Résultats de recherche pour : cheval de Troie

DiversPiratages

Kaspersky découvre le premier cheval de Troie pour Android

Alerte Virale

Kaspersky éditeur de logiciels de sécurité, aura bonne presse, il semble être le premier à avoir découvert l’existence d’un
cheval de Troie
s’attaquant spécifiquement aux téléphones roulant sous le systéme d’exploitation « Android » de Google
.

Bien que les chevaux de Troie de type Trojan-SMS soient les plus répandus chez les téléphones intelligents, le virus « Trojan-SMS.AndroidOS.FakePlayer.a » est le premier à viser exclusivement la plateforme Android, signale Kaspersky.

La stratégie du
virus
consiste à infecter le systéme d’
Android
en se faisant passer pour une application de lecteur multimédia.

Le virus demande aux usagers imprudents d’installer l’application de 13 ko à l’aide de l’extension Android « .APK », gr‚ce à cette tactique, le cheval de Troie est en mesure d’envoyer des textos à des numéros surtaxés, sans que l’usager en ait connaissance.

Un site Web, non identifié pour le moment, serait à l’origine de la propagation du cheval de Troie.
L’utilisateur d’un téléphone intelligent infecté roulant sous « Android » s’en rendra compte dés la réception de sa facture à la fin du mois, qui risque d’être assez salée.

Il est conseillé aux utilisateurs de téléphones Android de surveiller attentivement la nature des services pour lesquels des demandes d’accés ont été sollicitées par les applications, lors de leur installation.
Si l’usager n’y prête pas attention et accepte les demandes d’accés, une application malveillante pourra agir librement sans que d’autres autorisations soient requises de la part de l’usager.

Google a rapidement prévenu ses usagers

Citation:

« Notre systéme d’installation de fichiers est trés efficace.
Lors de l’installation d’une application, Android affiche les informations et les ressources systéme que l’application peut utiliser.

Nous avisons les utilisateurs de n’installer que des logiciels de confiance, spécialement lorsqu’ils sont en dehors de l’Android Marketplace », prévient Google sur son blogue.

L’éditeur annoncer par la même occasion, le lancement de sa solution antivirus spécifique à la plateforme mobile Android, « Kaspersky Mobile Security for Android » prévu au début de 2011.

Clic pour lire le communiqué de Kaspersky
(anglais)

old.secunews.org
: [b][i]Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Lire Plus
DiversPiratages

Des chargeurs de piles Energizer vendus avec un cheval de Troie

Alerte Virale

Selon l’US-CERT, le logiciel fourni avec le chargeur de piles Energizer DUO comporte un cheval de Troie permettant à un attaquant d’exécuter du code à distance, Apple, Seagate ou encore Asus ont déjà connu une mésaventure comparable.

L’US-CERT, l’organisme américain en charge de la sécurité informatique, vient de publier une alerte concernant un produit de la marque Energizer, il s’agit du chargeur de piles USB Energizer « DUO USB NiMH« .

Ce chargeur vendu avec un programme d’installation pour Windows (la version Mac OS X n’étant pas affectée), embarque un
cheval de Troie
, l’installation de l’outil fourni par le constructeur est censée permettre à l’utilisateur de contrôler sur son PC le statut de chargement des piles.

Une dll malveillante créée à l’installation du logiciel.

Mais en plus de l’utilitaire, le logiciel crée une dll malveillante, « Arucer.dll« .
Ce cheval de Troie peut recevoir des commandes sur le port « TCP 7777« .

Selon les instructions envoyées, le programme peut télécharger des fichiers supplémentaires, exécuter des fichiers, transmettre des données dérobées sur le PC infecté et modifier la base de registre Windows.

Ce cheval de Troie s’active automatiquement à chaque démarrage de l’ordinateur et écoute le réseau dans l’attente d’éventuelles instructions envoyées à distance par un
pirate
, même lorsque le chargeur USB n’est pas connecté à l’ordinateur, le programme demeure actif précise l’US-CERT.

Le constructeur de piles Energizer déclare tout ignorer de la présence de ce logiciel malveillant et explique travailler avec l’
US-CERT
et les autorités américaines afin d’identifier comment un tel code a pu être inséré dans son logiciel.
Energizer a également retiré du téléchargement le logiciel incriminé.

