Résultats de recherche pour : Windows

Stuxnet un virus ultra-perfectionné visait-il une centrale iranienne ?

Un virus capable en théorie de détruire physiquement des installations industrielles infecte depuis plusieurs mois les ordinateurs, en Iran notamment, d’o? cette thése, s’agit-il d’une cyberarme ?

La cible était-elle Siemens ? ou le réacteur iranien de Bouchehr ?

Un
virus
informatique baptisé
Stuxnet
infecte depuis prés d’un an un logiciel de l’allemand Siemens notamment.
Il vise un type de logiciels utilisé pour contrôler des composants industriels dont des valves et des freins.
Il passe d’ordinateur en ordinateur tournant sous le systéme d’exploitation Windows via des clés USB et non par Internet.

A en croire les experts interrogés par le Financial Times, Stuxnet « a déjà infecté un nombre inconnu de centrales électriques, de pipelines et d’usines. »

Citation:

Le virus « peut se cacher, attendre jusqu’à ce que certaines conditions soient remplies et donner de nouvelles instructions à ces équipements », explique un expert au FT.

Mieux ou pire!, il s’agirait rien moins que du premier virus destiné à détruire physiquement des installations et pas seulement à paralyser un systéme informatique, en théorie, Stuxnet pourrait faire exploser une chaudiére, causer des dysfonctionnements dans une centrale ou détruire un pipeline, selon plusieurs experts.

Un Etat derriére tout cela ?

Citation:

Détail intrigant, le ver a infecté beaucoup d’ordinateurs en Iran, ce qui fait dire à Ralph Langner, un expert informatique américain, que ce virus aurait peut-être pour seul objectif de troubler le fonctionnement de la centrale nucléaire de Bouchehr en Iran.

Le chercheur et certains de ses homologues pensent que le constructeur russe JSC Atomstroyexport en charge de la construction de la nouvelle centrale nucléaire a été infecté dans le but de déstabiliser le programme nucléaire iranien.

D’o? l’idée que les concepteurs de ce virus ultra-perfectionné travailleraient pour un Etat et ne seraient pas des
hackers
isolés.

Citation:

« C’est incroyable, c’est apparemment plus que du simple espionnage industriel », a déclaré James Lewis, un expert américain du Centre pour les études internationales et stratégiques.

Mais cette thése ne tient pas la route selon Siemens qui assure n’avoir pas fourni son logiciel à cette centrale nucléaire, le conglomérat allemand a assuré qu’au total quinze de ses clients lui avaient rapporté avoir été contaminés et que le virus avait été supprimé chez chacun d’entre eux.

Citation:

« Il n’y a eu en aucun cas de conséquences sur leur production », a-t-on insisté de côté du fabricant de logiciels.

old.secunews.org
: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (
botnet
)

Le Ver here you have un piège qui fonctionne toujours

Un virus informatique se propage rapidement via des e.mails contenant un lien qui pointe vers un fichier infecté, le virus désactive les antivirus et utilise […]

Zeroll, un nouveau ver qui s’attaque aux messageries instantanées

Les experts en sécurité de Kaspersky viennent de mettre en garde les utilisateurs contre une nouvelle famille de vers informatiques qui se propagent sur les […]

Un trojan cible les pirates amateurs de comptes MSN

Alerte Virale

Une invitation envoyée en masse proposant un outil permettant de pirater soi-même des comptes menace les utilisateurs de Windows Live Messenger

Cet e-mail, qui constitue la premiére étape d’un plan frauduleux de récupération de données, restera trés probablement dans les archives de l’histoire du cybercrime tant il éclaire sur le comportement humain.
Suffit-il d’affirmer que quelque chose est illégal, pour que tout le monde le fasse.

C’est ainsi que le soi-disant outil s’attribue une légitimité bien fragile en affirmant
Citation:

« Cet outil pourrait être employé par des hackers pour pirater des mots de passe MSN, mais ne devrait pas être utilisé à ces fins car le piratage de mots de passe de Windows Live est illégal!« .

