Le programme Windows Genuine Advantage, initié par microsoft pour privilégier les possesseurs de versions authentiques de Windows XP, a fait beaucoup de vagues, c'est le moins que l'on puisse dire.

C'est surtout le durcissement récent du programme qui fait couler de l'encre, et notamment la sale habitude de l'utilitaire qui se connecte régulièrement au serveur de Microsoft pour communiquer des informations dont on ne connaît pas vraiment la portée.

Pour limiter l'impact de ce mouchard, l'éditeur Firewall Leak Tester a développé un programme intitulé tout simplement RemoveWGA dont le but est de détecter la présence éventuelle de l'outil de notification WGA et, le cas échéant, le supprimer.

Entre temps, microsoft a publié une mise à jour censée limiter les appels vers les serveurs de Redmond et un guide permettant de supprimer manuellement l'outil de notification mais Firewall Leak Tester n'en démord pas et continue le développement de son anti WGA.

Attention, néanmoins : la dernière version de RemoveWGA peut avoir recours à une méthode radicale de suppression, qui peut entrainer un crash du PC.
Il est donc déconseillé de faire appel à cet outil sans avoir effectué des sauvegardes de ses données importantes.

Système compatible: Windows XP

Exchanger.NB est un programme malicieux de type cheval de Troie.
Il se présente sous la forme d'un courrier électronique sans fichier joint ayant l'apparence d'une lettre d'information nommée "MSNBC Breaking News".

Lire la suite...

Système Concerné:

- Windows

Alias:

- TR/Dldr.Exchanger.NB (Antivir)
- I-Worm/Nuwar.W (AVG)
- Trojan.Downloader.Exchanger.Gen.2 (BitDefender)
- Trojan.DownLoad.3248 (DrWeb)
- Win32/Collet.DU (eTrust)
- Trojan-Downloader.Win32.Exchanger.nb (F-Secure)
- Trojan-Downloader.Win32.Exchanger.nb (Kaspersky)
- TrojanDropper:Win32/Nuwar.gen!ldt (Microsoftt)
- 14 W32/DLoader.IXFE (Norman)
- Trj/Exchanger.Z (Panda)
- Mal/EncPk-DA (Sophos)
- Trojan.Erotpics (Symantec)
- TROJ_TIBS.CSZ (Trend Micro)

Description détaillée:

Exchanger.NB est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus.

Il peut cependant arriver par courrier électronique car son auteur utilise la technique du spam pour le diffuser.
L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement.

Le titre du message est "msnbc.com - BREAKING NEWS", suivi du titre d'une brève d'actualité véridique ou d'une fausse information complètement fantaisiste mais racoleuse.

Quelques exemples:

- msnbc.com - BREAKING NEWS: I will be suing you
- msnbc.com - BREAKING NEWS: Mary-Kate Olsen responsible forHeath Ledger's death
- msnbc.com - BREAKING NEWS: Elizabeth Taylor found murdered at home
- msnbc.com - BREAKING NEWS: Fredie Mac losses mount, loses billions every month
- msnbc.com - BREAKING NEWS: McCain told lies to win votes
- msnbc.com - BREAKING NEWS: Too much freedom will destroy America
- msnbc.com - BREAKING NEWS: Bomb scare grounds thousands of flights at UK Heathrow airport
- msnbc.com - BREAKING NEWS: Americans love law suits for breakfast
- msnbc.com - BREAKING NEWS: [video] Take it from us: People Hate Satire

Le corps du message est un texte au format HTML se présentant comme une lettre d'information signée et envoyée par le service MSNBC-Microsoft, invitant le destinataire à cliquer sur les liens hypertextes qu'il contient pour en savoir plus.

Un exemple de message:


Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Breaking News, Weather, Business, Health, Entertainment, Sports, Politics, Travel, Science, Technology, Local, US & World News - msnbc.com- msnbc.com " simulant un problème d'affichage et invitant l'utilisateur à télécharger un fichier adobe_flash.exe, censé être une mise à jour du lecteur Adobe Flash, afin de pouvoir accéder au contenu souhaité.


