Ramnit, le virus qui dévore les mots de passe sur Facebook

10 janvier 20129 janvier 2017 Eagle1

Des chercheurs en sécurité ont découvert une base de données de 45.000 mots de passe et identifiants d’accès à Facebook dérobée grace à une variante du ver « Ramnit ».

Selon Facebook, ces données sont majoritairement périmées, les utilisateurs concernés ont été invités à changer de mot de passe.

« Ramnit » est un programme malveillant apparu il y a déjà prés de deux ans.

Différentes variantes se sont depuis propagées sur Internet, dont une ciblant spécifiquement les mots de passe et identifiants Facebook.

Selon la société de sécurité Securlert, qui a détecté cette nouvelle variante de Ramnit en janvier 2012, la finalité des pirates est d’utiliser les comptes Facebook compromis afin de propager, auprès de leurs amis, des liens piégés, assurant ainsi la propagation du ver.

20.000 utilisateurs seraient réellement exposés ?

Les cybercriminels tirent profit du fait que les utilisateurs tendent à utiliser le même mot de passe sur différents services Web (Facebook, Gmail, Corporate SSL VPN, Outlook Web Access, etc…) pour obtenir un accés distant à des réseaux d’entreprise

Pour l’heure, « Ramnit » aurait déjà permis à ses auteurs de collecter environ 45.000 identifiants et mots de passe de comptes Facebook.

Contacté, le réseau social confirme en avoir été informé par des chercheurs en sécurité la semaine dernière.

Cette base de données d’accès a été transmise à Facebook, qui précise à ZDNet que dans la majorité des cas ces informations n’étaient plus valides, les mots de passe ayant été changés par les utilisateurs depuis.

Ces données d’accès pourraient donc avoir été dérobées plusieurs mois plus tôt.

Des données déjà anciennes

Selon Facebook, ce ne sont donc pas 45.000 utilisateurs de sa plate-forme dont le compte serait exposé, le chiffre devrait être réduit de moitié, même si Facebook n’a pas souhaité communiquer précisément sur le nombre exact.

Le service précise par ailleurs, suite à l’alerte de Securlert, avoir pris contact avec les utilisateurs exposés afin qu’ils modifient le mot de passe de leur compte Facebook.

[quote]« A ce stade, nous n’avons pas constaté de propagation du virus sur Facebook lui-même, mais nous avons commencé à travailler avec nos partenaires extérieurs pour ajouter des protections à nos systèmes antivirus afin d’aider les utilisateurs à sécuriser leurs terminaux » ajoute encore le porte-parole de Facebook.[/quote]

Comment se débarrasser de RAMNIT

Il n’est pas simple de désinfecter un PC touché par RAMNIT et dans certains cas, le formatage est obligatoire si l’infection a pris trop d’ampleur.

Autrement, certains live CD peuvent venir à bout des fichiers infectés, le live CD DR WEB semble par exemple pouvoir venir à bout de cette infection, lorsqu’elle n’est pas trop développée sur le pc.

Kaspersky Removal Tools

Avant de lancer le scan, régler les actions en automatique (sinon vous serez submerger de popups)
Pour cela, cliquez à droite sur l’icône roue dentée puis à gauche Actions et cochez Exécuter action

Il faut impérativement faire un scan complet sinon des exécutables infectés peuvent rester.
Toujours dans le menu de paramétrage, à gauche, cliquez sur Zone d’analyse
Cochez le poste de travail.

Lancer le scan ensuite à partir de l’onglet analyse automatique

Kaspersky Removal Tool devrait avoir besoin de redémarrer pour désactiver Ramnit.
Kaspersky Removal Tool va alors se relancer au démarrage, terminer bien le scan.

Téléchargez et installez Kaspersky Removal Tool

secunews.org: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)