Résultats de recherche pour mac

Divers, Piratages

Des chargeurs de piles Energizer vendus avec un cheval de Troie

Alerte Virale

Selon l'US-CERT, le logiciel fourni avec le chargeur de piles Energizer DUO comporte un cheval de Troie permettant à un attaquant d'exécuter du code à distance, Apple, Seagate ou encore Asus ont déjà connu une mésaventure comparable.

L'US-CERT, l'organisme américain en charge de la sécurité informatique, vient de publier une alerte concernant un produit de la marque Energizer, il s'agit du chargeur de piles USB Energizer "DUO USB NiMH".

Ce chargeur vendu avec un programme d'installation pour Windows (la version Mac OS X n'étant pas affectée), embarque un
cheval de Troie
, l'installation de l'outil fourni par le constructeur est censée permettre à l'utilisateur de contrôler sur son PC le statut de chargement des piles.

Une dll malveillante créée à l'installation du logiciel.

Mais en plus de l'utilitaire, le logiciel crée une dll malveillante, "Arucer.dll".
Ce cheval de Troie peut recevoir des commandes sur le port "TCP 7777".

Selon les instructions envoyées, le programme peut télécharger des fichiers supplémentaires, exécuter des fichiers, transmettre des données dérobées sur le PC infecté et modifier la base de registre Windows.

Ce cheval de Troie s'active automatiquement à chaque démarrage de l'ordinateur et écoute le réseau dans l'attente d'éventuelles instructions envoyées à distance par un
pirate
, même lorsque le chargeur USB n'est pas connecté à l'ordinateur, le programme demeure actif précise l'US-CERT.

Le constructeur de piles Energizer déclare tout ignorer de la présence de ce logiciel malveillant et explique travailler avec l'
US-CERT
et les autorités américaines afin d'identifier comment un tel code a pu être inséré dans son logiciel.
Energizer a également retiré du téléchargement le logiciel incriminé.

La désinfection d'un ordinateur contaminé s'avére fort heureusement relativement simple comme l'explique les chercheurs de l'US-CERT.

Il suffit de désinstaller l'application Energizer, cela permettant de supprimer la clé de registre à l'origine de l'exécution automatique de la porte dérobée au démarrage de Windows.

Le cheval de Troie facile à supprimer.

Un utilisateur peut également supprimer manuellement le fichier Arucer.dll dans le répertoire Windows system32, afin de rendre le cheval de Troie inopérant, il convient ensuite de redémarrer l'ordinateur.

Par chance, lors de l'installation, l'utilitaire "Energizer UsbCharger" ne paramétre pas automatiquement d'exception dans le pare-feu Windows, des régles dans l'IPS Snort permettent par ailleurs de détecter tout trafic lié à ce programme malveillant.

Ce type de mésaventure n'est pas une premiére pour les constructeurs du secteur high-tech.

- En 2007, Seagate révélait que des disques durs produits dans une usine asiatique embarquaient un cheval de Troie.
- En 2006, Apple publiait un bulletin d'alerte pour avertir ses clients qu'un petit nombre d'iPod avaient été vendu avec un programme malveillant opérant seulement sous Windows.
- En 2008 c'était au tour d'Asus et de ses modéles japonais d'Eeebox infectés par le code malveillant "Xirtam".

Voir le communiquer de l'US-CERT
(anglais)

old.secunews.org
: Conseille à tous les utilisateurs de s'assurer qu'ils disposent sur leur ordinateur d'un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d'un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d'empêcher que vos PC ne deviennent un élément d'un réseau de zombie (
botnet
)

secunews
9 mars 2010

Divers, Piratages

Attention aux faux Microsoft Security Essentials 2010

Alerte Virale

Dans le domaine de l'imagination, on peut dire que les
pirates
ne sont jamais en reste, ni les auteurs de
malwares
.

Comment amener une sale bête à infecter votre machine ?

Il existe de nombreuses méthodes, mais l'une des plus courantes est de prendre l'apparence d'un contenu inoffensif, et quoi de plus anodin qu'un logiciel censé justement vous protéger ?

Microsoft prévient qu'une fausse version de son logiciel "Security Essentiels" est en train de circuler sur la toile, elle est estampillée "2010" et présente l'interface suivante:

(Faux logiciel)

Pour comparaison, voici la véritable interface du logiciel actuellement:

(Vrai logiciel)

Le logiciel installe en fait le
cheval de Troie
"Win32/Fakeinit" et présente un faux scanner qui va passer en revue vos fichiers.

Il va repérer certains processus clés pour tenter de les arrêter puis va avertir l'utilisateur que sa machine est bien entendu infectée, pendant ce temps il va modifier des clés dans le registre et changer le fond d'écran pour le remplacer par celui-là:

Assez grossier il est vrai, mais probablement efficace chez une bonne partie des utilisateurs lambda qui ne connaissent pas l'informatique.

David Woods, sur
le site officiel microsoft Security
, indique que ce genre de chose était à prévoir.

La méthode est l'une des plus anciennes

"Se caler sur un logiciel connu ou un composant important du systéme pour faire passer la pilule, il indique par exemple que nombre de malwares ont copié l'interface du Centre de Sécurité, présent dans Windows depuis le Service Pack 2 de Windows XP".

