Résultats de recherche pour Windows

Divers, Piratages

Quand un antivirus hargneux s’attaque à votre PC

Attention

Pour cause de mauvaise mise à jour, des antivirus de McAfee s'en sont pris à un dossier Windows valide pris à tort pour un virus.

Résultat, des ordinateurs condamnés à redémarrer sans fin, McAfee diffuse en urgence une nouvelle mise à jour.

Aveu difficile mais nécessaire pour McAfee, si incroyable que cela paraisse, la société de sécurité informatique a annoncé qu'elle avait fait une erreur mercredi dans la mise à jour de ses logiciels antivirus, prenant un dossier Windows valide pour un virus.

Une erreur qui a entraÓné des pannes sur des trés nombreux ordinateurs à travers le monde, McAfee a indiqué avoir aussitôt diffusé une nouvelle mise à jour mettant fin à ce phénoméne de "fausse détection" de virus, et a demandé à ses clients de la télécharger sans tarder.

Les entreprises équipées de PC et dont les ordinateurs tournent sous Windows XP Service Pack 3 ont du souci à se faire.

Citation:

"Elles sont devenues des cibles privilégiées pour cet antivirus devenu hargneux.
L'organisation de sécurité informatique Internet Storm Center a indiqué qu'elle avait déjà reçu une centaine de signalements de ce probléme.
Selon elle, cette fausse manoeuvre conduit les ordinateurs touchés à se réinitialiser sans fin

"Certains font part de réseaux de milliers d'ordinateurs hors service, et d'entreprises qui ont d? arrêter de travailler le temps que ce soit réparé".

Twitter inondé de messages se plaignant de McAfee

Le nombre d'ordinateurs touchés n'est pas connu, mais pourrait se compter en dizaines de milliers.

Citation:

"Nous pensons que cet incident a touché moins de un demi pour cent de notre base de clients particuliers et entreprises dans le monde", temporise pour sa part la société McAfee.

Mais Twitter s'est retrouvé inondé de messages se plaignant de McAfee, l'une des plus gros fournisseurs au monde d'antivirus.

Plusieurs universités américaines ont été touchées, dont celle du Michigan à Ann Arbor.

Selon le site AnnArbor.com, 8.000 des 25.000 ordinateurs de la faculté de médecine et du systéme de santé de l'université étaient paralysés.

A Syracuse, dans le nord de l'Etat de New York, l'hôpital Upstate University Hospital a vu 2.500 de ses 6.000 ordinateurs touchés, selon une porte-parole de l'hôpital citée sur le site Syracuse.com.

Citation:

McAfee a indiqué que "l'actualisation défectueuse a rapidement été retirée de tous les serveurs de McAfee, afin d'empêcher tout impact supplémentaire sur les clients" et que la société "prenait des mesures" pour éviter toute répétition de cet incident.

"Nous présentons de sincéres excuses pour les difficultés que cela a provoqué pour nos clients", a indiqué la société dans un communiqué.

La page de son site internet réservée aux discussions sur les problémes de sécurité était inaccessible.

"La communauté McAfee connaÓt un trafic inhabituellement élevé, ce qui peut ralentir le téléchargement de pages, nous nous excusons pour la gêne occasionnée", lisait-on seulement.

L'éditeur invite les utilisateurs touchés par le probléme à lancer une recherche de mise à jour au sein de l'antivirus, de façon à ce que la mise à jour fautive soit écrasée par la précédente liste de définition.

Si la mise à jour n'était pas possible, il propose également
une méthode manuelle permettant de régler le probléme
. (anglais).

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

secunews
22 avril 2010

Divers, Piratages

Faux Positifs sur les systémes 64 bits avec BitDefender 2010 et 2009

Une mise à jour de BitDefender considérait des éléments de Windows version 64 bits comme suspects.
L'éditeur de solution de sécurité IT corrige le tir.

Les solutions grand public et professionnelles (BitDefender Business Security et BitDefender Security for File Servers) ont été affectées.

