Secunews

Piratages

Faux Positifs sur les systémes 64 bits avec BitDefender 2010 et 2009
DiversPiratages

Faux Positifs sur les systémes 64 bits avec BitDefender 2010 et 2009

Une mise à jour de BitDefender considérait des éléments de Windows version 64 bits comme suspects.
L’éditeur de solution de sécurité IT corrige le tir
.

Les solutions grand public et professionnelles (BitDefender Business Security et BitDefender Security for File Servers) ont été affectées.

Citation:

Samedi matin autour de 8:20 PST, une mise à jour sur laquelle nous travaillions a été téléchargée prématurément par nos serveurs, cette mise à jour n’a affecté que des produits fonctionnant avec les systémes Windows 64 bit, cette mise à jour a affecté notre gamme de produits grand public ainsi que les solutions entreprise BitDefender Business Security et BitDefender Security for File Servers.

Certaines versions de BitDefender et des fichiers Windows ont été détectés comme Trojan.FakeAlert.5 et ont été déplacé en quarantaine, seuls les fichiers .exe, .dll et d’autres fichiers binaires ont été mis en quarantaine (aucunes images ou documents).

Par conséquent, sur certaines machines, BitDefender n’a pas fonctionné, les applications n’ont pas pu se lancer ou Windows n’a pas pu démarrer, a 11h, notre équipe a retiré la mise à jour défectueuse, de ce fait aucun autre utilisateur ne pas pu être affecté depuis lors.

Néanmoins pour ceux qui ont été touchés, nous pensons que seulement une fraction n’a pas pu appliquer la nouvelle mise à jour et parmi eux beaucoup ont déjà été dépannés.

Nous continuons à dépanner ceux de nos utilisateurs qui ont actuellement besoin d’une assistance.

Nos équipes travaillent 24h/24 pour réduire au minimum l’impact de cette mise à jour et apporter une assistance personnalisée à ceux qui en ont besoin pour résoudre le probléme aussi rapidement que possible.

Nous avons fourni des informations à nos utilisateurs via les articles d’assistance mis à jour réguliérement, comme nous mettons à disposition des solutions pour les diverses configurations de nos clients auxquelles nous prêtons une attention particuliére.

Les utilisateurs des solutions pour particuliers trouveront les solutions disponibles en cliquant sur ce lien :
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#638

Les utilisateurs des solutions BitDefender Business Client trouveront les solutions disponibles en cliquant sur ce lien:
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#643

Les utilisateurs des solutions BitDefender Security for File Servers trouveront les solutions à leur probléme en cliquant sur ce lien:
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#642

Pour les clients qui n’ont pas été en mesure de trouver une solution dans les informations d’assistance, nous vous recommandons de contacter notre équipe d’assistance directement via email, chat, téléphone ou sur le forum à l’adresse suivante:
http://www.bitdefender.fr/site/Main/nousContacter

pour les utilisateurs particuliers (grand public) et les utilisateurs des solutions professionnelles : http://www.bitdefender.fr/site/Main/nousContacter

Nous conseillons fortement aux utilisateurs de suivre les directives publiées par les représentants de BitDefender, qui ont l’expertise nécessaire pour aborder les problémes liés à toutes les configurations.

Nous présentons nos excuses pour le probléme intervenu sur une mise à jour de BitDefender pour les systémes Windows 64 bit.

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Utilisateurs de Facebook des pirates en veulent à vos données
DiversPiratages

Utilisateurs de Facebook des pirates en veulent à vos données

Alerte Virale

Si vous recevez un mail vous annonçant que votre compte Facebook a été réinitialisé, méfiance, derriére ce message pourrait se dissimuler un virus destiné à siphonner vos données personnelles.

D’o? cette mise en garde lancée par le spécialiste de la sécurité McAfee

Il ne s’agit pas simplement de “
phishing
“, mais d’une attaque plus élaborée en l’occurrence, un
virus
destiné à dérober les mots de passe et autres informations sensibles des 400 millions d’utilisateurs du réseau communautaire.