Il ne faut pas cliquer sur les liens du message ni ouvrir le fichier adobe_flash.exe, car il s'agit en réalité d'un programme malicieux.

La page web comporte par ailleurs un bouton "Close page", il ne faut pas non plus tenter d'utiliser ce bouton, car ce dernier ne ferme pas la fenêtre concernée mais déclenche en réalité l'ouverture d'une nouvelle fenêtre intitulée "Antivirus XP 2008", qui affiche de faux résultats d'analyse indiquant que l'ordinateur est infecté, puis qui invite à télécharger un fichier scaner.exe pour y remédier.


Il ne faut pas installer le logiciel Antivirus XP 2008 concerné, car la fausse mise à jour Adobe Flash Player adobe_flash.exe et le faux antivirus scaner.exe sont en réalité un seul et même cheval de Troie.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

(source:secuser)

Exchanger.JT est un programme malicieux de type cheval de Troie.

Il se présente sous la forme d'un courrier électronique sans fichier joint ayant l'apparence d'un top 10 des histoires et vidéos les plus vues de la chaîne CNN.

Lire la suite...

Système concerné:

- Windows

Alias:

- TR/Crypt.XPACK.Gen (Antivir)
- I-Worm/Nuwar.V (AVG)
- Trojan.Downloader.Exchanger.W (BitDefender)
- Trojan.DownLoad.3248 (DrWeb)
- Win32/Collet!generic (eTrust)
- W32/Tibs.BF!worm (Fortinet)
- Trojan-Downloader.Win32.Exchanger.jt (F-Secure)
- Trojan-Downloader.Win32.Exchanger.jt (Kaspersky)
- BackDoor-DNM (McAfee)
- TrojanDownloader:Win32/Agent.IP (Microsoft)
- Win32/Agent.ETH (NOD32)
- Bck/Agent.JOO (Panda)
- Mal/EncPk-DA (Sophos)
- Infostealer (Symantec)


Description détaillée:

Exchanger.JT est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus.

Il peut cependant arriver par mail car son auteur utilise la technique du spam pour le diffuser.

L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement.
Le titre du message est "CNN.com Daily Top 10".

Le corps du message est au format HTML.
Il tente de se faire passer pour une sélection quotidienne des dix histoires et vidéos les plus vues de la chaîne de télévision américaine CNN, invitant le destinataire à cliquer sur des liens hypertextes qu'il contient pour les visualiser.


Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Watch Free Movie - Update Every Hour!" simulant un problème d'affichage et invitant l'utilisateur à télécharger un fichier get_flash_update.exe, censé être une mise à jour du lecteur Flash, afin de pouvoir accéder au contenu souhaité

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

(source:secuser.com)

Zhelatin.AEP est un virus qui se propage par courrier électronique.
Il fait partie de l'infection Storm Worm.

Il se présente sous la forme d'un message sans fichier joint annonçant la fin du dollar et son remplacement par une monnaie baptisée Amero ( qui existe réellement à l'état de concept), commune à toute l'Amérique du Nord.

Lire la suite...

Système Concerné:

- Windows

Alias:

- HEUR/Crypted (Antivir)
- I-Worm/Nuwar.N (AVG)
- Rootkit.Agent.AITJ (BitDefender)
- Email-Worm.Win32.Zhelatin.aep (F-Secure)
- Email-Worm.Win32.Zhelatin.aep (Kaspersky)
- W32/Nuwar@MM (McAfee)
- Backdoor:Win32/Nuwar.gen!D (Microsoft)
- Mal/TibsPak (Sophos)
- Trojan.Peacomm.D (Symantec)
- Storm Worm

Description Détailée:

Le virus Zhelatin.AEP se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spam.

L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement.