Citation:

Samedi matin autour de 8:20 PST, une mise à jour sur laquelle nous travaillions a été téléchargée prématurément par nos serveurs, cette mise à jour n'a affecté que des produits fonctionnant avec les systémes Windows 64 bit, cette mise à jour a affecté notre gamme de produits grand public ainsi que les solutions entreprise BitDefender Business Security et BitDefender Security for File Servers.

Certaines versions de BitDefender et des fichiers Windows ont été détectés comme Trojan.FakeAlert.5 et ont été déplacé en quarantaine, seuls les fichiers .exe, .dll et d'autres fichiers binaires ont été mis en quarantaine (aucunes images ou documents).

Par conséquent, sur certaines machines, BitDefender n'a pas fonctionné, les applications n'ont pas pu se lancer ou Windows n'a pas pu démarrer, a 11h, notre équipe a retiré la mise à jour défectueuse, de ce fait aucun autre utilisateur ne pas pu être affecté depuis lors.

Néanmoins pour ceux qui ont été touchés, nous pensons que seulement une fraction n'a pas pu appliquer la nouvelle mise à jour et parmi eux beaucoup ont déjà été dépannés.

Nous continuons à dépanner ceux de nos utilisateurs qui ont actuellement besoin d'une assistance.

Nos équipes travaillent 24h/24 pour réduire au minimum l'impact de cette mise à jour et apporter une assistance personnalisée à ceux qui en ont besoin pour résoudre le probléme aussi rapidement que possible.

Nous avons fourni des informations à nos utilisateurs via les articles d'assistance mis à jour réguliérement, comme nous mettons à disposition des solutions pour les diverses configurations de nos clients auxquelles nous prêtons une attention particuliére.

- Les utilisateurs des solutions pour particuliers trouveront les solutions disponibles en cliquant sur ce lien :
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#638

- Les utilisateurs des solutions BitDefender Business Client trouveront les solutions disponibles en cliquant sur ce lien:
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#643

- Les utilisateurs des solutions BitDefender Security for File Servers trouveront les solutions à leur probléme en cliquant sur ce lien:
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#642

Pour les clients qui n'ont pas été en mesure de trouver une solution dans les informations d'assistance, nous vous recommandons de contacter notre équipe d'assistance directement via email, chat, téléphone ou sur le forum à l'adresse suivante:
http://www.bitdefender.fr/site/Main/nousContacter

pour les utilisateurs particuliers (grand public) et les utilisateurs des solutions professionnelles : http://www.bitdefender.fr/site/Main/nousContacter

Nous conseillons fortement aux utilisateurs de suivre les directives publiées par les représentants de BitDefender, qui ont l'expertise nécessaire pour aborder les problémes liés à toutes les configurations.

Nous présentons nos excuses pour le probléme intervenu sur une mise à jour de BitDefender pour les systémes Windows 64 bit.

secunews
22 mars 2010

Divers, Piratages

Des chargeurs de piles Energizer vendus avec un cheval de Troie

Alerte Virale

Selon l'US-CERT, le logiciel fourni avec le chargeur de piles Energizer DUO comporte un cheval de Troie permettant à un attaquant d'exécuter du code à distance, Apple, Seagate ou encore Asus ont déjà connu une mésaventure comparable.

L'US-CERT, l'organisme américain en charge de la sécurité informatique, vient de publier une alerte concernant un produit de la marque Energizer, il s'agit du chargeur de piles USB Energizer "DUO USB NiMH".

Ce chargeur vendu avec un programme d'installation pour Windows (la version Mac OS X n'étant pas affectée), embarque un
cheval de Troie
, l'installation de l'outil fourni par le constructeur est censée permettre à l'utilisateur de contrôler sur son PC le statut de chargement des piles.

Une dll malveillante créée à l'installation du logiciel.

Mais en plus de l'utilitaire, le logiciel crée une dll malveillante, "Arucer.dll".
Ce cheval de Troie peut recevoir des commandes sur le port "TCP 7777".

Selon les instructions envoyées, le programme peut télécharger des fichiers supplémentaires, exécuter des fichiers, transmettre des données dérobées sur le PC infecté et modifier la base de registre Windows.