La désinfection d’un ordinateur contaminé s’avére fort heureusement relativement simple comme l’explique les chercheurs de l’US-CERT.

Il suffit de désinstaller l’application Energizer, cela permettant de supprimer la clé de registre à l’origine de l’exécution automatique de la porte dérobée au démarrage de Windows.

Le cheval de Troie facile à supprimer.

Un utilisateur peut également supprimer manuellement le fichier Arucer.dll dans le répertoire Windows system32, afin de rendre le cheval de Troie inopérant, il convient ensuite de redémarrer l’ordinateur.

Par chance, lors de l’installation, l’utilitaire « Energizer UsbCharger » ne paramétre pas automatiquement d’exception dans le pare-feu Windows, des régles dans l’IPS Snort permettent par ailleurs de détecter tout trafic lié à ce programme malveillant.

Ce type de mésaventure n’est pas une premiére pour les constructeurs du secteur high-tech.

– En 2007, Seagate révélait que des disques durs produits dans une usine asiatique embarquaient un cheval de Troie.
– En 2006, Apple publiait un bulletin d’alerte pour avertir ses clients qu’un petit nombre d’iPod avaient été vendu avec un programme malveillant opérant seulement sous Windows.
– En 2008 c’était au tour d’Asus et de ses modéles japonais d’Eeebox infectés par le code malveillant « Xirtam ».

Voir le communiquer de l’US-CERT
(anglais)

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Lire Plus
DiversPiratages

Le cheval de troie ZeuS est de retour

Alerte Virale

La société Websense spécialiste dans les solutions de filtrage pour Internet a découvert une nouvelle vague d’attaques visant des collaborateurs de gouvernements et des militaires.

Le
cheval de Troie
« Zeus » en serait responsable.

Websense,a récemment émis une nouvelle alerte de sécurité IT.

Elle porte sur le cheval de Troie (trojan) baptisé « 
Zeus
 » qui serait utilisé pour voler des informations confidentielles des personnels travaillant pour les gouvernements et les départements militaires.

Début février, ce logiciel malveillant, qui a été initialement conçu et utilisé pour voler des données bancaires, a été utilisé dans une campagne ciblant des collaborateurs de gouvernement étrangers (…tats-Unis et Royaume-Uni principalement).

Cette menace se présente sous la forme d’un faux mail qui serait émis par un responsable de l’Agence centrale de renseignement (
CIA
), avec pour sujet:

Citation:

« Russian spear phishing attack against .mil and .gov employees » (une attaque
phishing
russe cible les adresses de collaborateurs portant des extensions .mil et .gov).

« Ces e-mails falsifiés capitalisent sur la derniére attaque Zeus, et prétendent que l’utilisation de Windows Update via les liens fournis aidera à la protection contre les attaques de Zeus« , explique une alerte publiée par Websense.

Citation:

« Le fichier binaire téléchargé à partir de ces liens est identifié comme un bot Zeus et le taux de détection par les antivirus est est de 35% ».

Le bulletin
note que une fois de plus, les URL dans les e-mails conduisent à un fichier malicieux hébergé sur une machine compromise, mais aussi, sur un service connu d’hébergement de fichiers.

Enfin, le mode opérationnel du
malware
est assez simple
.

Selon Websense, aprés l’installation du composant
rootkit
Zeus, le serveur de commande et de contrôle (C&C) est contacté pour télécharger un fichier de configuration crypté.

Un autre composant est chargé du vol de données aprés avoir été téléchargé et installé à partir du même C&C.
Ensuite, le bot établit une connexion avec un serveur
FTP
pour envoyer les données volées.

Voir aussi:

La loterie nationale danoise victime d’une attaque

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

(source:
itespresso
)

Lire Plus
DiversPiratages

W32.DatCrypt un nouveau cheval de Troie qui exige une rançon contre vos fichiers

Alerte Virale

Prendre des données en otage est un procédé connu dans le domaine de la cybercriminalité, cependant, un nouveau cheval de Troie infecte actuellement les ordinateurs sans même que les victimes puissent s’apercevoir qu’elles ont été escroquées.

