Articles avec #menaces informatiques tag

Publié le 4 Mars 2010

Sécurité : Un papillon infecte 13 millions de PC
 Mauvaise période pour les réseaux Botnet, après le démantèlement par Microsoft de Waledac, un des dix plus importants réseaux de botnet, voici qu'un autre réseau de PC zombies (ordinateurs infectés) vient d'être découvert sous le nom de Mariposa (papillon en espagnol).

 Ce botnet a été découvert en décembre 2008, il était constitué de 13 millions de machines infectées dans 190 pays, à l'aide d'un ver informatique (worms en anglais) en utilisant une faille dans Internet Explorer, avant d'explorer d'autres sources d'infection comme les supports amovibles (clé usb, disque externe...), MSN Messenger et les réseaux Peer to Peer.

 Le ver dérobait des données personnelles (numéros de cartes de crédit, codes d'accès, mot de passe....) dans les ordinateurs infectés. Parmi ces ordinateurs, plus de la moitié du Fortune 1 000 (les grandes sociétés au monde) est concernée, des  administrations et près de 40 institutions financières mondiales ont été affectées.

 C'est une société canadienne Defense Intelligence qui a découvert que ses clients étaient attaqués par le botnet, avec l'aide des autorités américaines dont le FBI, du centre de sécurité de l'université de Georgia Tech et de la société espagnole en sécurité Panda Security, qu'ils ont mené une enquête jusqu'à découvrir que les pirates se trouvaient en Espagne.

 Les malfaiteurs ont été repérés par les traces laissées sur le Web et à l'enregistrement de domaines sous leurs véritables identités. La Guardia Civil (la police espagnole) a ainsi interpellé trois individus, âgés de 25 à 30 ans connus sous les pseudonymes de "netkairo", "jonyloleante" et "ostiator", qui sont à l'origine de la création de Mariposa.

 Dans un communiqué, Cesar Lorenza, capitaine de la Garde Civile, déclare  : "ils ne sont pas comme ces membres de la mafia russe ou de l'Europe de l'Est qui aiment bien avoir des voitures de sport, de belles montres ou de beaux costumes. Le plus effrayant, c'est que ce sont des gens normaux qui gagnent beaucoup d'argent grâce au cyber crime".

 Selon Pedro Bustamante, conseiller chez Panda : « je ne crois pas que ces gars-là étaient plus intelligents que les autres créateurs de botnets mais le logiciel (de Mariposa) est très professionnel et très efficace ».

 Par contre la découverte de ce botnet ne veut pas dire qu'il soit totalement démantelé, car les ordinateurs des victimes infectés par le ver sont toujours sous le contrôle d'une personne malveillante. Il suffit qu'un pirate se connecte depuis un ordinateur pour reprendre la main sur les serveurs d'administration de Mariposa pour remettre le botnet en service.

Articles similaires :
- Microsoft démantèle Waledac un réseau de botnet

Complément d'information :
- Qu'est ce qu'un Botnet
- Les différents types de virus

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0

Publié le 29 Janvier 2010

Virus : un test de QI amnésique pour votre PC
 L'éditeur de solutions de sécurité BitDefender a annoncé une nouvelle menace sur Internet "Win32.Worm.Zimuse"

 Ce parasite est une combinaison de virus (par son comportement destructeur), de rootkit et de ver (pour son mode de diffusion), il s'installe dans les ordinateurs sous la forme d'un test de QI puis s'attaque aux disques durs des victimes.

 Malheureusement, si la personne exécute ce faux test de QI, ce ver crée, selon la variante, entre sept et onze copies de lui-même dans des zones sensibles du système de Windows, ensuite il écrase les 50 premiers kilo-octets de la zone d'amorçage du disque dur (Master Boot Record) - cette zone permet le démarrage du système, sans accès à cette zone le PC plante.
 
 Afin de s'exécuter à chaque amorçage de Windows, le ver définit une entrée dans la base de registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%DumpDump.exe
Il crée également deux fichiers pilotes : %system%driversMstart.sys et %system%driversMseu.sys

 Pour les utilisateurs des systèmes Windows Vista et Windows 7 en version 64 bits, le ver ne peut installer ces fichiers car les pilotes requièrent une signature numérique, concernant les autres utilisateurs il est presque impossible de découvrir que leur système est infecté. Si c'est le cas après un certain nombre de jours (40 jours pour la variante A et 20 jours pour la variante B), l'ordinateur affiche un message d'erreur affirmant qu'un problème a eu lieu en raison de contenu malveillant présent dans les paquets IP provenant d'une URL particulière.

 L'utilisateur est invité à restaurer son système en appuyant sur « OK » et le cauchemar commence car le redémarrage endommage le disque dur de l'ordinateur en raison de la corruption du secteur d'amorçage. 

 Regardez la vidéo sur l'attaque de Win32.Worm.Zimuse.A

 


 Comme pour toutes les menaces sur Internet, prévoyez
- La mise à jour de votre anti-virus
- Une suite de sécurité comprenant au minimum : un pare-feu et un anti-spyware

Marc Blanchard, Directeur des Laboratoires Editions Profil pour BitDefender en France ajoute :
« Le Worm Zimuse fait partie des malwares dit 'hautement destructeur'. Il en existe peu en circulation, les hackers ayant plutôt tendance à exploiter les machines des utilisateurs de manière invisible, mais ce type de menace est néanmoins émergent ces dernières semaines. Leurs principes de fonctionnement ne laissent aucune chance à l'utilisateur une fois la destruction programmée. De plus, du fait que le secteur d’amorçage du disque dur Master Boot Record est touché, un reformatage dit de haut niveau ne suffira pas à retirer ce malware.
Il faudra, alors, procéder à un reformatage du disque dur dit « d'usine », ce qui n'est pas toujours évident à mettre en place pour un utilisateur standard. Seule solution pour éviter ce type d’attaque, installer une protection antivirale proactive AVANT que le malware puisse opérer son action de destruction.

 Pour vérifier si votre ordinateur n'a pas subit ce type d'attaque, BitDefender met à la disposition des internautes un outil de désinfection gratuit disponible
- sur le site de http://www.zimuse.com/
- ou vous pouvez le télécharger ici : Outil désinfection

Complément d'information :
- Qu'est-ce qu'un virus
- Téléchargement Anti-virus gratuit

Voir les commentaires

Rédigé par DarkNight

Publié dans #Menaces Informatiques

Repost 0