Ce cheval de Troie s'active automatiquement à chaque démarrage de l'ordinateur et écoute le réseau dans l'attente d'éventuelles instructions envoyées à distance par un
pirate
, même lorsque le chargeur USB n'est pas connecté à l'ordinateur, le programme demeure actif précise l'US-CERT.

Le constructeur de piles Energizer déclare tout ignorer de la présence de ce logiciel malveillant et explique travailler avec l'
US-CERT
et les autorités américaines afin d'identifier comment un tel code a pu être inséré dans son logiciel.
Energizer a également retiré du téléchargement le logiciel incriminé.

La désinfection d'un ordinateur contaminé s'avére fort heureusement relativement simple comme l'explique les chercheurs de l'US-CERT.

Il suffit de désinstaller l'application Energizer, cela permettant de supprimer la clé de registre à l'origine de l'exécution automatique de la porte dérobée au démarrage de Windows.

Le cheval de Troie facile à supprimer.

Un utilisateur peut également supprimer manuellement le fichier Arucer.dll dans le répertoire Windows system32, afin de rendre le cheval de Troie inopérant, il convient ensuite de redémarrer l'ordinateur.

Par chance, lors de l'installation, l'utilitaire "Energizer UsbCharger" ne paramétre pas automatiquement d'exception dans le pare-feu Windows, des régles dans l'IPS Snort permettent par ailleurs de détecter tout trafic lié à ce programme malveillant.

Ce type de mésaventure n'est pas une premiére pour les constructeurs du secteur high-tech.

- En 2007, Seagate révélait que des disques durs produits dans une usine asiatique embarquaient un cheval de Troie.
- En 2006, Apple publiait un bulletin d'alerte pour avertir ses clients qu'un petit nombre d'iPod avaient été vendu avec un programme malveillant opérant seulement sous Windows.
- En 2008 c'était au tour d'Asus et de ses modéles japonais d'Eeebox infectés par le code malveillant "Xirtam".

Voir le communiquer de l'US-CERT
(anglais)

secunews
9 mars 2010

Divers, Piratages

Attention aux faux Microsoft Security Essentials 2010

Alerte Virale

Dans le domaine de l'imagination, on peut dire que les
pirates
ne sont jamais en reste, ni les auteurs de
malwares
.

Comment amener une sale bête à infecter votre machine ?

Il existe de nombreuses méthodes, mais l'une des plus courantes est de prendre l'apparence d'un contenu inoffensif, et quoi de plus anodin qu'un logiciel censé justement vous protéger ?

Microsoft prévient qu'une fausse version de son logiciel "Security Essentiels" est en train de circuler sur la toile, elle est estampillée "2010" et présente l'interface suivante:

(Faux logiciel)

Pour comparaison, voici la véritable interface du logiciel actuellement:

(Vrai logiciel)

Le logiciel installe en fait le
cheval de Troie
"Win32/Fakeinit" et présente un faux scanner qui va passer en revue vos fichiers.

Il va repérer certains processus clés pour tenter de les arrêter puis va avertir l'utilisateur que sa machine est bien entendu infectée, pendant ce temps il va modifier des clés dans le registre et changer le fond d'écran pour le remplacer par celui-là:

Assez grossier il est vrai, mais probablement efficace chez une bonne partie des utilisateurs lambda qui ne connaissent pas l'informatique.

David Woods, sur
le site officiel microsoft Security
, indique que ce genre de chose était à prévoir.

La méthode est l'une des plus anciennes

"Se caler sur un logiciel connu ou un composant important du systéme pour faire passer la pilule, il indique par exemple que nombre de malwares ont copié l'interface du Centre de Sécurité, présent dans Windows depuis le Service Pack 2 de Windows XP".

Attention donc aux piéges innombrables de la toile, on ne le répétera jamais assez.

Le véritable Microsoft Security Essentials détecte et supprime "Win32/Fakeinit", et on peut le télécharger depuis son
site officiel
.

(source:
pcinpact
)

secunews
26 février 2010

Divers, Piratages

Le cheval de troie ZeuS est de retour

Alerte Virale

La société Websense spécialiste dans les solutions de filtrage pour Internet a découvert une nouvelle vague d'attaques visant des collaborateurs de gouvernements et des militaires.

