer la compatibilité d'un PC en vue d'une mise à jour vers Windows 7.

 D'après l'éditeur en sécurité Bitdefender, ce trojan à un taux d'infection assez élevé d'où les recommandations classiques :
- Eviter d'ouvrir les pièces jointes de personnes inconnues
- Mettre à jour vos solutions de sécurité : antivirus - antimalware...
- Télécharger vos logiciels depuis le site de l'éditeur

Source : BitDefender

Comprendre l'insécurité sur Internet : www.theshield.fr

 

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 18 Mai 2010

Antivirus : nos ordinateurs en danger

 La majorité d'entre nous, a un antivirus installé sur notre ordinateur, mais êtes-vous sur qu'il soit efficace contre les malwares de toutes sortes. Au vu du résultat d'un concours, nos ordinateurs  ne résisterait pas très longtemps aux attaques.

  L'école d’ingénieurs ESIEA (Ecole Supérieure d’Informatique, Electronique et Automatisme) a organisé le week-end dernier du 7 au 9 mai, le 2ème concours iAWACS (International Alternative Workshop on Aggressive Computing and Security) qui testait la sécurité de nos anti-virus face aux programmes malveillants.

Le Challenge

 Durant trois jours le challenge PWN2KILL a défié sept experts en sécurité ou étudiants en informatique pour mettre à rude épreuve quinze antivirus "grand public". Par ordre alphabétique : AVG, Avira, Bit Defender, DrWeb, F-Secure, GData, Kapersky, McAfee, Microsoft AV, NOD 32, Norton Symantec, Safe 'n" Sec, Sophos, Trend Micro, plus un antivirus gratuit Avast.

 Pour réaliser cette épreuve, les participants avaient à leur disposition 15 ordinateurs, émulés sur des  machines virtuelles avec chacune un antivirus différent, fonctionnant sous Windows 7 en session utilisateur (donc sans aucun privilège administrateur contrairement au dernier concours) plus des logiciels bureautiques classiques comme Microsoft Office, Open Office ou Adobe Reader.

 Chaque participant a installé via une clé USB son code malsain, un cas d'infection courant, puis exécuté par l'utilisateur en simulant le comportement d'une personne peu prudente devant son ordinateur, novice en sécurité sans comprendre les messages d'avertissements des antivirus.

 Le code malsain devaient outrepasser l’antivirus, en mode non exécuté (demande de scan), puis exécuté (scan à l’accès) et permettre ensuite une attaque affectant le système.

Le Bilan

 Triste bilan pour la sécurité de nos ordinateurs, sur les sept attaques, une seule a été détecté par tous les antivirus. Ne nous réjouissons pas trop vite car aucun antivirus n'arrive à bloquer les programmes malveillants pire ils sont incapables de détecter plus de 2 attaques sur les 7 dont certaines étaient d'un niveau relativement simple qualifié même de "bas de gamme".

 Le résultat montre que les attaques obtiennent un taux de réussite dans 90% des cas.

 Eric Filiol, directeur de la recherche de l'Esiea n'épargne pas les éditeurs : "Tous les antivirus sont à égalité dans la nullité. Ces résultats prouvent que la détection de signatures virales n'est plus suffisante. Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques est de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux. Autre constat alarmant : une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus !".

 

iAWACS 2010

Ce qu'il faut retenir de ce concours

 Malgré un bilan négatif, il serait trop facile de dire que les antivirus ne valent pas grand chose.

- Déjà, part le fait que les participants ont eu un accès physique à l'ordinateur en installant leur code avec une clé USB, quelle conséquence via une attaque par Internet ?

- Ensuite les programmes utilisaient de vieilles techniques virales, et nullement la signature des nouvelles signatures pour bloquer ces attaques.

- dernier constat, est-ce qu'un utilisateur même novice en la matière aurait exécuté un tel programme malgré les avertissements de son antivirus ?

 Quoiqu'il en soit, l'utilisation d'un antivirus reste nécessaire car il assure une protection contre les malwares connus. Mais une solution antivirale ne résout pas tout, une bonne sécurité passe par une sensibilisation des utilisateurs aux risques sur Internet puis avoir un comportement prudent lorsqu'ils naviguent sur Internet ou lorsqu'ils cliquent sur des pièces jointes ou sur des liens dans un mail.
Sans oublier de mettre régulièrement à jour le système d'exploitation, le navigateur et les logiciels.

 Le reproche à faire, concerne le marketing des éditeurs, au vu du challenge ils faudraient qu'ils se recentrent sur l'essentiel de leur activité à savoir la détection des nuisances en temps réel.
Du travail en perspective pour le département recherche et développement.

à suivre...