De même que les efforts du loup pour se faire passer pour une brebis dans la bergerie sont vains, cet outil affirme, sans convaincre, qu’il est destiné aux « utilisateurs de MSN souhaitant pirater leurs propres comptes MSN et aux chercheurs« .

Un message appelant à la confiance sous prétexte qu’il vous met en garde contre les pirates!
La logique de ce message est toutefois déroutante, la référence finale à l’outil pouvant être utilisé dans des situations o? il est possible de se connecter sans avoir à saisir son mot de passe ajoute à son côté surnaturel

L’analyse approfondie du sens des e-mails que vous recevez n’est sans doute pas votre passe temps favori, mais prétendre que l’on souhaite faciliter la récupération de mots de passe perdus devrait prêter à sourire dans un contexte o? l’on n’est jamais trop prudent face au risque de vol de données, a ce stade seules des versions anglaises ont été détectées ce qui les rend assez facile à éviter, mais il est probable que des déclinaisons dans d’autres langues de cette campagne suivent sous peu.

L’analyse de l’e-mail mise à part, le lien fourni dans le message est censé permettre de télécharger l’outil promis et c’est à ce moment que HackMsn.exe révéle qui il est réellement, un
backdoor
.
Identifié par BitDefender sous le nom de « Backdoor.Bifrose.AADY« , ce code malveillant affecte les plateformes Windows.

Le
malware
s’injecte dans le processus « explorer.exe » et ouvre un backdoor (porte dérobée) qui permet aux
pirates
d’accéder au systéme et d’en prendre le contrôle.

« Backdoor.Bifrose.AADY » tente également de lire les clés et les numéros de série de plusieurs logiciels installés sur l’ordinateur affecté, enregistre les mots de passe d’ICQ, de Messenger, des comptes de courrier électronique POP3, et essaie d’accéder aux sauvegardes protégées.

Une solution de sécurité à jour et une bonne vigilance de la part des utilisateurs sera le meilleur obstacle à la diffusion de ce type de malware.

Un ver agressif ce propage par messagerie instantanée

Alerte Virale

Les firmes de sécurité BitDefender et Symantec sonnent l’alerte.
La variante d’un ver informatique connu se propage par l’intermédiaire de pourriels via la messagerie instantanée.

Les usagers devraient se méfier s’ils reçoivent un court message sur lequel apparaÓt un « happy face« .

Le dernier-né de la famille « Palevo » se diffuse ces jours-ci sous la forme d’une vague massive de
spam
de messagerie instantanée, générée de façon automatique.

Le message non sollicité incite les destinataires à cliquer sur un lien accompagné d’un smiley souriant, censé les diriger vers une image ou une galerie de photos.

Ce message est censé rediriger l’internaute vers une image.
Le ver particuliérement agressif viserait Yahoo! Messenger et les ordinateurs roulant sous Windows.

Palevo.DP est synonyme de ravage pour les systémes non protégés qui sont infectés.
Il commence par créer plusieurs fichiers cachés dans le dossier Windows:

– mds.sys
– mdt.sys
– winbrd.jpg
– infocard.exe

Il modifie certaines clés de registre pour qu’elles pointent vers ces fichiers afin de neutraliser le pare-feu du systéme d’exploitation.

Comme les autres membres de sa famille, Palevo.DP dispose d’un composant de type
backdoor
qui permet aux
pirates
de prendre à distance le contrôle total de l’ordinateur compromis pour y installer d’autres
malwares
, voler des fichiers, lancer des campagnes de spam et des attaques de malwares sur d’autres systémes.

La famille Palevo est également capable d’intercepter des mots de passe et d’autres données sensibles saisies dans les navigateurs web Mozilla Firefox et Microsoft Internet Explorer, ce qui la rend extrêmement dangereuse pour les internautes utilisant des services bancaires en ligne ou faisant des achats sur Internet.