Le
cheval de Troie
"Zeus" en serait responsable.

Websense,a récemment émis une nouvelle alerte de sécurité IT.

Elle porte sur le cheval de Troie (trojan) baptisé "
Zeus
" qui serait utilisé pour voler des informations confidentielles des personnels travaillant pour les gouvernements et les départements militaires.

Début février, ce logiciel malveillant, qui a été initialement conçu et utilisé pour voler des données bancaires, a été utilisé dans une campagne ciblant des collaborateurs de gouvernement étrangers (…tats-Unis et Royaume-Uni principalement).

Cette menace se présente sous la forme d'un faux mail qui serait émis par un responsable de l'Agence centrale de renseignement (
CIA
), avec pour sujet:

Citation:

"Russian spear phishing attack against .mil and .gov employees" (une attaque
phishing
russe cible les adresses de collaborateurs portant des extensions .mil et .gov).

"Ces e-mails falsifiés capitalisent sur la derniére attaque Zeus, et prétendent que l'utilisation de Windows Update via les liens fournis aidera à la protection contre les attaques de Zeus", explique une alerte publiée par Websense.

Citation:

"Le fichier binaire téléchargé à partir de ces liens est identifié comme un bot Zeus et le taux de détection par les antivirus est est de 35%".

Le bulletin
note que une fois de plus, les URL dans les e-mails conduisent à un fichier malicieux hébergé sur une machine compromise, mais aussi, sur un service connu d'hébergement de fichiers.

Enfin, le mode opérationnel du
malware
est assez simple.

Selon Websense, aprés l'installation du composant
rootkit
Zeus, le serveur de commande et de contrôle (C&C) est contacté pour télécharger un fichier de configuration crypté.

Un autre composant est chargé du vol de données aprés avoir été téléchargé et installé à partir du même C&C.
Ensuite, le bot établit une connexion avec un serveur
FTP
pour envoyer les données volées.

Voir aussi:

La loterie nationale danoise victime d'une attaque

(source:
itespresso
)

secunews
16 février 2010

Divers, Piratages

Win32.Worm.Zimuse un virus qui endommage votre disque dur

Alerte Virale

Un faux test de QI combine en fait
virus
,
rootkit
et
ver
dans une formule fatale.

BitDefender, a identifié une nouvelle menace informatique alliant le comportement destructeur des virus aux mécanismes de diffusion des vers, il existe deux variantes connues de ce virus, qui s'introduit dans l'ordinateur sous la forme d'un innocent test de QI.

Une fois exécuté, le ver crée entre sept et onze copies de lui-même (selon la variante) dans des zones sensibles du systéme de Windows.

"Win32.Worm.Zimuse.A" est un malware extrêmement dangereux.
Contrairement à la plupart des vers, "Win32.Worm.Zimuse.A" peut causer d'importantes pertes de données car il écrase les 50 premiers kilo-octets de la zone d'amorçage du disque dur (Master Boot Record) (une zone essentielle du disque dur).

Zimuse un virus qui endommage votre disque dur
envoyé par Eagle1.

Afin de s'exécuter à chaque amorçage de Windows, le ver définit l'entrée de registre suivante:

Citation:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]"Dump"="%programfiles%DumpDump.exe

Il crée également deux fichiers pilotes:

Citation:

%system%driversMstart.sys et %system%driversMseu.sys

Les versions 64 bits de Windows Vista et Windows 7 requérant des pilotes avec une signature numérique, le ver ne peut y installer ces fichiers.

Malheureusement, lors des premiéres étapes de l'infection, il est presque impossible aux utilisateurs de découvrir que leur systéme est victime d'une menace informatique.

Citation:

Suite à l'infection, aprés un certain nombre de jours (40 jours pour la variante A et 20 jours pour la variante B), l'ordinateur affiche un message d'erreur affirmant qu'un probléme a eu lieu en raison de contenu malveillant présent dans les paquets IP provenant d'une URL particuliére.

L'utilisateur est ensuite invité à restaurer le systéme en appuyant sur "OK".
Le redémarrage qui a lieu à la suite de ce message, endommage le disque dur de l'ordinateur en raison de la corruption du secteur d'amorçage.

