Résultats de recherche pour : malware

Une invitation envoyée en masse proposant un outil permettant de pirater soi-même des comptes menace les utilisateurs de Windows Live Messenger

Cet e-mail, qui constitue la premiére étape d’un plan frauduleux de récupération de données, restera trés probablement dans les archives de l’histoire du cybercrime tant il éclaire sur le comportement humain.
Suffit-il d’affirmer que quelque chose est illégal, pour que tout le monde le fasse.

C’est ainsi que le soi-disant outil s’attribue une légitimité bien fragile en affirmant
Citation:

De même que les efforts du loup pour se faire passer pour une brebis dans la bergerie sont vains, cet outil affirme, sans convaincre, qu’il est destiné aux « utilisateurs de MSN souhaitant pirater leurs propres comptes MSN et aux chercheurs« .

Un message appelant à la confiance sous prétexte qu’il vous met en garde contre les pirates!
La logique de ce message est toutefois déroutante, la référence finale à l’outil pouvant être utilisé dans des situations o? il est possible de se connecter sans avoir à saisir son mot de passe ajoute à son côté surnaturel

L’analyse approfondie du sens des e-mails que vous recevez n’est sans doute pas votre passe temps favori, mais prétendre que l’on souhaite faciliter la récupération de mots de passe perdus devrait prêter à sourire dans un contexte o? l’on n’est jamais trop prudent face au risque de vol de données, a ce stade seules des versions anglaises ont été détectées ce qui les rend assez facile à éviter, mais il est probable que des déclinaisons dans d’autres langues de cette campagne suivent sous peu.

L’analyse de l’e-mail mise à part, le lien fourni dans le message est censé permettre de télécharger l’outil promis et c’est à ce moment que HackMsn.exe révéle qui il est réellement, un
backdoor
.
Identifié par BitDefender sous le nom de « Backdoor.Bifrose.AADY« , ce code malveillant affecte les plateformes Windows.

Le
malware
s’injecte dans le processus « explorer.exe » et ouvre un backdoor (porte dérobée) qui permet aux
pirates
d’accéder au systéme et d’en prendre le contrôle.

« Backdoor.Bifrose.AADY » tente également de lire les clés et les numéros de série de plusieurs logiciels installés sur l’ordinateur affecté, enregistre les mots de passe d’ICQ, de Messenger, des comptes de courrier électronique POP3, et essaie d’accéder aux sauvegardes protégées.

Une solution de sécurité à jour et une bonne vigilance de la part des utilisateurs sera le meilleur obstacle à la diffusion de ce type de malware.

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Les firmes de sécurité BitDefender et Symantec sonnent l’alerte.
La variante d’un ver informatique connu se propage par l’intermédiaire de pourriels via la messagerie instantanée.

Les usagers devraient se méfier s’ils reçoivent un court message sur lequel apparaÓt un « happy face« .

Le dernier-né de la famille « Palevo » se diffuse ces jours-ci sous la forme d’une vague massive de
spam
de messagerie instantanée, générée de façon automatique.

Le message non sollicité incite les destinataires à cliquer sur un lien accompagné d’un smiley souriant, censé les diriger vers une image ou une galerie de photos.

Ce message est censé rediriger l’internaute vers une image.
Le ver particuliérement agressif viserait Yahoo! Messenger et les ordinateurs roulant sous Windows.

Palevo.DP est synonyme de ravage pour les systémes non protégés qui sont infectés.
Il commence par créer plusieurs fichiers cachés dans le dossier Windows:

– mds.sys
– mdt.sys
– winbrd.jpg
– infocard.exe

Il modifie certaines clés de registre pour qu’elles pointent vers ces fichiers afin de neutraliser le pare-feu du systéme d’exploitation.

Comme les autres membres de sa famille, Palevo.DP dispose d’un composant de type
backdoor
qui permet aux
pirates
de prendre à distance le contrôle total de l’ordinateur compromis pour y installer d’autres
malwares
, voler des fichiers, lancer des campagnes de spam et des attaques de malwares sur d’autres systémes.

La famille Palevo est également capable d’intercepter des mots de passe et d’autres données sensibles saisies dans les navigateurs web Mozilla Firefox et Microsoft Internet Explorer, ce qui la rend extrêmement dangereuse pour les internautes utilisant des services bancaires en ligne ou faisant des achats sur Internet.

Le mécanisme de diffusion comprend également l’infection de partages réseau et de supports de stockage amovibles comme les clés USB, dans lesquels il crée des fichiers autorun.inf pointant vers sa copie, lorsqu’un disque amovible ou une carte mémoire sont insérés dans des ordinateurs dont la fonction d’exécution automatique (autorun) est activée ou qui ne sont pas protégés par une solution de sécurité avec analyse à l’accés, le systéme est automatiquement infecté.