40 millions d’ordinateurs potentiellement infectés

Selon l’éditeur américain de programmes de sécurité, les internautes reçoivent un e-mail les informant que le mot de passe leur compte Facebook a été réinitialisé.

Puis, ils sont invités à cliquer sur une piéce jointe au mail pour obtenir de nouveaux identifiants de connexion, si la piéce jointe est ouverte, le fichier télécharge alors différents types de programmes malicieux, dont un logiciel capable de dérober des mots de passe.

Jusqu’ici les pirates visaient surtout les utilisateurs de Facebook en leur envoyant des tonnes de messages via la messagerie interne du réseau social, avec cette nouvelle attaque ils utilisent désormais le courrier électronique classique pour répandre des virus.

Citation:

Un porte-parole de Facebook a déclaré que le groupe ne pouvait pas dans l’immédiat commenter ce cas spécifique, mais a recommandé aux utilisateurs d’effacer l’e-mail incriminé et d’avertir leurs amis.

Selon McAfee, les pirates ont déjà envoyé une dizaine de millions de spams à travers l’Europe, les Etats-Unis et l’Asie, depuis le début de cette invasion mardi 16 Mars 2010.

Dave Marcus, le directeur de McAfee chargé de la recherche et de la communication sur les programmes malicieux a estimé que 40 millions d’ordinateurs pourraient être potentiellement infectés si 10% des 400 millions d’utilisateurs de Facebook cliquent sur la piéce jointe.

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Des chargeurs de piles Energizer vendus avec un cheval de Troie
DiversPiratages

Des chargeurs de piles Energizer vendus avec un cheval de Troie

Alerte Virale

Selon l’US-CERT, le logiciel fourni avec le chargeur de piles Energizer DUO comporte un cheval de Troie permettant à un attaquant d’exécuter du code à distance, Apple, Seagate ou encore Asus ont déjà connu une mésaventure comparable.

L’US-CERT, l’organisme américain en charge de la sécurité informatique, vient de publier une alerte concernant un produit de la marque Energizer, il s’agit du chargeur de piles USB Energizer “DUO USB NiMH“.

Ce chargeur vendu avec un programme d’installation pour Windows (la version Mac OS X n’étant pas affectée), embarque un
cheval de Troie
, l’installation de l’outil fourni par le constructeur est censée permettre à l’utilisateur de contrôler sur son PC le statut de chargement des piles.

Une dll malveillante créée à l’installation du logiciel.

Mais en plus de l’utilitaire, le logiciel crée une dll malveillante, “Arucer.dll“.
Ce cheval de Troie peut recevoir des commandes sur le port “TCP 7777“.

Selon les instructions envoyées, le programme peut télécharger des fichiers supplémentaires, exécuter des fichiers, transmettre des données dérobées sur le PC infecté et modifier la base de registre Windows.

Ce cheval de Troie s’active automatiquement à chaque démarrage de l’ordinateur et écoute le réseau dans l’attente d’éventuelles instructions envoyées à distance par un
pirate
, même lorsque le chargeur USB n’est pas connecté à l’ordinateur, le programme demeure actif précise l’US-CERT.

Le constructeur de piles Energizer déclare tout ignorer de la présence de ce logiciel malveillant et explique travailler avec l’
US-CERT
et les autorités américaines afin d’identifier comment un tel code a pu être inséré dans son logiciel.
Energizer a également retiré du téléchargement le logiciel incriminé.

La désinfection d’un ordinateur contaminé s’avére fort heureusement relativement simple comme l’explique les chercheurs de l’US-CERT.

Il suffit de désinstaller l’application Energizer, cela permettant de supprimer la clé de registre à l’origine de l’exécution automatique de la porte dérobée au démarrage de Windows.

Le cheval de Troie facile à supprimer.

Un utilisateur peut également supprimer manuellement le fichier Arucer.dll dans le répertoire Windows system32, afin de rendre le cheval de Troie inopérant, il convient ensuite de redémarrer l’ordinateur.

Par chance, lors de l’installation, l’utilitaire “Energizer UsbCharger” ne paramétre pas automatiquement d’exception dans le pare-feu Windows, des régles dans l’IPS Snort permettent par ailleurs de détecter tout trafic lié à ce programme malveillant.