Source : ESIA

Comprendre l'insécurité sur Internet : www.theshield.fr

 

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 6 Mai 2010

Malware : Classement du mois d'Avril

 

 Voici pour le mois d'Avril, deux classements d'éditeurs informatiques sur les risques que l'internaute est susceptible de rencontrer.

 Dans le classement de Bitdefender apparaît deux nouveautés et trois cheval de Troie

- 1er du classement un cheval de Troie : Trojan.AutorunInf.Gen en tête pour le troisième mois consécutif.
Celui-ci infecte les supports amovibles , les clés USB - disques dur externe - carte mémoire

- En 2ème position toujours le ver Win32.Worm.Downadup.Gen (connu aussi sous le nom de Kido et Conficker)
Ce ver exploite une faille dans Windows, le système d'exploitation de Microsoft

- Nouveau en troisième un autre cheval de Troie : Trojan.FakeAV.KUE
Ce malware se diffuse via des sites web dans lesquels un code JavaScript déclenche l’apparition d’une fausse alerte destinée à faire croire aux utilisateurs que leur système est infecté et à leur faire installer un faux antivirus.

- En quatrième position le seul infecteur de fichiers : Win32.Sality.OG
Famille de malware difficile à détecter et à supprimer. De plus, leur composant rootkit tente de désactiver une liste d’antivirus pouvant être installés pour protéger le système infecté.

- Le cinquième et nouveau dans le palmarès est encore un cheval de Troie : Trojan.Keygen.AX.
Il utilise les applications de cracks, correctifs et autres générateurs de clés pour se diffuser.
La génération de clés et de correctifs pour de nombreux logiciels commerciaux est une pratique courante sur Internet, les plateformes P2P, les messageries instantanées, les sites de téléchargement et les réseaux sociaux. Cette activité est certes en vogue, mais elle est aussi illégale et risquée.

Source : BitDéfender

 Autre classement celui de G Data Software

- En 1er : JS:Pdfka-OE [Expl]
Ce parasite exploite une faille JavaScript dans les programmes PDF
Il suffit d’ouvrir un fichier PDF infecté pour que le cybercriminel accède à l’ordinateur de sa victime.

- En 2ème : Win32:Rodecap [Trj]
Ce Cheval de Troie arrive sur l’ordinateur cible via un injecteur (dropper). Une fois présent sur le système toutes les actions sont possibles : intégration de l’ordinateur à un Botnet, vol de données sur le système…

- En 3ème : Worm.Autorun.VHG
Ce vers exploitant l’Autorun de Windows se diffuse à partir de clé USB ou de disques durs externes.

- en 4ème : WMA:Wimad [Drp]
Cet injecteur de cheval de Troie se diffuse comme un fichier audio WMA légitime et invite l'internaute à installer un Codec vidéo. À défaut de vidéo l’infection est bien présente.

- En 5ème : Saturday 14th-669
Ce virus est toujours en activité, chaque 14 du mois il supprime certains fichiers systèmes.

Source : G-Data


Complément sur la Sécurité sur Internet : www.theshield.fr

 

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 5 Mai 2010

Virus : Un ver dans les messageries instantanées


 Attention, utilisateur de messagerie instantanée, une vague de spam cache un ver aux effets ravageurs.

 Le message du mail incite l'internaute, qui ne serait pas assez vigilant, à cliquer sur un lien accompagné d’un smiley souriant, censé le diriger vers une galerie de photos. Au lieu d'accéder aux images, la victime doit enregistrer un fichier au format .JPG, en fait il s'agit d'un fichier exécutable qui contient le ver worm.P2P.Palevo.DP [Bitdefender] ou W32.Yimfoca [Symantec].

 Cette version est une variante du célèbre malware Palevo, dès qu'il se trouve sur la machine, il installe dans le dossier Windows les fichiers cachés suivants : mds.sys, mdt.sys, winbrd.jpg, infocard.exe puis il modifie des clés dans le registre pour qu’elles pointent vers ces fichiers afin de neutraliser le pare-feu du système d’exploitation.

 Ce ver ouvre une porte dérobée (Backdoor) qui permet aux pirates informatique de prendre à distance le contrôle de l’ordinateur infecté pour y installer d’autres malwares, voler des fichiers, lancer des campagnes de spam ou des attaques sur d’autres ordinateurs.

 Autres fonctions désastreuses, l'infection des supports amovibles (clés USB, disques durs externes, cartes mémoires), si la fonction autorun.inf (exécution automatique) est activée l'ordinateur est automatiquement infecté. Pour les habitués des plateformes de partage de fichiers Peer-to-peer comme Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule et LimeWire, Palevo ajoute son code malveillant aux fichiers partagés.

 De plus, si vous utilisez comme navigateur Internet Explorer ou Firefox, Palevo est capable de récupérer vos mots de passe ou vos données saisies lors de vos connexions sur des sites d'achat ou de services bancaires.