Quelques titres de message:

- Collapse of the Dollar
- Say Goodbye to the Dollar
- You can forget about Dollars

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255):


Si l'internaute clique sur le lien, il est dirigé vers une page piégée intitulée "Amero" contenant une iframe malicieuse et invitant l'internaute à ouvrir un fichier amero.exe censé apporter des explications sur la nouvelle monnaie:


Il ne faut pas cliquer sur le lien ni télécharger le fichier amero.exe, car il s'agit en réalité d'une variante du virus Storm Worm.
Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée (backdoor) permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Zhelatin.ZY est un virus qui se propage par courrier mail.
Il fait partie de l'infection Storm Worm.

Il se présente sous la forme d'un message invitant le destinataire se rendre sur un site Internet pour consulter la vidéo d'un nouveau tremblement de terre qui aurait frappé la Chine et endommagé les infrastructures des jeux olympiques.

Lire la suite...

Système concerné:

- Windows

Alias:

- Win32:TDrop (Avast)
- Trojan.Peed.JLV (BitDefender)
- Win32/Sintun.EZ (eTrust)
- Email-Worm.Win32.Zhelatin.zy (Kaspersky)
- Backdoor:Win32/Nuwar.gen!D (Microsoft)
- Win32/Nuwar (NOD32)
- W32/Nuwar-E (Sophos)
- Trojan.Peacomm.D (Symantec)
- Storm Worm



Description détaillée:

Le virus Zhelatin.ZY se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spam.

L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement.

Quelques titres de message:

- China's most deadly earthquake
- Countless victims of earthquake in China
- Deadly catastrophe in Chinese capital
- Death toll in China exceeds 1000000
- The capital of China were collapsed by earthquake

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte.

Si l'internaute clique sur le lien, il est dirigé vers une page piégée intitulée "Strongest earthquake hits Beijing", qui tente d'exécuter automatiquement un code malicieux sur l'ordinateur des visiteurs non à jour dans leurs correctifs de sécurité via une iframe cachée et invite à télécharger un fichier beijing.exe censé être une vidéo d'information.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

(source:secuser.com)

"Zhelatin.ZT" est un virus qui se propage par courrier électronique.
Il fait partie de l'infection "Storm Worm".

Il se présente sous la forme d'un message sans fichier joint invitant le destinataire à se rendre sur une page intitulée "Who is loving you?", afin de lui permettre de connaître l'identité de l'expéditeur qui serait prétendument amoureux de lui.

Lire la suite...

Système concerné:

- Windows

Alias:

- Worm/Zhelatin.za (Antivir)
- I-Worm/Nuwar.T (AVG)
- Trojan.Peed.PJ (BitDefender)
- Win32/Sintun.EZ (eTrust)
- Email-Worm.Win32.Zhelatin.zt (F-Secure)
- Email-Worm.Win32.Zhelatin.zt (Kaspersky)
- Mal/Dorf-N (Sophos)
- Trojan.Peacomm.D (Symantec)
- Storm Worm


Description détaillée:

Le virus "Zhelatin.ZT" se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spam.
L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement.

Quelques titres de message:

- Deeply in love with you
- I belong to you
- I love you so much!
- Nothing's Gonna Change My Love For You
- Stand by my side
- You are in my heart

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255)
Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Who is loving you?" qui invite à télécharger un fichier "loveyou.exe" censé indiquer à l'internaute qui est amoureux de lui.

Il ne faut pas cliquer sur le lien ni télécharger le fichier loveyou.exe, car il s'agit en réalité d'une variante du virus Storm Worm.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

(source:secuser.com)

Une nouvelle attaque par phishing cible les utilisateurs du fournisseur d'accès Free.fr.

Elle se présente sous la forme d'un courrier électronique en français intitulé "IMPORTANT: Re-Identification", envoyé en apparence par le fournisseur d'accès l'équipe Free "communications@free.fr"

Lire la suite...


Sous prétexte d'une perte de données suite à la mise à jour d'un serveur, le message demande à l'internaute de cliquer sur un lien hypertexte pour se connecter à son compte.

Il ne faut pas cliquer sur ce lien car il conduit à une imitation du site de Free contrôlée par un individu malveillant, hébergée chez l'association Olympe Network.