Ce type de mésaventure n’est pas une premiére pour les constructeurs du secteur high-tech.

– En 2007, Seagate révélait que des disques durs produits dans une usine asiatique embarquaient un cheval de Troie.
– En 2006, Apple publiait un bulletin d’alerte pour avertir ses clients qu’un petit nombre d’iPod avaient été vendu avec un programme malveillant opérant seulement sous Windows.
– En 2008 c’était au tour d’Asus et de ses modéles japonais d’Eeebox infectés par le code malveillant “Xirtam”.

Voir le communiquer de l’US-CERT
(anglais)

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Attention aux faux Microsoft Security Essentials 2010
DiversPiratages

Attention aux faux Microsoft Security Essentials 2010

Alerte Virale

Dans le domaine de l’imagination, on peut dire que les
pirates
ne sont jamais en reste, ni les auteurs de
malwares
.

Comment amener une sale bête à infecter votre machine ?

Il existe de nombreuses méthodes, mais l’une des plus courantes est de prendre l’apparence d’un contenu inoffensif, et quoi de plus anodin qu’un logiciel censé justement vous protéger ?

Microsoft prévient qu’une fausse version de son logiciel “Security Essentiels” est en train de circuler sur la toile, elle est estampillée “2010” et présente l’interface suivante:


(Faux logiciel)

Pour comparaison, voici la véritable interface du logiciel actuellement:


(Vrai logiciel)

Le logiciel installe en fait le
cheval de Troie
“Win32/Fakeinit” et présente un faux scanner qui va passer en revue vos fichiers.

Il va repérer certains processus clés pour tenter de les arrêter puis va avertir l’utilisateur que sa machine est bien entendu infectée, pendant ce temps il va modifier des clés dans le registre et changer le fond d’écran pour le remplacer par celui-là:

Assez grossier il est vrai, mais probablement efficace chez une bonne partie des utilisateurs lambda qui ne connaissent pas l’informatique.

David Woods, sur
le site officiel microsoft Security
, indique que ce genre de chose était à prévoir.

La méthode est l’une des plus anciennes

Se caler sur un logiciel connu ou un composant important du systéme pour faire passer la pilule, il indique par exemple que nombre de malwares ont copié l’interface du Centre de Sécurité, présent dans Windows depuis le Service Pack 2 de Windows XP”.

Attention donc aux piéges innombrables de la toile, on ne le répétera jamais assez.

Le véritable Microsoft Security Essentials détecte et supprime “Win32/Fakeinit”, et on peut le télécharger depuis son
site officiel
.

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

(source:
pcinpact
)

ATTENTION mail facebook piéger
DiversPiratages

ATTENTION mail facebook piéger

Alerte Virale

Si vous recevez ce mail

Titre du mail:
Facebook Password Reset Confirmation! Your Support.

Message:

Citation:

“Dear user of facebook,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.”

Avec une piéce jointe “Facebook_password_3921.zip” les chiffres seront peux êtres différent chez vous

Ouvrez pas ce message et supprimer le!

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

(source:old.secunews.org)

Le cheval de troie  ZeuS est de retour
DiversPiratages

Le cheval de troie ZeuS est de retour

Alerte Virale

La société Websense spécialiste dans les solutions de filtrage pour Internet a découvert une nouvelle vague d’attaques visant des collaborateurs de gouvernements et des militaires.

Le
cheval de Troie
Zeus” en serait responsable.

Websense,a récemment émis une nouvelle alerte de sécurité IT.

Elle porte sur le cheval de Troie (trojan) baptisé “
Zeus
” qui serait utilisé pour voler des informations confidentielles des personnels travaillant pour les gouvernements et les départements militaires.

Début février, ce logiciel malveillant, qui a été initialement conçu et utilisé pour voler des données bancaires, a été utilisé dans une campagne ciblant des collaborateurs de gouvernement étrangers (…tats-Unis et Royaume-Uni principalement).