Lorsque le
cheval de Troie
W32/DatCrypt infecte un ordinateur, certains fichiers comme des documents microsoft, de la musique ou des images, semblent avoir été infectés alors qu’en réalité, les fichiers ont été chiffrés par DatCrypt.

« Lorsque le cheval de Troie W32/DatCrypt infecte un ordinateur, certains fichiers comme des documents microsoft, de la musique ou des images, semblent avoir été infectés alors qu’en réalité, les fichiers ont été chiffrés par DatCrypt.

Ensuite, le cheval de Troie crée un message semblable à une authentique boÓte de dialogue provenant de Windows conseillant à l’utilisateur de télécharger et d’exécuter le logiciel de réparation conseillé appelé « Data Doctor 2010 », déclare Mikko Hypponen, directeur des laboratoires chez F-Secure.

Si ce fichier est téléchargé puis exécuté, l’utilisateur reçoit un message expliquant que ce dernier « ne peut réparer qu’un seul fichier avec la version gratuite », afin de nettoyer (ou plus précisément déchiffrer) davantage de fichiers, l’utilisateur doit acheter la solution au prix de 89,95$, une fois le montant payé, l’utilisateur a de nouveau accés à ses fichiers.

Ce cheval de Troie fonctionne d’une maniére tout-à-fait vicieuse.

L’utilisateur sera trés probablement heureux de pouvoir à nouveau accéder à ses fichiers sans réaliser qu’il a d? payer une rançon pour récupérer ses propres données, l’utilisateur ira peut-être même jusqu’à recommander à ses amis ce qu’il pense être une excellente solution de restauration de données.

Citation:

« On a pu observer des procédés similaires de demande de rançon l’année derniére, ils concernaient notamment le logiciel « File Fix Pro » », poursuit Mikko Hypponen

.

Ce type d’arnaque n’est viable que si l’utilisateur n’a pas sauvegardé ses données sensibles à un autre emplacement.

F-Secure recommande à tous de sauvegarder réguliérement les données de valeur sur un CD, un DVD, une clé USB ou bien en ligne via une solution telle que Online Backup de F-Secure.

Plus d’infos voir la fiche de Trojan:W32/DatCrypt
anglais)

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Lire Plus
Divers

Les Anonymous piégés par un logiciel pirate

L’un des outils utilisés par les cyberactivistes pour attaquer des sites Internet recelait un virus informatique.

Déjà traqués par la police, les cyberactivistes des Anonymous sont désormais la cible de pirates informatiques. En janvier, un logiciel utilisé par le collectif pour mener des attaques contre des sites Internet a été infecté par un programme malveillant, a révélé l’éditeur de solutions de sécurité Symantec.

Gr‚ce à ce virus, des pirates ont pu prendre le contrôle des ordinateurs des membres du collectif et récupérer leurs données personnelles, dont des coordonnées bancaires.

La ruse employée pour piéger les Anonymous était rudimentaire.

Le 20 janvier 2012, alors que des membres du collectif s’organisaient pour protester contre
la fermeture du site de téléchargement Megaupload
, un pirate est parvenu à leur faire télécharger une version vérolée d’un des outils qui leur sert lancer des attaques par « 
Déni de service
 » distribué (DDoS) et à surcharger des sites Internet de connexions.

Il a pour cela publié un faux guide pratique décrivant le fonctionnement du logiciel, en trafiquant le lien de téléchargement.

Au lieu de récupérer le logiciel, les membres du collectif ont ainsi installé, sans le savoir, un cheval de Troie sur leur machine, une fois activé, le programme malveillant s’est camouflé derriére une version légitime du logiciel.

Selon les observations de Symantec, la page factice de téléchargement a été consultée plus de 26.000 fois, tandis que le lien a été mentionné au moins 400 fois sur Twitter.

L’éditeur ne connaÓt toutefois pas l’ampleur des dég‚ts dans le réseau Anonymous.
Sur Twitter, des représentants des Anonymous ont nié être à l’origine de cette infection.

Lire Plus
Divers

Des millions d’imprimantes exposées au piratage

Des chercheurs américains ont découvert une faille de sécurité gr‚ce à laquelle des pirates pourraient prendre le contrôle d’une imprimante pour infiltrer un réseau informatique, voler des données et même causer des dég‚ts matériels.

HP reconnaÓt le risque.