Le phishing c'est quoi ?

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

source:secuser)

Les eurodéputés discuteront, le 16 juin 2008, à Strasbourg, du "paquet télécom".
Celui-ci doit mettre à jour la législation européenne, notamment les directives relatives au commerce électronique et à la vie privée, afin de refléter l'"évolution rapide du marché et des technologies dans le secteur des communications électroniques".

Il devrait être adopté, "si tout va bien et en cas d'accord, avec tous les groupes politiques" du Parlement européen, en juillet 2008.

Lire la suite...

"L'enjeu de ces propositions est considérable, soulignait récemment le sénateur Pierre Hérisson, tant les services de communications électroniques apparaissent de plus en plus comme le socle du développement économique et social des territoires de l'Union européenne".

Mais l'essentiel est ailleurs.

Les rapporteurs de la commission culture, Manolis Mavrommatis (démocrate-chétien) et Ignasi Guardans Cambó (libéral démocrate), soutenus par la France et l'industrie culturelle, proposent d'abaisser le niveau de protection de la vie privée afin de renforcer la protection du droit d'auteur.

L'un des articles du projet initial prévoit de "réprimer l'utilisation des logiciels espions" (spywares).
Mais Manolis Mavrommatis propose de restreindre le champ de cette définition au seul espionnage des actions "licites" des utilisateurs.

Ce "qui revient à dire", souligne Guy Bono,"qu'un logiciel qui enregistrerait des actions illicites ou corromprait le matériel d'un utilisateur ne constituent pas 'une menace grave pour la vie privée'".


Un logiciel espion, tel que celui utilisé par la société Sony BMG en 2005 pour protéger ses CD, pourrait dès lors être légalisé.
Officiellement, ce spyware visait à interdire la duplication des fichiers sur les ordinateurs de ceux qui avaient acheté l'un de ces CD.

Mais il ouvrait aussi, subrepticement, une brèche de sécurité permettant à des pirates d'en prendre le contrôle, de l'extérieur.
Face au scandale, la major avait finalement accepté de verser jusqu'à 150 dollars par client afin de mettre un terme à la procédure intentée par la Federal Trade Commission américaine.

"ON VEUT TOUT SAVOIR DE VOUS"

Membre, lui aussi, de la commission culture, Guy Bono a déposé plusieurs amendements afin de garantir les libertés des internautes.

Il avait déjà fait parler de lui en avril dernier en faisant adopter par le Parlement une résolution, cosignée avec Michel Rocard, condamnant la proposition française de "riposte graduée" en matière de lutte contre le téléchargement.

Les eurodéputés avaient alors estimé qu'une telle mesure, consistant à menacer de couper l'accès Internet aux internautes suspectés de téléchargements illégaux, allait à l'encontre des droits de l'homme.

Depuis, souligne Guy Bono, "on assiste à des attaques tous azimuts des grandes majors du disque qui essayent de faire passer en force leurs propositions liberticides, économiquement infondées et à contresens de l'histoire du numérique".


Dans un communiqué intitulé "1984", il estime que "ce qu'Orwell avait prédit est en train de se mettre en place, on veut tout savoir de vous, vous traquer, vous espionner dans vos moindres gestes, et orienter vos comportements.
Sauf que le dictateur, derrière tout ça, n'est pas politique : ce sont les grandes multinationales !"

De son côté, Viviane Reding, commissaire européenne responsable de la société de l'information et des médias, a lancé samedi 17 mai 2008, à Cannes un "appel à la mobilisation générale contre le piratage", au motif que "la France est le seul pays à soutenir la Commission européenne dans sa volonté d'obliger les fournisseurs d'accès à Internet (FAI) à avertir les abonnés en cas d'infraction au droit d'auteur et à soumettre l'attribution des licences de FAI au respect du droit d'auteur".

Elle accuse également des eurodéputés d'élaborer "des amendements pour éliminer les propositions de la Commission en faveur du droit d'auteur".