Le mécanisme de diffusion comprend également l’infection de partages réseau et de supports de stockage amovibles comme les clés USB, dans lesquels il crée des fichiers autorun.inf pointant vers sa copie, lorsqu’un disque amovible ou une carte mémoire sont insérés dans des ordinateurs dont la fonction d’exécution automatique (autorun) est activée ou qui ne sont pas protégés par une solution de sécurité avec analyse à l’accés, le systéme est automatiquement infecté.

Lorsque l’usager clique sur le lien malveillant, il autorise plutôt le fichier (un faux JPG) ´Worm.P2P.Palevo.DPª à s’exécuter sur son ordinateur.

Les vers Palevo affectent également les utilisateurs de plateformes de partage P2P telles que:

– BearShare
– iMesh
– Shareza
– Kazaa
– DC++
– eMule
– LimeWire

En ajoutant leur code aux fichiers partagés.

« Nous recommandons aux utilisateurs d’être extrêmement prudents et de ne cliquer sur aucun lien reçu via des clients de messagerie instantanée sans avoir vérifié auprés de l’expéditeur la validité des sites Web vers lesquels ces liens pointent.

Citation:

Cette offensive du ver Palevo est extrêmement agressive et nous avons assisté au début de cette attaque à des taux d’infection dépassant largement les 500% par heure pour des pays comme la Roumanie, la Mongolie ou l’Indonésie ». déclare Catalin Cosoi, Chercheur des Laboratoires BitDefender.

A ce jour, les pays les plus touchés sont les suivants:

– France
– Roumanie
– Mongolie
– Vietnam
– Indonésie
– Australie
– Malaisie
– ThaÔlande
– Royaume-Uni
– KoweÔt

Quand un antivirus hargneux s’attaque à votre PC

Attention

Pour cause de mauvaise mise à jour, des antivirus de McAfee s’en sont pris à un dossier Windows valide pris à tort pour un virus.

Résultat, des ordinateurs condamnés à redémarrer sans fin, McAfee diffuse en urgence une nouvelle mise à jour.

Aveu difficile mais nécessaire pour McAfee, si incroyable que cela paraisse, la société de sécurité informatique a annoncé qu’elle avait fait une erreur mercredi dans la mise à jour de ses logiciels antivirus, prenant un dossier Windows valide pour un virus.

Une erreur qui a entraÓné des pannes sur des trés nombreux ordinateurs à travers le monde, McAfee a indiqué avoir aussitôt diffusé une nouvelle mise à jour mettant fin à ce phénoméne de « fausse détection » de virus, et a demandé à ses clients de la télécharger sans tarder.

Les entreprises équipées de PC et dont les ordinateurs tournent sous Windows XP Service Pack 3 ont du souci à se faire.

Citation:

« Elles sont devenues des cibles privilégiées pour cet antivirus devenu hargneux.
L’organisation de sécurité informatique Internet Storm Center a indiqué qu’elle avait déjà reçu une centaine de signalements de ce probléme.
Selon elle, cette fausse manoeuvre conduit les ordinateurs touchés à se réinitialiser sans fin

« Certains font part de réseaux de milliers d’ordinateurs hors service, et d’entreprises qui ont d? arrêter de travailler le temps que ce soit réparé ».

Twitter inondé de messages se plaignant de McAfee

Le nombre d’ordinateurs touchés n’est pas connu, mais pourrait se compter en dizaines de milliers.

Citation:

« Nous pensons que cet incident a touché moins de un demi pour cent de notre base de clients particuliers et entreprises dans le monde », temporise pour sa part la société McAfee.

Mais Twitter s’est retrouvé inondé de messages se plaignant de McAfee, l’une des plus gros fournisseurs au monde d’antivirus.

Plusieurs universités américaines ont été touchées, dont celle du Michigan à Ann Arbor.

Selon le site AnnArbor.com, 8.000 des 25.000 ordinateurs de la faculté de médecine et du systéme de santé de l’université étaient paralysés.