Les imprimantes connectées à Internet sont-elles un véritable talon d’Achille pour la sécurité ?

C’est ce qu’affirment deux chercheurs de l’université de Columbia qui ont mis à jour une faille de sécurité susceptible de permettre à un pirate de prendre le contrôle à distance d’une imprimante connectée pour pouvoir voler des données, pénétrer un réseau ou carrément enflammer l’appareil en provoquant sa surchauffe.

Un
Cheval de Troie
dans un
firmware

Les tests ont été menés sur des imprimantes laser de la gamme LaserJet d’HP.

La vulnérabilité se situe au niveau du systéme de mise à jour automatique du firmware de l’imprimante, lors de chaque demande d’impression, il vérifie la présence d’une mise à jour mais n’utilise pas de certificat numérique pour en authentifier la provenance.

Dans le cas d’une imprimante connectée à Internet, il serait donc trés facile pour un
pirate
de diffuser une mise à jour piégée contenant un cheval de Troie, car, même si depuis 2009 les imprimantes connectées utilisent des certificats numériques, cela laisse encore des millions d’imprimantes potentiellement vulnérables, et pas uniquement celles vendues par HP.

Les chercheurs soulignent qu’il serait trés difficile de détecter une intrusion par ce biais dans la mesure o? les logiciels de sécurité n’analysent pas les imprimantes.

HP n’a pas franchement apprécié cette mise en cause mais a tout de même admis l’existence d’une « faille de sécurité potentielle sur certaines imprimantes LaserJet ».

HP reconnaÓt le risque avec des accés internet publics

Dans son communiqué, le constructeur reconnaÓt que le risque existe pour ce modéle d’imprimante s’il est utilisé sur un point d’accés Internet public qui n’est pas sécurisé par un pare-feu.

Citation:

« Dans certains environnements Linux ou Mac, il se peut qu’une t‚che d’impression corrompue spécialement formatée puisse déclencher une mise à jour du firmware », précise HP tout en insistant sur le fait qu’à ce jour, aucun client n’a fait état d’une intrusion ».

HP conteste aussi formellement le fait que l’imprimante puisse être enflammée aprés avoir été mise en surchauffe car elle est équipée d’un disjoncteur thermique qui coupe l’alimentation dans un tel cas de figure.

Cependant, un correctif est tout de même en cours de développement.

HP recommande d’utiliser un pare-feu et de désactiver la fonction de mise à jour automatique du firmware sur les imprimantes concernées.

Clic pour lire le communiqué de HP
(anglais)

Lire Plus
Piratages

Duqu, un virus dérivé de stuxnet menace des entreprises en europe

Alerte Virale

Dérivé de « Stuxnet », le virus « Duqu » (dy¸-ky¸) permet de collecter des informations confidentielles permettant de mener par la suite des opérations de sabotage industriel.

En 2010, une nouvelle arme de guerre électronique était découverte, Stuxnet, ce
virus
capable d’espionner et de reprogrammer des systémes industriels Scada fournis par Siemens, avait surtout semé la panique en Iran.

Aujourd’hui, une nouvelle menace plane avec la découverte par Symantec de son successeur, « Duqu ».

La société spécialisée dans les logiciels informatiques précise que ce nouveau logiciel malveillant est basé sur un code similaire et qu’il a été conçu soit par les créateurs de « 
Stuxnet
 » soit par quelqu’un qui a eu accés à son code source.

Des entreprises européennes en ligne de mire

Ce « 
ver
 » s’en prend pour le moment aux systémes informatiques d’une poignée d’entreprises situées en Europe, dont les identités n’ont pas été révélées.

Il permet à son ou ses concepteurs d’espionner ces firmes en récupérant des données confidentielles (des plans d’usines par exemple) afin de pouvoir cibler au mieux des attaques sur leurs infrastructures prévues ultérieurement.

Duqu est également capable d’enregistrer les frappes au clavier pour obtenir des mots de passe ou des informations supplémentaires, précise Symantec.

Il se présente ainsi comme un « 
cheval de Troie
 » qui permet de contrôler à distance un PC infecté.

En revanche, ce logiciel malveillant n’a pas été conçu pour saboter les systémes informatiques et n’est pas capable de se reproduire

Symantec indique que pour laisser le moins de traces possible, le ver est programmé pour se désinstaller au bout de 36 jours aprés l’infection du systéme.