Les fonctionnalités des rootkits et comment les contrer

(source:lemonde)

Le passeport biométrique francais, contenant une photo et des empreintes digitales numérisées et dont les premiers exemplaires seront disponibles à l'automne, a été lancé officiellement par un décret paru le dimanche au Journal officiel.

Le passeport biométrique succèdera progressivement au passeport électronique dont six millions d'exemplaires ont été fabriqués depuis le 13 avril 2006.

Lire la suite...

Conformément à un accord européen du 13 décembre 2004, le passeport biométrique français, intitulé simplement "passeport", appellation qui se substitue à celle de "passeport électronique", devra être disponible avant le 28 juin 2009.


D'ici là, deux mille mairies seront équipées de machines gratuites qui enregistreront les photos et empreintes digitales numérisées insérées dans la puce de ces passeports biométriques.

Ce décret complète celui du 30 décembre 2005, pris pour les passeports électroniques.

Il spécifie ainsi que "lors du dépôt de la demande de passeport il est procédé au recueil de l'image numérisée du visage et des empreintes digitales de huit doigts du demandeur.
Les empreintes digitales des enfants de moins de six ans ne sont pas recueillies".

"A moins que le demandeur ne fournisse deux photographies d'identité de format 35X45 mm identiques, récentes et parfaitement ressemblantes, le représentant de face et tête nue, l'image de son visage est recueillie par la mise en oeuvre de dispositifs techniques appropriés", précise le décret.

Il stipule par ailleurs qu'"à titre exceptionnel et pour des motifs de nécessité impérieuse ou d'urgence dûment justifiée, il peut être délivré un passeport d'une durée de validité d'un an ne comportant pas de composant électronique".

Un Allemand de 13 ans a corrigé des calculs de la Nasa sur la probabilité de collision d'un astéroïde avec la Terre et l'Agence a reconnu son erreur, a rapporté un journal local mardi.

A partir d'observations télescopiques à l'Institut d'astrophysique de Potsdam (AIP), près de Berlin, le lycéen Nico Marquardt a calculé une probabilité de 1 sur 450 qu'un astéroïde baptisé Apophis entre en collision avec la Terre, rapporte le quotidien régional Potsdamer Neuerster Nachrichten.

Lire la suite...


La Nasa, qui avait estimé à 1 sur 45.000 la probabilité d'un tel impact, a fait savoir, via l'Agence européenne de l'espace (Esa), que le jeune génie avait raison.

La Nasa n’avait pas pris en compte les nombreux satellites qui gravitent autour de notre planète

Le facteur intégré par Nico Marquardt que l'Agence américaine n'avait pas pris en compte est le danger de collision d'Apophis avec l'un ou plusieurs des 40.000 satellites lors du passage près de la planète bleue le 13 avril 2029.

Ces satellites tournent à une vitesse de 3,07 km/seconde autour de la Terre à une distance allant jusqu'à 35.880 kilomètres, or l'astéroïde devrait passer à 32.500 kilomètres de notre planète.

Si un impact a lieu en 2029, cela pourrait changer la trajectoire d'Apophis de manière à lui faire rencontrer notre planète lors de son prochain passage près de la Terre prévu en 2036.

La Nasa et Nico Marquardt estiment qu'en cas de collision, la boule de fer et d'iridium d'un diamètre de 320 mètres et lourd de 200 milliards de tonnes tomberait dans l'Océan Atlantique.

Ce choc déclencherait des vagues monstrueuses, ravageant les côtes et bien au-delà, tandis que des masses extrêmement denses de poussière dans l'atmosphère assombriraient le ciel pour un temps indéterminé.

Nico Marquardt avait fait connaître sa découverte dans le cadre d'un concours régional qu'il avait remporté grâce à son travail intitulé "L'astéroïde meurtrier Apophis".

