Catégorie  Piratages

Une forme de pages est actuellement en pleine explosion sur Facebook, celles qui proposent de découvrir une photo insolite, à condition d'"aimer" la page sur laquelle elle se trouve.

Les groupes qui proposent de tels contenus ont généralement des noms qui aguichent la curiosité des utilisateurs, et les poussent d'autant plus à cliquer sur des liens pas toujours clairement identifiables.

Si certains se contentent d'envoyer les internautes sur des publicités, d'autres ont trouvé une nouvelle façon de tirer profit de cette mode, en s'en servant pour propager un ver sur le réseau social, via la technique du "
clickjacking
" (détournement de clic).

Sophos a identifié le
malware
, sous le nom de
Troj/Iframe-ET
.

L'éditeur met en garde contre une page blanche, sur laquelle est écrit "Click here to continue".
Une fois cliqué, le
ver
spamme les profils de tous les amis du membre, affichant sur leur page qu'ils aiment eux aussi le groupe vérolé.

En somme, le malware n'a aucun autre but que celui de se propager en spammant massivement les pages des utilisateurs du réseau social, un développement que l'on peut imaginer sans fin dans la mesure o? la technique attise la curiosité des utilisateurs, qui ne sont pas toujours informés des dangers du
clickjacking
.

Sophos, qui cite quelques-unes des pages anglophones hébergeant le malware, recommande aux adeptes de Facebook de vérifier leur liste de groupes "aimés" et de supprimer les liens douteux, l'éditeur recommande également la plus grande prudence envers ce type de page, dans la mesure o? Troj/Iframe-ET n'est pas le premier malware et sans doute pas le dernier à s'emparer du phénoméne

Voir aussi:
Le clicjacking c'est quoi ?

Le ClickJacking, nouvelle arme des hackers

(source:clubic)

Les firmes de sécurité BitDefender et Symantec sonnent l'alerte.
La variante d'un ver informatique connu se propage par l'intermédiaire de pourriels via la messagerie instantanée.

Les usagers devraient se méfier s'ils reçoivent un court message sur lequel apparaÓt un "happy face".

Le dernier-né de la famille "Palevo" se diffuse ces jours-ci sous la forme d'une vague massive de
spam
de messagerie instantanée, générée de façon automatique.

Le message non sollicité incite les destinataires à cliquer sur un lien accompagné d'un smiley souriant, censé les diriger vers une image ou une galerie de photos.

Ce message est censé rediriger l'internaute vers une image.
Le ver particuliérement agressif viserait Yahoo! Messenger et les ordinateurs roulant sous Windows.

Palevo.DP est synonyme de ravage pour les systémes non protégés qui sont infectés.
Il commence par créer plusieurs fichiers cachés dans le dossier Windows:

- mds.sys
- mdt.sys
- winbrd.jpg
- infocard.exe

Il modifie certaines clés de registre pour qu'elles pointent vers ces fichiers afin de neutraliser le pare-feu du systéme d'exploitation.

Comme les autres membres de sa famille, Palevo.DP dispose d'un composant de type
backdoor
qui permet aux
pirates
de prendre à distance le contrôle total de l'ordinateur compromis pour y installer d'autres
malwares
, voler des fichiers, lancer des campagnes de spam et des attaques de malwares sur d'autres systémes.

La famille Palevo est également capable d'intercepter des mots de passe et d'autres données sensibles saisies dans les navigateurs web Mozilla Firefox et Microsoft Internet Explorer, ce qui la rend extrêmement dangereuse pour les internautes utilisant des services bancaires en ligne ou faisant des achats sur Internet.

Le mécanisme de diffusion comprend également l'infection de partages réseau et de supports de stockage amovibles comme les clés USB, dans lesquels il crée des fichiers autorun.inf pointant vers sa copie, lorsqu'un disque amovible ou une carte mémoire sont insérés dans des ordinateurs dont la fonction d'exécution automatique (autorun) est activée ou qui ne sont pas protégés par une solution de sécurité avec analyse à l'accés, le systéme est automatiquement infecté.

Lorsque l'usager clique sur le lien malveillant, il autorise plutôt le fichier (un faux JPG) ´Worm.P2P.Palevo.DPª à s'exécuter sur son ordinateur.

Les vers Palevo affectent également les utilisateurs de plateformes de partage P2P telles que:

- BearShare
- iMesh
- Shareza
- Kazaa
- DC++
- eMule
- LimeWire

En ajoutant leur code aux fichiers partagés.

"Nous recommandons aux utilisateurs d'être extrêmement prudents et de ne cliquer sur aucun lien reçu via des clients de messagerie instantanée sans avoir vérifié auprés de l'expéditeur la validité des sites Web vers lesquels ces liens pointent.