Clic pour accéder a la fiche de Duqu
(anglais)

MAJ le 3.11.2011

Le virus Duqu infecte Windows en exploitant une faille zero-day

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Lire Plus
Piratages

La police bavaroise à l’origine d’un logiciel espion

Les autorités bavaroises ont reconnu, lundi 10 octobre 2011, être à l’origine d’un virus informatique, de type « cheval de Troie », permettant d’espionner un ordinateur infecté.

Samedi, le collectif de hackers allemand, le « Chaos Computer Club » (
CCC
), a mis au jour ce programme malveillant.

Le gouvernement fédéral s’était abstenu, dans un premier temps, de confirmer l’origine du
virus
, mais le ministére de l’intérieur de Baviére a reconnu dans la soirée qu’il avait été mis au point en 2009 pour sa police régionale.

« Ozapftis« , « Bundestrojaner« , »R2D2, etc…, le programme dispose de plusieurs noms de code.

Citation:

Une fois installé, ce
troyen
(cheval de Troie) est non seulement capable « de collecter des données privées, mais permet un accés à distance, afin de télécharger et d’exécuter des programmes », assure le CCC.

Citation:

« Ce Troyen peut contrôler de nombreuses applications liées à la communication, comme Skype, MSN Messenger et Yahoo Messenger », explique Graham Cluley.

Il peut également « faire des copies de ce qui apparaÓt à l’écran des utilisateurs et enregistrer les appels sur Skype », poursuit-il.

Citation:

« Nous prenons les informations liées aux recherches du Chaos Computer Club trés au sérieux », avait déclaré lundi le porte-parole du gouvernement allemand, Steffen Seibert, au cours d’un point de presse régulier, cité par l’Agence France-Presse.

Citation:

« A notre connaissance, le programme mis en évidence par le CCC est vieux de trois ans et en l’état actuel de nos recherches, il n’a jamais été utilisé », a pour sa part précisé le porte-parole adjoint du ministére de l’intérieur, Markus Beyer.

Polémique en Allemagne, aux …tats-Unis et en France

Aprés une longue bataille juridique, en février 2008, l’utilisation de logiciels espions par la police, ou « Bundestrojan » a été autorisée, mais dans des conditions bien précises.

Mais pour le CCC, de « gros défauts de conception du programme » rendent cette fonction disponible « à n’importe qui sur Internet ».

Citation:

« Nous sommes surpris et choqués par le manque de sécurité du code », déplore le Chaos Computer Club.

Ce n’est pas la premiére fois que l’utilisation de ce type de logiciels par les autorités fait polémique.

En 2001, la police fédérale américaine, le FBI, avait essayé d’introduire un programme similaire, baptisé « Magic Lantern« , le FBI avait même demandé aux éditeurs d’antivirus de ne pas intégrer ce programme dans la base de données à effacer.

Dans le cadre de l’examen
Lopsi 2
, un article prévoit que les forces de l’ordre peuvent, sous l’autorité d’un juge, utiliser des logiciels espions installés sur les ordinateurs de suspects. Une mesure qui avait été trés critiquée par les associations de défense de la vie privée.

Lire Plus
Divers

Les virements par PC banking massivement piratés

Un
cheval de Troie
, sévit depuis une dizaine de jours sur les PC bankings liés aux grandes banques belges, plusieurs clients auraient vu leur compte vidé à 90%.

L’intrusion de ce logiciel malveillant dans les systémes PC bankings concernerait KBC, Dexia, Fortis et ING

Seule ING accepte de confirmer du bout des lévres qu’elle est au courant d’un probléme

Les clients auraient vu s’afficher une fenêtre pop-up inhabituelle leur demandant de confirmer un virement et auraient vu peu aprés leurs comptes se vider de 90% de l’argent qu’ils renfermaient.

Le
malware
serait particuliérement virulent et réactif, mutant rapidement à chaque tentative des banques de le contrer.

Le montant de l’argent détourné pourrait s’élever à des dizaines, voire des centaines de milliers d’euros.