Cette menace se présente sous la forme d’un faux mail qui serait émis par un responsable de l’Agence centrale de renseignement (
CIA
), avec pour sujet:

Citation:

Russian spear phishing attack against .mil and .gov employees” (une attaque
phishing
russe cible les adresses de collaborateurs portant des extensions .mil et .gov).

Ces e-mails falsifiés capitalisent sur la derniére attaque Zeus, et prétendent que l’utilisation de Windows Update via les liens fournis aidera à la protection contre les attaques de Zeus“, explique une alerte publiée par Websense.

Citation:

“Le fichier binaire téléchargé à partir de ces liens est identifié comme un bot Zeus et le taux de détection par les antivirus est est de 35%”.

Le bulletin
note que une fois de plus, les URL dans les e-mails conduisent à un fichier malicieux hébergé sur une machine compromise, mais aussi, sur un service connu d’hébergement de fichiers.

Enfin, le mode opérationnel du
malware
est assez simple
.

Selon Websense, aprés l’installation du composant
rootkit
Zeus, le serveur de commande et de contrôle (C&C) est contacté pour télécharger un fichier de configuration crypté.

Un autre composant est chargé du vol de données aprés avoir été téléchargé et installé à partir du même C&C.
Ensuite, le bot établit une connexion avec un serveur
FTP
pour envoyer les données volées.

Voir aussi:

La loterie nationale danoise victime d’une attaque

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

(source:
itespresso
)

Win32.Worm.Zimuse un virus qui endommage votre disque dur
DiversPiratages

Win32.Worm.Zimuse un virus qui endommage votre disque dur

Alerte Virale

Un faux test de QI combine en fait
virus
,
rootkit
et
ver
dans une formule fatale
.

BitDefender, a identifié une nouvelle menace informatique alliant le comportement destructeur des virus aux mécanismes de diffusion des vers, il existe deux variantes connues de ce virus, qui s’introduit dans l’ordinateur sous la forme d’un innocent test de QI.

Une fois exécuté, le ver crée entre sept et onze copies de lui-même (selon la variante) dans des zones sensibles du systéme de Windows.

“Win32.Worm.Zimuse.A” est un malware extrêmement dangereux.
Contrairement à la plupart des vers, “Win32.Worm.Zimuse.A” peut causer d’importantes pertes de données car il écrase les 50 premiers kilo-octets de la zone d’amorçage du disque dur (Master Boot Record) (une zone essentielle du disque dur)
.



Zimuse un virus qui endommage votre disque dur
envoyé par Eagle1.

Afin de s’exécuter à chaque amorçage de Windows, le ver définit l’entrée de registre suivante:

Citation:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]”Dump”=”%programfiles%DumpDump.exe

Il crée également deux fichiers pilotes:

Citation:

%system%driversMstart.sys et %system%driversMseu.sys

Les versions 64 bits de Windows Vista et Windows 7 requérant des pilotes avec une signature numérique, le ver ne peut y installer ces fichiers.

Malheureusement, lors des premiéres étapes de l’infection, il est presque impossible aux utilisateurs de découvrir que leur systéme est victime d’une menace informatique.

Citation:

Suite à l’infection, aprés un certain nombre de jours (40 jours pour la variante A et 20 jours pour la variante B), l’ordinateur affiche un message d’erreur affirmant qu’un probléme a eu lieu en raison de contenu malveillant présent dans les paquets IP provenant d’une URL particuliére.

L’utilisateur est ensuite invité à restaurer le systéme en appuyant sur “OK”.
Le redémarrage qui a lieu à la suite de ce message, endommage le disque dur de l’ordinateur en raison de la corruption du secteur d’amorçage.

Pour voir une vidéo présentant les étapes d’une attaque de Win32.Worm.Zimuse.A, veuillez cliquer ici.

Nous recommandons la plus grande vigilance aux utilisateurs lorsqu’il leur est demandé d’ouvrir des fichiers provenant d’emplacements inconnus.

Marc Blanchard, épidémiologiste et Directeur des Laboratoires Editions Profil pour BitDefender en France ajoute :

Citation:

Le Worm Zimuse fait partie des malwares dit “hautement destructeur“.
Il en existe peu en circulation, les hackers ayant plutôt tendance à exploiter les machines des utilisateurs de maniére invisible, mais ce type de menace est néanmoins émergent ces derniéres semaines.
Leurs principes de fonctionnement ne laissent aucune chance à l’utilisateur une fois la destruction programmée.