Citation:

A ce jour, les pays les plus touchés sont les suivants:

- France
- Roumanie
- Mongolie
- Vietnam
- Indonésie
- Australie
- Malaisie
- ThaÔlande
- Royaume-Uni
- KoweÔt

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

Pour cause de mauvaise mise à jour, des antivirus de McAfee s'en sont pris à un dossier Windows valide pris à tort pour un virus.

Résultat, des ordinateurs condamnés à redémarrer sans fin, McAfee diffuse en urgence une nouvelle mise à jour.

Aveu difficile mais nécessaire pour McAfee, si incroyable que cela paraisse, la société de sécurité informatique a annoncé qu'elle avait fait une erreur mercredi dans la mise à jour de ses logiciels antivirus, prenant un dossier Windows valide pour un virus.

Une erreur qui a entraÓné des pannes sur des trés nombreux ordinateurs à travers le monde, McAfee a indiqué avoir aussitôt diffusé une nouvelle mise à jour mettant fin à ce phénoméne de "fausse détection" de virus, et a demandé à ses clients de la télécharger sans tarder.

Les entreprises équipées de PC et dont les ordinateurs tournent sous Windows XP Service Pack 3 ont du souci à se faire.

Citation:

Twitter inondé de messages se plaignant de McAfee

Le nombre d'ordinateurs touchés n'est pas connu, mais pourrait se compter en dizaines de milliers.

Citation:

Mais Twitter s'est retrouvé inondé de messages se plaignant de McAfee, l'une des plus gros fournisseurs au monde d'antivirus.

Plusieurs universités américaines ont été touchées, dont celle du Michigan à Ann Arbor.

Selon le site AnnArbor.com, 8.000 des 25.000 ordinateurs de la faculté de médecine et du systéme de santé de l'université étaient paralysés.

A Syracuse, dans le nord de l'Etat de New York, l'hôpital Upstate University Hospital a vu 2.500 de ses 6.000 ordinateurs touchés, selon une porte-parole de l'hôpital citée sur le site Syracuse.com.

Citation:

La page de son site internet réservée aux discussions sur les problémes de sécurité était inaccessible.

"La communauté McAfee connaÓt un trafic inhabituellement élevé, ce qui peut ralentir le téléchargement de pages, nous nous excusons pour la gêne occasionnée", lisait-on seulement.

L'éditeur invite les utilisateurs touchés par le probléme à lancer une recherche de mise à jour au sein de l'antivirus, de façon à ce que la mise à jour fautive soit écrasée par la précédente liste de définition.

Si la mise à jour n'était pas possible, il propose également
une méthode manuelle permettant de régler le probléme
. (anglais).

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

Google Chrome est devenu la cible de cybercriminels qui tente, par ce biais, de dérober des données personnelles des utilisateurs.

Le principe est simple, les utilisateurs de Google Chrome reçoivent un e-mail non sollicité (spam) leur indiquant qu'une nouvelle extension de leur navigateur a été développée afin de simplifier l'accés aux documents envoyés par e-mail.

Un lien à l'apparence anodine est indiqué, et les destinataires sont invités à cliquer dessus afin de télécharger la nouvelle extension.

S'ils cliquent dessus, ils sont redirigés vers une page ressemblant à celle des extensions Google Chrome, mais celle-ci leur fournit une fausse application installant des malwares sur leur systéme.

Bien que la description de la fausse application soit identique à celle de la véritable extension Google Chrome, un élément devrait mettre la puce à l'oreille des utilisateurs attentifs, l'application n'est pas une extension ".crx" mais ".exe.

Identifiée par BitDefender comme Trojan.Agent.20577, l'application bloque l'accés aux pages web de Google et de Yahoo.

Lorsque les utilisateurs souhaitent y avoir accés et tapent "google.[xxx]" ou "[xx].search.yahoo.com" dans le navigateur web, ils sont redirigés vers une autre adresse IP (89.149.xxx.xxx.), cela permet aux auteurs de ce malware d'intercepter les appels des victimes pour se connecter à ces sites Internet et de les rediriger vers leurs propres versions de ces sites, infectées par des malwares.

Le jeu "3D Anti-Terrorist" renferme un virus dont le but est de générer des appels internationaux.
Attention, la facture peut vite devenir salée!

Les applications mobiles infectées sont heureusement encore assez rares.
Mais elles peuvent faire trés mal.

Des développeurs sous Windows Mobile ont en effet observé que leurs terminaux s'amusaient à passer tout seul des appels internationaux, notamment la nuit, en toute discrétion.

Appels exotiques

Aprés enquête et recoupement d'autres témoignages, il apparait que cette dangereuse habitude est le fait d'un virus logé dans un jeu baptisé "3D Anti-Terrorist", ce logiciel pour les terminaux sous Windows Mobile 6.5, qui se trouve un peu partout depuis un mois, peut donc trés vite faire exploser votre facture mensuelle avec ses appels exotiques.