A mon avis il a une place pour lui gardée a la Nasa ^^

MAJ:
Nouvelle erronée et completement fabriquée ... Bravo l'AFP !
démenti de la NASA ici

Le nombre des virus, vers, logiciels espions et robots placés sur des réseaux informatiques dans le monde était de 1.122.311 à la fin de l'année 2007, dont près des deux tiers ont été créés au cours de cette même année, constate la firme de securité Symantec dans son dernier rapport semestriel sur les menaces pesant sur la sécurité d'Internet.

Ces logiciels parasites tirent parti de la logique du Web 2.0, plutôt que de nourrir des attaques massives, ils visent de plus en plus des ordinateurs individuels fonctionnant de façon légitime au sein de réseaux transformés en agents de dissémination.

Lire la suite...

"Le Web lui-même est maintenant le premier canal pour mener des attaques", relève la firme qui est le leader mondial de son secteur.

Derrière la cible informatique, c'est en fait l'utilisateur lui-même qui est l'objet de la cybercriminalité, il s'agit de tirer parti de sa confiance à l'endroit de certains sites, comme les réseaux sociaux, afin qu'il laisse agir sur son ordinateur et qu'il ouvre sans méfiance les documents qu'il y charge.


Le logiciel espion, aussi appelé "cheval de troie", qui permet de prendre le contrôle d'une machine connectée au réseau, représente 71% des cinquante codes infectieux les plus utilisés au cours du second semestre 2007.

Mais le "Mpack" ou le "Icepack Web-Attack", des boîtes à outils informatiques vendues sur le marché noir de la criminalité, diffusent deux nouvelles tendances:

- La modification furtive des navigateurs
- La modification discrète de pages Internet (en anglais, le "phishing"), notamment sur des sites financiers.

L'ARABIE SAOUDITE, PAYS LE PLUS VISÉ.

Selon ce rapport, la criminalité en ligne agit de façon plus mobile que jamais.
Le "phishing", qui semblait trouver sa source pour 60% dans des organisations russes piratant des sites européens au cours du premier semestre 2007, s'est tournée vers la Chine pour installer ses activités en ligne au cours du second semestre.

Les pays peu protégés ou mal équipés sont les premiers visés.

Le Pérou fournit ainsi 9% des attaques en ligne contre les vingt-cinq pays les mieux équipés en haut débit, alors que 80% de ses internautes utilisent des cybercafés.


Le pays le plus "délinquant" du monde est l'île de Guam dans le Pacifique 39% de ses 2.700 abonnés au haut débit ont vu leur ordinateur utilisés pour du "phishing".

Les Etats-Unis maintiennent toutefois leur double position de leader, ils fournissent le quart des attaques sur le réseau et sont la cible de 30% d'entre elles, des chiffres stables.

En Europe, Madrid est le paradis des "bots", les robots qui répètent des opérations jusqu'à saturation et effondrement des sites.µ
Les ordinateurs avec des adresses IP de Telecom Italia sont les plus détournés, même si 19% de la criminalité informatique sur le Vieux Continent vise l'Allemagne.

Et 52% des attaques en direction de l'Europe proviennent des Etats-Unis.
Le pays le plus visé reste l'Arabie saoudite.

Quant au modeste spam qui pollue le courrier électronique de la terre entière, selon Symantec, il est en hausse, il représentait 71% des courriels échangés dans le monde au cours du second semestre 2007, contre 61% pour la même période un an plus tôt.


Une attaque par phishing cible les utilisateurs du logiciel de téléphonie par Internet Skype.

Elle se présente sous la forme d'un courrier électronique en anglais intitulé "Please Update Your Billing Information", envoyé en apparence par l'éditeur du logiciel (Skype no-reply "skype-noreply@skype.com").

Lire la suite...


Sous prétexte d'une mise à jour de ses informations, le message invite le destinataire à cliquer sur un lien puis à se connecter à son compte puis à ressaisir un grand nombre de données bancaires et personnelles

Il ne faut pas cliquer sur le lien contenu dans le mail car il conduit à une imitation du site de Skype contrôlée par un pirate, hébergée sur un serveur situé en Israël mais avec un domaine chinois (.cn).

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Une attaque par phishing cible les utilisateurs du logiciel de téléphonie par Internet Skype.