De plus, du fait que le secteur d’amorçage du disque dur “Master Boot Record” est touché, un reformatage dit de haut niveau ne suffira pas à retirer ce malware.

Il faudra, alors, procéder à un reformatage du disque dur dit “d’usine”, ce qui n’est pas toujours évident à mettre en place pour un utilisateur standard.

Seule solution pour éviter ce type d’attaque, installer une protection antivirale proactive AVANT que le malware puisse opérer son action de destruction.

Gr‚ce à BitDefender Remove Zimuse, vous pourrez détecter si votre ordinateur est infecté par “Zimuse”, et le désinfecté le cas échéant.

Télécharger BitDefender Remove Zimuse

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

W32.DatCrypt un nouveau cheval de Troie qui exige une rançon contre vos fichiers
DiversPiratages

W32.DatCrypt un nouveau cheval de Troie qui exige une rançon contre vos fichiers

Alerte Virale

Prendre des données en otage est un procédé connu dans le domaine de la cybercriminalité, cependant, un nouveau cheval de Troie infecte actuellement les ordinateurs sans même que les victimes puissent s’apercevoir qu’elles ont été escroquées.

Lorsque le
cheval de Troie
W32/DatCrypt infecte un ordinateur, certains fichiers comme des documents microsoft, de la musique ou des images, semblent avoir été infectés alors qu’en réalité, les fichiers ont été chiffrés par DatCrypt.

“Lorsque le cheval de Troie W32/DatCrypt infecte un ordinateur, certains fichiers comme des documents microsoft, de la musique ou des images, semblent avoir été infectés alors qu’en réalité, les fichiers ont été chiffrés par DatCrypt.

Ensuite, le cheval de Troie crée un message semblable à une authentique boÓte de dialogue provenant de Windows conseillant à l’utilisateur de télécharger et d’exécuter le logiciel de réparation conseillé appelé “Data Doctor 2010”, déclare Mikko Hypponen, directeur des laboratoires chez F-Secure.

Si ce fichier est téléchargé puis exécuté, l’utilisateur reçoit un message expliquant que ce dernier “ne peut réparer qu’un seul fichier avec la version gratuite”, afin de nettoyer (ou plus précisément déchiffrer) davantage de fichiers, l’utilisateur doit acheter la solution au prix de 89,95$, une fois le montant payé, l’utilisateur a de nouveau accés à ses fichiers.

Ce cheval de Troie fonctionne d’une maniére tout-à-fait vicieuse.

L’utilisateur sera trés probablement heureux de pouvoir à nouveau accéder à ses fichiers sans réaliser qu’il a d? payer une rançon pour récupérer ses propres données, l’utilisateur ira peut-être même jusqu’à recommander à ses amis ce qu’il pense être une excellente solution de restauration de données.

Citation:

“On a pu observer des procédés similaires de demande de rançon l’année derniére, ils concernaient notamment le logiciel “File Fix Pro””, poursuit Mikko Hypponen

.

Ce type d’arnaque n’est viable que si l’utilisateur n’a pas sauvegardé ses données sensibles à un autre emplacement.

F-Secure recommande à tous de sauvegarder réguliérement les données de valeur sur un CD, un DVD, une clé USB ou bien en ligne via une solution telle que Online Backup de F-Secure.

Plus d’infos voir la fiche de Trojan:W32/DatCrypt
anglais)

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Attention aux achats sur Internet
High-TechInternetPiratagesSmartphones/tablettes

Attention aux achats sur Internet

Les achats en ligne devraient augmenter en cette futur période de fêtes ainsi que les menaces qui pèsent sur les cyber-acheteurs. Un nombre incroyablement important d’utilisateurs d’Internet ne prennent aucune précaution particulière pour assurer la confidentialité de leurs données personnelles lors d’achats en ligne. Ce manque de précaution risque de les désigner comme possibles futures victimes du cyber…