Il est donc fortement conseillé de ne pas installer ce jeu.

Si c'est déjà le cas et que votre journal d'appels regorge d'appels internationaux, une solution permet d'éradiquer le
malware
(voir vidéo).

Kaspersky Mobile permet de détecter les logiciels malveillants

plus d'infos sur ce forum
(anglais)

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos mobiles ne deviennent un élément d'un réseau de zombie (
botnet
)

Une mise à jour de BitDefender considérait des éléments de Windows version 64 bits comme suspects.
L'éditeur de solution de sécurité IT corrige le tir.

Les solutions grand public et professionnelles (BitDefender Business Security et BitDefender Security for File Servers) ont été affectées.

Citation:

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

Si vous recevez un mail vous annonçant que votre compte Facebook a été réinitialisé, méfiance, derriére ce message pourrait se dissimuler un virus destiné à siphonner vos données personnelles.

D'o? cette mise en garde lancée par le spécialiste de la sécurité McAfee

Il ne s'agit pas simplement de "
phishing
", mais d'une attaque plus élaborée en l'occurrence, un
virus
destiné à dérober les mots de passe et autres informations sensibles des 400 millions d'utilisateurs du réseau communautaire.

40 millions d'ordinateurs potentiellement infectés

Selon l'éditeur américain de programmes de sécurité, les internautes reçoivent un e-mail les informant que le mot de passe leur compte Facebook a été réinitialisé.

Puis, ils sont invités à cliquer sur une piéce jointe au mail pour obtenir de nouveaux identifiants de connexion, si la piéce jointe est ouverte, le fichier télécharge alors différents types de programmes malicieux, dont un logiciel capable de dérober des mots de passe.

Jusqu'ici les pirates visaient surtout les utilisateurs de Facebook en leur envoyant des tonnes de messages via la messagerie interne du réseau social, avec cette nouvelle attaque ils utilisent désormais le courrier électronique classique pour répandre des virus.

Citation:

Selon McAfee, les pirates ont déjà envoyé une dizaine de millions de spams à travers l'Europe, les Etats-Unis et l'Asie, depuis le début de cette invasion mardi 16 Mars 2010.

Dave Marcus, le directeur de McAfee chargé de la recherche et de la communication sur les programmes malicieux a estimé que 40 millions d'ordinateurs pourraient être potentiellement infectés si 10% des 400 millions d'utilisateurs de Facebook cliquent sur la piéce jointe.

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

Selon l'US-CERT, le logiciel fourni avec le chargeur de piles Energizer DUO comporte un cheval de Troie permettant à un attaquant d'exécuter du code à distance, Apple, Seagate ou encore Asus ont déjà connu une mésaventure comparable.

L'US-CERT, l'organisme américain en charge de la sécurité informatique, vient de publier une alerte concernant un produit de la marque Energizer, il s'agit du chargeur de piles USB Energizer "DUO USB NiMH".

Ce chargeur vendu avec un programme d'installation pour Windows (la version Mac OS X n'étant pas affectée), embarque un
cheval de Troie
, l'installation de l'outil fourni par le constructeur est censée permettre à l'utilisateur de contrôler sur son PC le statut de chargement des piles.

Une dll malveillante créée à l'installation du logiciel.

Mais en plus de l'utilitaire, le logiciel crée une dll malveillante, "Arucer.dll".
Ce cheval de Troie peut recevoir des commandes sur le port "TCP 7777".

Selon les instructions envoyées, le programme peut télécharger des fichiers supplémentaires, exécuter des fichiers, transmettre des données dérobées sur le PC infecté et modifier la base de registre Windows.

Ce cheval de Troie s'active automatiquement à chaque démarrage de l'ordinateur et écoute le réseau dans l'attente d'éventuelles instructions envoyées à distance par un
pirate
, même lorsque le chargeur USB n'est pas connecté à l'ordinateur, le programme demeure actif précise l'US-CERT.

Le constructeur de piles Energizer déclare tout ignorer de la présence de ce logiciel malveillant et explique travailler avec l'
US-CERT
et les autorités américaines afin d'identifier comment un tel code a pu être inséré dans son logiciel.
Energizer a également retiré du téléchargement le logiciel incriminé.

La désinfection d'un ordinateur contaminé s'avére fort heureusement relativement simple comme l'explique les chercheurs de l'US-CERT.

Il suffit de désinstaller l'application Energizer, cela permettant de supprimer la clé de registre à l'origine de l'exécution automatique de la porte dérobée au démarrage de Windows.

Le cheval de Troie facile à supprimer.

Un utilisateur peut également supprimer manuellement le fichier Arucer.dll dans le répertoire Windows system32, afin de rendre le cheval de Troie inopérant, il convient ensuite de redémarrer l'ordinateur.