Elle se présente sous la forme d'un courrier électronique en anglais intitulé "Please Update Your Billing Information", envoyé en apparence par l'éditeur du logiciel (Skype no-reply "skype-noreply@skype.com").

Lire la suite...


Sous prétexte d'une mise à jour de ses informations, le message invite le destinataire à cliquer sur un lien puis à se connecter à son compte puis à ressaisir un grand nombre de données bancaires et personnelles

Il ne faut pas cliquer sur le lien contenu dans le mail car il conduit à une imitation du site de Skype contrôlée par un pirate, hébergée sur un serveur situé en Israël mais avec un domaine chinois (.cn).

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Dorf.BA est un virus qui se propage par courrier électronique.
Il fait partie de l'infection Storm Worm.
Il se présente sous la forme d'un message sans fichier joint invitant à ouvrir une carte virtuelle du site Funnypostcard.

Lire la suite...

Système Concerné:

- Windows

Alias:

- TR/Crypt.XPACK.Gen (Antivir)
- Trojan.Crypt.AP (BitDefender)
- Trojan.Crypted-16 (ClamAV)
- Troj/Dorf-BA (Sophos)
- Trojan.Peacomm (Symantec)
- Storm Worm

Descriptiopn Détailée:

Le virus Dorf.BA se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming.
L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement.

Quelques titres de message:

- Gotcha! All Fool!
- Happy All Fools Day!
- One who is sportively imposed upon by others on the first day of April
- Surprise!

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :

Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "April Fool's Day", se présentant comme un posson d'avril.



Après quelques secondes, une boîte de dialogue invite l'internaute à ouvrir ou télécharger un fichier funny.exe.

D'autres liens dans la page permettent de télécharger des fichiers nommés kickme.exe ou foolsday.exe.

Il ne faut pas cliquer sur le lien ni télécharger les fichiers funny.exe, kickme.exe ou foolsday.exe car il s'agit d'une variante du virus Storm Worm.

Si un de ces fichiers est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité installés puis ouvre une porte dérobée (backdoor) permettant la prise de contrôle à distance de l'ordinateur par une personne malveillante.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

source: secuiser.com

Une nouvelle attaque par phishing cible les utilisateurs du fournisseur d'accès Free.fr.

Elle se présente sous la forme d'un mail en français intitulé "Suspension de compte" ou "Free ADSL disposition un systeme de securite total", envoyé en apparence par le fournisseur d'accès (FreeBox "News@Update.FreeBox.Fr" ou Free Assistance Service "assistance@freeadsl.fr")

Lire la suite...


Sous prétexte de l'activation d'un nouveau système de sécurité, le message demande à l'internaute de cliquer sur un lien hypertexte pour se connecter à son compte.

Il ne faut pas cliquer sur ce lien car il conduit à une imitation du site de Free contrôlée par un pirate

L'adresse figurant dans le code source du message n'est pas celle du site du fournisseur d'accès free.fr mais celle d'une page similaire hébergée chez 1&1 (onlinehome.fr) ou au sein d'un site Internet américain dont la sécurité a préalablement été compromise (aboutccc.com).

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Une nouvelle attaque par phishing cible les clients du fournisseur d'accès Orange (anciennement Wanadoo).

Elle se présente sous la forme d'un mail en français intitulé "Orange Alerte: Veuillez mettre à jour vos détails personnels - #0020AX101", envoyé en apparence par Orange Service Clientèle

Lire la suite...


Sous prétexte d'une validation du compte suite à un problème technique, le message demande à l'internaute de cliquer sur un lien hypertexte et de ressaisir un certaines données personnelles

Il ne faut pas cliquer sur le lien contenu dans le mail, car il conduit à une imitation du site d'Orange contrôlée par un pirate.
L'adresse du lien hypertexte figurant dans le code source du message n'est pas celle du FAI, elle conduit à une page hébergée chez Yahoo via le domaine orange-membres.com créé le 01/03/08.

Le phishing c'est quoi

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)