 Il va sans dire d'être extrêmement prudent à toute réception de mail suspect, d'autant plus si votre antivirus n'est pas à jour des signatures virales. Au vu de l'agressivité du malware, il serait prudent de faire une mise à jour puis une analyse complète de votre machine.

Source : BitDefender - Symantec

Lire d'autres articles sur la cybersécurité : blog-cybersécurité

Complément d'information
- Effectuer une analyse de votre PC en ligne
- Comprendre le fonctionnement du Spam

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 21 Avril 2010

Attaque : Un virus demande une rançon

 

 Trend Micro révèle une tentative de phishing particulière Un cheval de Troie (trojan) baptisé Kenzero, un Ransomware, réclame une rançon de 1 500 yen (environ 12 €) aux internautes japonais qui téléchargent des vidéos et des jeux porno (Hentai) piratés via le logiciel de Peer To peer WinNY.

 Une fois installer sur l'ordinateur de la victime, le malware demande des informations personnelles, comme le nom, la date de naissance, l’adresse, le salaire et un mot de passe mais en même temps il analyse son disque dur à la recherche de sites aux contenus pornographiques récupérés ou visités sur Internet via l’historique d’Internet Explorer.

 L'internaute qui se fait prendre au piège reçoit un e-mail de la part des pirates qui leur propose de régler «l'infraction au copyright», l'avertissant qu'il a été pris en flagrant délit et s'il ne veut pas voir son historique de navigation publier sur un site web public, il doit s'acquitter de cette rançon pour effacer le contenu publié.

 La BBC indique que 5.500 personnes se seraient déjà fait prendre par ce malware.

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 11 Avril 2010

Top 5 des Malwares de Mars BitDefender

 

- En tête Un cheval de Troie qui infecte les fichiers autorun.inf que l'on trouve sur tous les médias amovibles :  les clefs USB, les disques durs amovibles, les téléphones portables ou les lecteurs MP3.
En modifiant le contenu de ce fichier, cela permet l'exécution automatique d'un malware lors de l’insertion d'un support infectés dans le système.

- Ensuite vient le célèbre vers Conficker (Downadup ou Kido)
Ce ver exploite une vulnérabilité sous Windows puis transforme les machines infectées en PC zombie, qui vont servir à accueillir ou transférer d’autres virus.
Conficker aurait ainsi permis de constituer un réseau de Botnets estimés entre 4 et 7 millions de machines.

- En troisième position, un malware qui exploite les failles du moteur Javascript du logiciel Adobe Reader afin d’exécuter du code malveillant sur les ordinateurs

- En quatrième position se trouve un infecteur de fichiers : Win32.Sality.OG.
Ce malware appartient à la famille Sality, extrêmement difficiles à détecter et à supprimer.
De plus, le parasite tente de désactiver une liste d’antivirus potentiellement installés sur le système infecté.

- En dernière position, un autre Cheval de Troie qui exploite du code Javascript inséré dans des pages web légitimes ciblant uniquement les sites web conçus en ASP.


Voici la liste des e-menaces :

1 - Trojan.AutorunINF.Gen 13,40%
2 - Win32.Worm.Downadup.Gen 6,19%
3 - Exploit.PDF-JS.Gen 5,30%
4 - Win32.Sality.OG 2,58%
5 - Trojan.JS.Downloader.BIO 2,13%

AUTRES 70,40%

L’internaute doit plus que jamais rester vigilant lors de sa navigation,

veiller à disposer des dernières mise à jour de vos logiciels de sécurité

[Source BitDefender]

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 8 Avril 2010

Microsoft : Un cheval de Troie infecte Word

 

 L'éditeur russe en logiciel de sécurité, Doctor Web émet une alerte concernant les utilisateurs du traitement de texte Word, logiciel phare de microsoft, celui-ci est la cible d'un cheval de Troie, Trojan.Oficla également connu sous le nom de myLoader,

 Ce parasite n'est pas nouveau, mais depuis quelques semaines il connaît une recrudescence pour infecter les ordinateurs utilisant Word comme vecteur d'infection, environ 100 000 machines par semaine. La machine de la victime sera intégré dans un réseau Botnet (ensemble d'ordinateurs infectés) utilisé pour infecter d'autres ordinateurs ou lancer des campagnes de spam.

 Le plus inquiétant c'est que le code de ce cheval de Troie est vendue sur Internet entre 450 et 700 Dollars, les pirates informatiques peuvent ainsi créer leur propre réseau botnet

 Veillez à mettre à jour votre antivirus rapidement car le Trojan.Oficla peut tromper la vigilance des antivirus et autres parefeux car il se cache dans le processus winword.exe si word est installé, ce qui le rend valide lors de l'analyse antivirale.