Lorsque l’usager clique sur le lien malveillant, il autorise plutôt le fichier (un faux JPG) ´Worm.P2P.Palevo.DPª à s’exécuter sur son ordinateur.

Les vers Palevo affectent également les utilisateurs de plateformes de partage P2P telles que:

– BearShare
– iMesh
– Shareza
– Kazaa
– DC++
– eMule
– LimeWire

En ajoutant leur code aux fichiers partagés.

« Nous recommandons aux utilisateurs d’être extrêmement prudents et de ne cliquer sur aucun lien reçu via des clients de messagerie instantanée sans avoir vérifié auprés de l’expéditeur la validité des sites Web vers lesquels ces liens pointent.

Citation:

A ce jour, les pays les plus touchés sont les suivants:

– France
– Roumanie
– Mongolie
– Vietnam
– Indonésie
– Australie
– Malaisie
– ThaÔlande
– Royaume-Uni
– KoweÔt

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Google Chrome est devenu la cible de cybercriminels qui tente, par ce biais, de dérober des données personnelles des utilisateurs.

Le principe est simple, les utilisateurs de Google Chrome reçoivent un e-mail non sollicité (spam) leur indiquant qu’une nouvelle extension de leur navigateur a été développée afin de simplifier l’accés aux documents envoyés par e-mail.

Un lien à l’apparence anodine est indiqué, et les destinataires sont invités à cliquer dessus afin de télécharger la nouvelle extension.

S’ils cliquent dessus, ils sont redirigés vers une page ressemblant à celle des extensions Google Chrome, mais celle-ci leur fournit une fausse application installant des malwares sur leur systéme.

Bien que la description de la fausse application soit identique à celle de la véritable extension Google Chrome, un élément devrait mettre la puce à l’oreille des utilisateurs attentifs, l’application n’est pas une extension « .crx » mais « .exe.

Identifiée par BitDefender comme Trojan.Agent.20577, l’application bloque l’accés aux pages web de Google et de Yahoo.

Lorsque les utilisateurs souhaitent y avoir accés et tapent « google.[xxx] » ou « [xx].search.yahoo.com » dans le navigateur web, ils sont redirigés vers une autre adresse IP (89.149.xxx.xxx.), cela permet aux auteurs de ce malware d’intercepter les appels des victimes pour se connecter à ces sites Internet et de les rediriger vers leurs propres versions de ces sites, infectées par des malwares.

Le jeu « 3D Anti-Terrorist » renferme un virus dont le but est de générer des appels internationaux.
Attention, la facture peut vite devenir salée!

Les applications mobiles infectées sont heureusement encore assez rares.
Mais elles peuvent faire trés mal.

Des développeurs sous Windows Mobile ont en effet observé que leurs terminaux s’amusaient à passer tout seul des appels internationaux, notamment la nuit, en toute discrétion.

Appels exotiques

Aprés enquête et recoupement d’autres témoignages, il apparait que cette dangereuse habitude est le fait d’un virus logé dans un jeu baptisé « 3D Anti-Terrorist« , ce logiciel pour les terminaux sous Windows Mobile 6.5, qui se trouve un peu partout depuis un mois, peut donc trés vite faire exploser votre facture mensuelle avec ses appels exotiques.

Il est donc fortement conseillé de ne pas installer ce jeu.

Si c’est déjà le cas et que votre journal d’appels regorge d’appels internationaux, une solution permet d’éradiquer le
malware
(voir vidéo).

Kaspersky Mobile permet de détecter les logiciels malveillants

plus d’infos sur ce forum
(anglais)

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos mobiles ne deviennent un élément d’un réseau de zombie (
botnet
)

Dans le domaine de l’imagination, on peut dire que les
pirates
ne sont jamais en reste, ni les auteurs de
malwares
.

Comment amener une sale bête à infecter votre machine ?

Il existe de nombreuses méthodes, mais l’une des plus courantes est de prendre l’apparence d’un contenu inoffensif, et quoi de plus anodin qu’un logiciel censé justement vous protéger ?

Microsoft prévient qu’une fausse version de son logiciel « Security Essentiels » est en train de circuler sur la toile, elle est estampillée « 2010 » et présente l’interface suivante:

(Faux logiciel)

Pour comparaison, voici la véritable interface du logiciel actuellement:

(Vrai logiciel)

Le logiciel installe en fait le
cheval de Troie
« Win32/Fakeinit » et présente un faux scanner qui va passer en revue vos fichiers.

Il va repérer certains processus clés pour tenter de les arrêter puis va avertir l’utilisateur que sa machine est bien entendu infectée, pendant ce temps il va modifier des clés dans le registre et changer le fond d’écran pour le remplacer par celui-là:

Assez grossier il est vrai, mais probablement efficace chez une bonne partie des utilisateurs lambda qui ne connaissent pas l’informatique.