Par chance, lors de l'installation, l'utilitaire "Energizer UsbCharger" ne paramétre pas automatiquement d'exception dans le pare-feu Windows, des régles dans l'IPS Snort permettent par ailleurs de détecter tout trafic lié à ce programme malveillant.

Ce type de mésaventure n'est pas une premiére pour les constructeurs du secteur high-tech.

- En 2007, Seagate révélait que des disques durs produits dans une usine asiatique embarquaient un cheval de Troie.
- En 2006, Apple publiait un bulletin d'alerte pour avertir ses clients qu'un petit nombre d'iPod avaient été vendu avec un programme malveillant opérant seulement sous Windows.
- En 2008 c'était au tour d'Asus et de ses modéles japonais d'Eeebox infectés par le code malveillant "Xirtam".

Voir le communiquer de l'US-CERT
(anglais)

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

Dans le domaine de l'imagination, on peut dire que les
pirates
ne sont jamais en reste, ni les auteurs de
malwares
.

Comment amener une sale bête à infecter votre machine ?

Il existe de nombreuses méthodes, mais l'une des plus courantes est de prendre l'apparence d'un contenu inoffensif, et quoi de plus anodin qu'un logiciel censé justement vous protéger ?

Microsoft prévient qu'une fausse version de son logiciel "Security Essentiels" est en train de circuler sur la toile, elle est estampillée "2010" et présente l'interface suivante:

(Faux logiciel)

Pour comparaison, voici la véritable interface du logiciel actuellement:

(Vrai logiciel)

Le logiciel installe en fait le
cheval de Troie
"Win32/Fakeinit" et présente un faux scanner qui va passer en revue vos fichiers.

Il va repérer certains processus clés pour tenter de les arrêter puis va avertir l'utilisateur que sa machine est bien entendu infectée, pendant ce temps il va modifier des clés dans le registre et changer le fond d'écran pour le remplacer par celui-là:

Assez grossier il est vrai, mais probablement efficace chez une bonne partie des utilisateurs lambda qui ne connaissent pas l'informatique.

David Woods, sur
le site officiel microsoft Security
, indique que ce genre de chose était à prévoir.

La méthode est l'une des plus anciennes

"Se caler sur un logiciel connu ou un composant important du systéme pour faire passer la pilule, il indique par exemple que nombre de malwares ont copié l'interface du Centre de Sécurité, présent dans Windows depuis le Service Pack 2 de Windows XP".

Attention donc aux piéges innombrables de la toile, on ne le répétera jamais assez.

Le véritable Microsoft Security Essentials détecte et supprime "Win32/Fakeinit", et on peut le télécharger depuis son
site officiel
.

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

(source:
pcinpact
)

Si vous recevez ce mail

Titre du mail:
Facebook Password Reset Confirmation! Your Support.

Message:

Citation:

Avec une piéce jointe "Facebook_password_3921.zip" les chiffres seront peux êtres différent chez vous

Ouvrez pas ce message et supprimer le!

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

(source:old.secunews.org)

La société Websense spécialiste dans les solutions de filtrage pour Internet a découvert une nouvelle vague d'attaques visant des collaborateurs de gouvernements et des militaires.

Le
cheval de Troie
"Zeus" en serait responsable.

Websense,a récemment émis une nouvelle alerte de sécurité IT.

Elle porte sur le cheval de Troie (trojan) baptisé "
Zeus
" qui serait utilisé pour voler des informations confidentielles des personnels travaillant pour les gouvernements et les départements militaires.

Début février, ce logiciel malveillant, qui a été initialement conçu et utilisé pour voler des données bancaires, a été utilisé dans une campagne ciblant des collaborateurs de gouvernement étrangers (…tats-Unis et Royaume-Uni principalement).

Cette menace se présente sous la forme d'un faux mail qui serait émis par un responsable de l'Agence centrale de renseignement (
CIA
), avec pour sujet:

Citation:

"Ces e-mails falsifiés capitalisent sur la derniére attaque Zeus, et prétendent que l'utilisation de Windows Update via les liens fournis aidera à la protection contre les attaques de Zeus", explique une alerte publiée par Websense.

Citation:

Le bulletin
note que une fois de plus, les URL dans les e-mails conduisent à un fichier malicieux hébergé sur une machine compromise, mais aussi, sur un service connu d'hébergement de fichiers.

Enfin, le mode opérationnel du
malware
est assez simple.

Selon Websense, aprés l'installation du composant
rootkit
Zeus, le serveur de commande et de contrôle (C&C) est contacté pour télécharger un fichier de configuration crypté.

Un autre composant est chargé du vol de données aprés avoir été téléchargé et installé à partir du même C&C.
Ensuite, le bot établit une connexion avec un serveur
FTP
pour envoyer les données volées.

Voir aussi:

La loterie nationale danoise victime d'une attaque

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

(source:
itespresso
)