A Syracuse, dans le nord de l’Etat de New York, l’hôpital Upstate University Hospital a vu 2.500 de ses 6.000 ordinateurs touchés, selon une porte-parole de l’hôpital citée sur le site Syracuse.com.

Citation:

McAfee a indiqué que « l’actualisation défectueuse a rapidement été retirée de tous les serveurs de McAfee, afin d’empêcher tout impact supplémentaire sur les clients » et que la société « prenait des mesures » pour éviter toute répétition de cet incident.

« Nous présentons de sincéres excuses pour les difficultés que cela a provoqué pour nos clients », a indiqué la société dans un communiqué.

La page de son site internet réservée aux discussions sur les problémes de sécurité était inaccessible.

« La communauté McAfee connaÓt un trafic inhabituellement élevé, ce qui peut ralentir le téléchargement de pages, nous nous excusons pour la gêne occasionnée », lisait-on seulement.

L’éditeur invite les utilisateurs touchés par le probléme à lancer une recherche de mise à jour au sein de l’antivirus, de façon à ce que la mise à jour fautive soit écrasée par la précédente liste de définition.

Si la mise à jour n’était pas possible, il propose également
une méthode manuelle permettant de régler le probléme
. (anglais).

Faux Positifs sur les systémes 64 bits avec BitDefender 2010 et 2009

Une mise à jour de BitDefender considérait des éléments de Windows version 64 bits comme suspects.
L’éditeur de solution de sécurité IT corrige le tir.

Les solutions grand public et professionnelles (BitDefender Business Security et BitDefender Security for File Servers) ont été affectées.

Citation:

Samedi matin autour de 8:20 PST, une mise à jour sur laquelle nous travaillions a été téléchargée prématurément par nos serveurs, cette mise à jour n’a affecté que des produits fonctionnant avec les systémes Windows 64 bit, cette mise à jour a affecté notre gamme de produits grand public ainsi que les solutions entreprise BitDefender Business Security et BitDefender Security for File Servers.

Certaines versions de BitDefender et des fichiers Windows ont été détectés comme Trojan.FakeAlert.5 et ont été déplacé en quarantaine, seuls les fichiers .exe, .dll et d’autres fichiers binaires ont été mis en quarantaine (aucunes images ou documents).

Par conséquent, sur certaines machines, BitDefender n’a pas fonctionné, les applications n’ont pas pu se lancer ou Windows n’a pas pu démarrer, a 11h, notre équipe a retiré la mise à jour défectueuse, de ce fait aucun autre utilisateur ne pas pu être affecté depuis lors.

Néanmoins pour ceux qui ont été touchés, nous pensons que seulement une fraction n’a pas pu appliquer la nouvelle mise à jour et parmi eux beaucoup ont déjà été dépannés.

Nous continuons à dépanner ceux de nos utilisateurs qui ont actuellement besoin d’une assistance.

Nos équipes travaillent 24h/24 pour réduire au minimum l’impact de cette mise à jour et apporter une assistance personnalisée à ceux qui en ont besoin pour résoudre le probléme aussi rapidement que possible.

Nous avons fourni des informations à nos utilisateurs via les articles d’assistance mis à jour réguliérement, comme nous mettons à disposition des solutions pour les diverses configurations de nos clients auxquelles nous prêtons une attention particuliére.

– Les utilisateurs des solutions pour particuliers trouveront les solutions disponibles en cliquant sur ce lien :
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#638

– Les utilisateurs des solutions BitDefender Business Client trouveront les solutions disponibles en cliquant sur ce lien:
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#643

– Les utilisateurs des solutions BitDefender Security for File Servers trouveront les solutions à leur probléme en cliquant sur ce lien:
http://www.bitdefender.fr/site/KnowledgeBase/consumer/#642

Pour les clients qui n’ont pas été en mesure de trouver une solution dans les informations d’assistance, nous vous recommandons de contacter notre équipe d’assistance directement via email, chat, téléphone ou sur le forum à l’adresse suivante:
http://www.bitdefender.fr/site/Main/nousContacter

pour les utilisateurs particuliers (grand public) et les utilisateurs des solutions professionnelles : http://www.bitdefender.fr/site/Main/nousContacter

Nous conseillons fortement aux utilisateurs de suivre les directives publiées par les représentants de BitDefender, qui ont l’expertise nécessaire pour aborder les problémes liés à toutes les configurations.