David Woods, sur
le site officiel microsoft Security
, indique que ce genre de chose était à prévoir.

La méthode est l’une des plus anciennes

« Se caler sur un logiciel connu ou un composant important du systéme pour faire passer la pilule, il indique par exemple que nombre de malwares ont copié l’interface du Centre de Sécurité, présent dans Windows depuis le Service Pack 2 de Windows XP ».

Attention donc aux piéges innombrables de la toile, on ne le répétera jamais assez.

Le véritable Microsoft Security Essentials détecte et supprime « Win32/Fakeinit », et on peut le télécharger depuis son
site officiel
.

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

(source:
pcinpact
)

La société Websense spécialiste dans les solutions de filtrage pour Internet a découvert une nouvelle vague d’attaques visant des collaborateurs de gouvernements et des militaires.

Le
cheval de Troie
« Zeus » en serait responsable.

Websense,a récemment émis une nouvelle alerte de sécurité IT.

Elle porte sur le cheval de Troie (trojan) baptisé « 
Zeus
 » qui serait utilisé pour voler des informations confidentielles des personnels travaillant pour les gouvernements et les départements militaires.

Début février, ce logiciel malveillant, qui a été initialement conçu et utilisé pour voler des données bancaires, a été utilisé dans une campagne ciblant des collaborateurs de gouvernement étrangers (…tats-Unis et Royaume-Uni principalement).

Cette menace se présente sous la forme d’un faux mail qui serait émis par un responsable de l’Agence centrale de renseignement (
CIA
), avec pour sujet:

Citation:

« Ces e-mails falsifiés capitalisent sur la derniére attaque Zeus, et prétendent que l’utilisation de Windows Update via les liens fournis aidera à la protection contre les attaques de Zeus« , explique une alerte publiée par Websense.

Citation:

Le bulletin
note que une fois de plus, les URL dans les e-mails conduisent à un fichier malicieux hébergé sur une machine compromise, mais aussi, sur un service connu d’hébergement de fichiers.

Enfin, le mode opérationnel du
malware
est assez simple.

Selon Websense, aprés l’installation du composant
rootkit
Zeus, le serveur de commande et de contrôle (C&C) est contacté pour télécharger un fichier de configuration crypté.

Un autre composant est chargé du vol de données aprés avoir été téléchargé et installé à partir du même C&C.
Ensuite, le bot établit une connexion avec un serveur
FTP
pour envoyer les données volées.

Voir aussi:

La loterie nationale danoise victime d’une attaque

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

(source:
itespresso
)

Un faux test de QI combine en fait
virus
,
rootkit
et
ver
dans une formule fatale.

BitDefender, a identifié une nouvelle menace informatique alliant le comportement destructeur des virus aux mécanismes de diffusion des vers, il existe deux variantes connues de ce virus, qui s’introduit dans l’ordinateur sous la forme d’un innocent test de QI.

Une fois exécuté, le ver crée entre sept et onze copies de lui-même (selon la variante) dans des zones sensibles du systéme de Windows.

« Win32.Worm.Zimuse.A » est un malware extrêmement dangereux.
Contrairement à la plupart des vers, « Win32.Worm.Zimuse.A » peut causer d’importantes pertes de données car il écrase les 50 premiers kilo-octets de la zone d’amorçage du disque dur (Master Boot Record) (une zone essentielle du disque dur).

Zimuse un virus qui endommage votre disque dur
envoyé par Eagle1.

Afin de s’exécuter à chaque amorçage de Windows, le ver définit l’entrée de registre suivante:

Citation:

Il crée également deux fichiers pilotes:

Citation:

Les versions 64 bits de Windows Vista et Windows 7 requérant des pilotes avec une signature numérique, le ver ne peut y installer ces fichiers.

Malheureusement, lors des premiéres étapes de l’infection, il est presque impossible aux utilisateurs de découvrir que leur systéme est victime d’une menace informatique.

Citation:

Pour voir une vidéo présentant les étapes d’une attaque de Win32.Worm.Zimuse.A, veuillez cliquer ici.

Nous recommandons la plus grande vigilance aux utilisateurs lorsqu’il leur est demandé d’ouvrir des fichiers provenant d’emplacements inconnus.

Marc Blanchard, épidémiologiste et Directeur des Laboratoires Editions Profil pour BitDefender en France ajoute :

Citation:

Gr‚ce à BitDefender Remove Zimuse, vous pourrez détecter si votre ordinateur est infecté par « Zimuse », et le désinfecté le cas échéant.

Télécharger BitDefender Remove Zimuse

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)