Citation:

La Federal Computer Crime Unit (
FFCU
) ne confirme pas l’invasion actuelle, ni le fait qu’elle soit commune aux quatre grandes banques belges, le commissaire Laurent Bounameau explique néanmoins que “des dossiers sont en cours chez nous, pour des activités anciennes et actuelles” .

Plus largement, “nous ne sommes pas dans le déni complet. Nous savons qu’il existe des problémes de sécurité. Et nous restons trés vigilants. En étroite collaboration avec les banques et l’autorité des services et marchés financiers (ASMF).”

Nous savons, de source s?re, que six clients ont été illégalement débités le samedi 13 ao?t 2011, plusieurs dizaines ces dix derniers jours., d’environ 90% du total de leur compte bancaire, toujours d’aprés nos informations.
Le préjudice atteindrait ainsi plusieurs dizaines, voire centaines de milliers d’euros, sur ces dix derniers jours.

Hier matin, BNP Paribas Fortis a d’ailleurs fermé son application home-banking pour ne la rouvrir qu’en début d’aprés-midi, “simple entretien de routine” , nous explique le service presse.
Ben voyons…

Citation:

“Les clients pouvaient toujours accéder à l’interface homebanking,” faux, selon une utilisatrice qui n’a jamais réussi à effectuer ses virements hier matin.

La banque franco-belge (Bnp Paribas Fortis) confirme néanmoins que les tentatives de fraude sur Internet via PC banking arrivent parfois.

Citation:

“Certains clients nous rapportent des bizarreries sur leurs écrans mais nous n’avons, récemment, pas encore enregistré la moindre perte d’argent parmi notre clientéle, nous continuons bien évidemment à avertir nos clients des précautions à prendre.”

ING, par contre, reconnaÓt avoir rencontré quelques soucis la semaine passée.

Citation:

“Quelques clients nous ont informés avoir remarqué que leurs écrans affichaient des anomalies lorsqu’ils utilisaient longtemps leur home-banking.

Cela n’a rien à voir avec la sécurité d’Internet ou de notre interface home-banking et nous avons publié un avis de vigilance sur notre site web”, explique la porte-parole de la banque.

Lire Plus
Piratages

Popureb un rootkit qui oblige à restaurer Windows

Alerte Virale

Les patch Tuesdays se succédent(
16 correctifs pour le Patch Tuesday de microsoft de Juin 2011
), mais parfois, Microsoft est prêt à le reconnaÓtre, cela ne suffit pas
.

La derniére alerte lancée aux Etats-Unis ce lundi 27 juin 2011, s’appelle « Popureb« , ce malware est une infection
trojan
qui se propage comme un redoutable
rootkit
, il s’enferre si profondément dans Windows qu’il pourrait bien conduire les utilisateurs à une ré-installation compléte de l’OS.

Sa référence exacte:
Trojan:Win32/Popureb.E
(Microsoft)

Car la source est un certain Chun Feng, ingénieur du MMPC, qui n’est autre que le trés officiel « 
Microsoft Malware Protection Center
« , lequel vient de l‚cher l’information sur un blog.

Ce
malware
écrase, ni plus ni moins, l’enregistrement du
boot
(ou MBR, master boot record), le fameux secteur 0 du disque dur, o? est stocké le code de lancement du systéme d’exploitation, une fois que le BIOS a été lancé et fait son check-in.

De ce fait, confirme Computerworld, ce ver cheval de Troie ne peut pas être détecté, ni par les anti-virus ni les autres systémes de sécurité -semble-t-il, puisque non visible par l’OS.

Recommandations

Sur
son blog
Microsoft Malware Protection Center, la firme de Redmond ne prend pas de détour:

« Si votre systéme est infecté avec ce Trojan:Win32/Popureb.E, nous vous recommandons de rétablir le MBR et d’utiliser ensuite le CD de restauration pour restaurer votre systéme à un état antérieur à l’infection » explique l’ingénieur Chung Feng.

La démarche nécessite de passer par la console de récupération via un CD de restauration ou d’installation de Windows XP, Vista ou 7, de maniére à réparer le secteur zéro endommagé à l’aide de la commande « fixmbr ».

Ensuite, une restauration du systéme est nécessaire, toujours à partir du disque, pour revenir à un état de l’OS datant d’avant la contamination – encore faut-il réaliser des points de restauration pour que cette manoeuvre soit possible.

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Lire Plus