[Source Dr Web]

 Participer en donnant Votre avis
- Avez-vous été infecté par ce trojan ?
- Prenez-vous conscience des risques sur Internet ?

 Complément d'information
- Qu'est ce qu'un Botnet ?
- Analyse en ligne de votre PC

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 29 Mars 2010

Windows : Attention aux mises à jour automatique
 Effectivement faites très attention aux mises à jour de vos logiciels sous Windows.

 Des experts en sécurité informatique viennent de détecter un malware qui remplace les mises à jour de certaines applications comme Adobe, Java ou DeepFreeze fonctionnant sur un système d'exploitation Windows.

 Ce parasite se présente sous la forme d'un updater, logiciel de mise à jour automatique, ayant les mêmes caractéristiques que l'application saine (même icône, informations et numéro de version), il est impossible pour le néophyte de distinguer l'application officielle du parasite informatique.

 Ensuite le malware installe sur la machine de la victime un cheval de Troie connu sous le nom de W32.Fakeupver.trojan pour activer les services suivants : DHCP - DNS - le partage réseau puis ouvre des ports qui pourraient être exploiter par des pirates informatiques pour exécuter toutes sortes de commandes.

 Un antivirus devrait sans difficulté détecter ce parasite informatique, malgré l'éradication du malware l'ordinateur infecté ne pourra plus utiliser le gestionnaire de mise à jour automatique pour corriger les patchs de l'éditeur en cas de failles sur son application, d'où un risque supplémentaire pour l'ordinateur.

 L'internaute sera obligé de se connecter chez l'éditeur afin d'effectuer ses mises à jour manuellement.

[Source : BKIS]

 Donnez votre avis
- Etes-vous victimes de ce malware ?
- Comment avez-vous résolu le problème ?

Complément d'information
- Comment faire les mises à jour Windows
- Faire un scan antivirus en ligne

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 10 Mars 2010

Sécurité : Un chargeur de pile contient un virus
 Qui a dit : il n'y a que les ordinateurs qui peuvent être infectés par des virus, vous allez être surpris par la nouvelle puisque le chargeur de pile USB Energizer contient un cheval de Troie qui infecte votre ordinateur.

 Cela parait invraisemblable qu'une société, aussi importante ne possède pas un process de contrôle digne de se  nom, puisse mettre sur le marché un Cd infecté. Sans pour autant trouver d'excuse à cette société, d'autres ont connu  une telle mésaventure : Apple (Ipod) - Asus (PC Eeebox) - Seagate (Disque dur).

 C'est dans un communiqué que l'US-CERT (organisme dépendant du ministère de la Sécurité intérieure américain)  publie une alerte de mise en garde sur le logiciel fourni avec les chargeurs de piles Energizer DUO USB NiMH car  celui-ci contient un cheval de Troie qui reste actif même si le chargeur n'est plus connecté à l'ordinateur.

 Confirmation par l'éditeur de logiciel en sécurité Symantec en publiant un communiqué sur ce parasite :  Trojan.Arugizer.

 L'utilisation de ce logiciel permet de connaître le statut de chargement des piles depuis son ordinateur  fonctionnant sur un système d'exploitation Windows (la version Mac OS X ne serait pas concernée). Lors de la phase  d'installation, un fichier du nom d'"Arucer.dll" entrerait en fonction, ainsi mis en place le cheval de Troie peut  permettre aux pirates informatiques de prendre le contrôle de l'ordinateur pour exécuter des commandes à distance  (installer des virus, télécharger des fichiers à votre insu, l'utiliser sur un réseau botnet...).

 Du côté de la firme Energizer, pour l'instant elle ignore comment ce parasite a pu se retrouver dans son logiciel  d'installation par précaution la société a enlevé son programme de son centre de téléchargement sur Internet pour  éviter la propagation du logiciel malveillant.

 Que faire pour les victimes infectés
 Selon les recommandations de l’US-Cert, vous pouvez effectuer ces actions pour supprimer ce parasite

- Le plus simple désinstaller le logiciel d'Energizer (panneau de configuration- Ajout/suppression programme)

- Pour les initié, prudence tout de même, supprimer le fichier : Arucer.dll dans Windows\System32, une fois enlever  redémarrer l'ordinateur

- Pour les expert, vous pouvez bloquer l'accès à votre ordinateur sur le port TCP 7777, ouvrant une porte dérobée  (Backdoor) sur le PC infecté ce qui permet au cheval de Troie de lancer diverses commandes dangereuses.

 Dorénavant, vérifiez tout CD d'installation lorsque vous achetez du matériel utilisant un port USB.

Articles similaires :
- La Grande-Bretagne accuse la Chine d'espionnage industriel
- Microsoft démantèle un réseau botnet

Complément d'information :
- Qu'est ce qu'un cheval de Troie
- Vérifier votre ordinateur en ligne

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0