Nous présentons nos excuses pour le probléme intervenu sur une mise à jour de BitDefender pour les systémes Windows 64 bit.

Des chargeurs de piles Energizer vendus avec un cheval de Troie

Alerte Virale

Selon l’US-CERT, le logiciel fourni avec le chargeur de piles Energizer DUO comporte un cheval de Troie permettant à un attaquant d’exécuter du code à distance, Apple, Seagate ou encore Asus ont déjà connu une mésaventure comparable.

L’US-CERT, l’organisme américain en charge de la sécurité informatique, vient de publier une alerte concernant un produit de la marque Energizer, il s’agit du chargeur de piles USB Energizer « DUO USB NiMH« .

Ce chargeur vendu avec un programme d’installation pour Windows (la version Mac OS X n’étant pas affectée), embarque un
cheval de Troie
, l’installation de l’outil fourni par le constructeur est censée permettre à l’utilisateur de contrôler sur son PC le statut de chargement des piles.

Une dll malveillante créée à l’installation du logiciel.

Mais en plus de l’utilitaire, le logiciel crée une dll malveillante, « Arucer.dll« .
Ce cheval de Troie peut recevoir des commandes sur le port « TCP 7777« .

Selon les instructions envoyées, le programme peut télécharger des fichiers supplémentaires, exécuter des fichiers, transmettre des données dérobées sur le PC infecté et modifier la base de registre Windows.

Ce cheval de Troie s’active automatiquement à chaque démarrage de l’ordinateur et écoute le réseau dans l’attente d’éventuelles instructions envoyées à distance par un
pirate
, même lorsque le chargeur USB n’est pas connecté à l’ordinateur, le programme demeure actif précise l’US-CERT.

Le constructeur de piles Energizer déclare tout ignorer de la présence de ce logiciel malveillant et explique travailler avec l’
US-CERT
et les autorités américaines afin d’identifier comment un tel code a pu être inséré dans son logiciel.
Energizer a également retiré du téléchargement le logiciel incriminé.

La désinfection d’un ordinateur contaminé s’avére fort heureusement relativement simple comme l’explique les chercheurs de l’US-CERT.

Il suffit de désinstaller l’application Energizer, cela permettant de supprimer la clé de registre à l’origine de l’exécution automatique de la porte dérobée au démarrage de Windows.

Le cheval de Troie facile à supprimer.

Un utilisateur peut également supprimer manuellement le fichier Arucer.dll dans le répertoire Windows system32, afin de rendre le cheval de Troie inopérant, il convient ensuite de redémarrer l’ordinateur.

Par chance, lors de l’installation, l’utilitaire « Energizer UsbCharger » ne paramétre pas automatiquement d’exception dans le pare-feu Windows, des régles dans l’IPS Snort permettent par ailleurs de détecter tout trafic lié à ce programme malveillant.

Ce type de mésaventure n’est pas une premiére pour les constructeurs du secteur high-tech.

– En 2007, Seagate révélait que des disques durs produits dans une usine asiatique embarquaient un cheval de Troie.
– En 2006, Apple publiait un bulletin d’alerte pour avertir ses clients qu’un petit nombre d’iPod avaient été vendu avec un programme malveillant opérant seulement sous Windows.
– En 2008 c’était au tour d’Asus et de ses modéles japonais d’Eeebox infectés par le code malveillant « Xirtam ».

Voir le communiquer de l’US-CERT
(anglais)