Pour voir une vidéo présentant les étapes d'une attaque de Win32.Worm.Zimuse.A, veuillez cliquer ici.

Nous recommandons la plus grande vigilance aux utilisateurs lorsqu'il leur est demandé d'ouvrir des fichiers provenant d'emplacements inconnus.

Marc Blanchard, épidémiologiste et Directeur des Laboratoires Editions Profil pour BitDefender en France ajoute :

Citation:

"Le Worm Zimuse fait partie des malwares dit "hautement destructeur".
Il en existe peu en circulation, les hackers ayant plutôt tendance à exploiter les machines des utilisateurs de maniére invisible, mais ce type de menace est néanmoins émergent ces derniéres semaines.
Leurs principes de fonctionnement ne laissent aucune chance à l'utilisateur une fois la destruction programmée.

De plus, du fait que le secteur d'amorçage du disque dur "Master Boot Record" est touché, un reformatage dit de haut niveau ne suffira pas à retirer ce malware.

Il faudra, alors, procéder à un reformatage du disque dur dit "d'usine", ce qui n'est pas toujours évident à mettre en place pour un utilisateur standard.

Seule solution pour éviter ce type d'attaque, installer une protection antivirale proactive AVANT que le malware puisse opérer son action de destruction.

Gr‚ce à BitDefender Remove Zimuse, vous pourrez détecter si votre ordinateur est infecté par "Zimuse", et le désinfecté le cas échéant.

Télécharger BitDefender Remove Zimuse

secunews
31 janvier 2010

Divers, Piratages

W32.DatCrypt un nouveau cheval de Troie qui exige une rançon contre vos fichiers

Alerte Virale

Prendre des données en otage est un procédé connu dans le domaine de la cybercriminalité, cependant, un nouveau cheval de Troie infecte actuellement les ordinateurs sans même que les victimes puissent s'apercevoir qu'elles ont été escroquées.

Lorsque le
cheval de Troie
W32/DatCrypt infecte un ordinateur, certains fichiers comme des documents microsoft, de la musique ou des images, semblent avoir été infectés alors qu'en réalité, les fichiers ont été chiffrés par DatCrypt.

"Lorsque le cheval de Troie W32/DatCrypt infecte un ordinateur, certains fichiers comme des documents microsoft, de la musique ou des images, semblent avoir été infectés alors qu'en réalité, les fichiers ont été chiffrés par DatCrypt.

Ensuite, le cheval de Troie crée un message semblable à une authentique boÓte de dialogue provenant de Windows conseillant à l'utilisateur de télécharger et d'exécuter le logiciel de réparation conseillé appelé "Data Doctor 2010", déclare Mikko Hypponen, directeur des laboratoires chez F-Secure.

Si ce fichier est téléchargé puis exécuté, l'utilisateur reçoit un message expliquant que ce dernier "ne peut réparer qu'un seul fichier avec la version gratuite", afin de nettoyer (ou plus précisément déchiffrer) davantage de fichiers, l'utilisateur doit acheter la solution au prix de 89,95$, une fois le montant payé, l'utilisateur a de nouveau accés à ses fichiers.

Ce cheval de Troie fonctionne d'une maniére tout-à-fait vicieuse.

L'utilisateur sera trés probablement heureux de pouvoir à nouveau accéder à ses fichiers sans réaliser qu'il a d? payer une rançon pour récupérer ses propres données, l'utilisateur ira peut-être même jusqu'à recommander à ses amis ce qu'il pense être une excellente solution de restauration de données.

Citation:

"On a pu observer des procédés similaires de demande de rançon l'année derniére, ils concernaient notamment le logiciel "File Fix Pro"", poursuit Mikko Hypponen

Ce type d'arnaque n'est viable que si l'utilisateur n'a pas sauvegardé ses données sensibles à un autre emplacement.

F-Secure recommande à tous de sauvegarder réguliérement les données de valeur sur un CD, un DVD, une clé USB ou bien en ligne via une solution telle que Online Backup de F-Secure.

Plus d'infos voir la fiche de Trojan:W32/DatCrypt
anglais)

secunews
28 janvier 2010