Attention donc aux piéges innombrables de la toile, on ne le répétera jamais assez.

Le véritable Microsoft Security Essentials détecte et supprime "Win32/Fakeinit", et on peut le télécharger depuis son
site officiel
.

(source:
pcinpact
)

secunews
26 février 2010

Divers

Le FBI enquête sur des webcams activées à lêinsu de lycéens

Tout débute lorsqu'un district académique situé en Pennsylvanie (Lower Merion School District) prête aux éléves du lycée Harriton (Harriton High School, regroupant des enfants de milieux aisés) des ordinateurs portables avec webcam intégrée.

Cet accessoire vidéo est la source de tous les maux depuis qu'une famille a déposé une plainte.

Motif:

Le district académique aurait cherché à s'introduire dans la vie privée en surveillant discrétement leur enfant inscrit à ce lycée, en utilisant la caméra.

L'école est notamment suspectée d'avoir installé par défaut un logiciel espion sur les ordinateurs pour activer à distance leur caméra afin de surveiller l'éléve et sa famille.

L'affaire s'est emballée lorsque l'école a convoqué un éléve pour lui reprocher le mauvais comportement qui avait été observé devant son ordinateur… en étant connecté depuis son domicile.

En guise de preuve, des responsables du lycée lui ont montré des captures d'images.

Quand le FBI s'en mêle.

Pister, écouter et espionner des éléves dans leur vie privée, un nouveau pas franchi par cette école ?

Le FBI et le bureau du procureur fédéral ont déclenché une enquête pour déterminer les responsabilités et la légalité de cette opération.

Les autorités n'ont pas souhaité faire de commentaires pour l'instant, mais Mike Walker, un consultant en sécurité chez intrepidus Group a indiqué sur
son blog
qu'il avait identifié l'administrateur du district académique soupçonné d'avoir supervisé la surveillance des éléves.

Mike Walker porte également ses soupçons sur le logiciel utilisé qui permettait d'espionner les ordinateurs connectés à Internet et de capturer les images des éléves.

Pour aller plus loin, le consultant donne
le moyen de détecter
si un logiciel de type "LANRev" est installé sur la machine et s'il transmet des données à l'insu de l'utilisateur.

Mike Walker a demandé aux familles concernées

Citation:

"De retirer le disque dur des ordinateurs portables de leurs enfants et ne plus relier l'ordinateur à un réseau quelconque” et ce pour préserver les preuves numériques que l'équipe d'encadrement de l'école pourrait faire disparaÓtre avec un script LanREV”.

Citation:

Selon The Philadelphia Inquirer, un juge fédéral a interdit dans une ordonnance en date du 22 février 2010 que le district académique modifie le logiciel sur les ordinateurs portables et exige que toutes les preuves numériques soient préservées.

Quoi qu'il en soit le mal est fait, car un représentant de l'école a déjà reconnu que les webcams avaient été activées à 42 reprises

Petit conseil:
Vous utilisez pas votre webcam ?
A ce moment la inutile quelle soit connecté a votre ordinateur

(source:

itespresso

)

secunews
24 février 2010

Divers, Piratages

Le cheval de troie ZeuS est de retour

Alerte Virale

La société Websense spécialiste dans les solutions de filtrage pour Internet a découvert une nouvelle vague d'attaques visant des collaborateurs de gouvernements et des militaires.

Le
cheval de Troie
"Zeus" en serait responsable.

Websense,a récemment émis une nouvelle alerte de sécurité IT.

Elle porte sur le cheval de Troie (trojan) baptisé "
Zeus
" qui serait utilisé pour voler des informations confidentielles des personnels travaillant pour les gouvernements et les départements militaires.

Début février, ce logiciel malveillant, qui a été initialement conçu et utilisé pour voler des données bancaires, a été utilisé dans une campagne ciblant des collaborateurs de gouvernement étrangers (…tats-Unis et Royaume-Uni principalement).

Cette menace se présente sous la forme d'un faux mail qui serait émis par un responsable de l'Agence centrale de renseignement (
CIA
), avec pour sujet:

Citation:

"Russian spear phishing attack against .mil and .gov employees" (une attaque
phishing
russe cible les adresses de collaborateurs portant des extensions .mil et .gov).

"Ces e-mails falsifiés capitalisent sur la derniére attaque Zeus, et prétendent que l'utilisation de Windows Update via les liens fournis aidera à la protection contre les attaques de Zeus", explique une alerte publiée par Websense.

Citation:

"Le fichier binaire téléchargé à partir de ces liens est identifié comme un bot Zeus et le taux de détection par les antivirus est est de 35%".

Le bulletin
note que une fois de plus, les URL dans les e-mails conduisent à un fichier malicieux hébergé sur une machine compromise, mais aussi, sur un service connu d'hébergement de fichiers.

Enfin, le mode opérationnel du
malware
est assez simple.

Selon Websense, aprés l'installation du composant
rootkit
Zeus, le serveur de commande et de contrôle (C&C) est contacté pour télécharger un fichier de configuration crypté.

Un autre composant est chargé du vol de données aprés avoir été téléchargé et installé à partir du même C&C.
Ensuite, le bot établit une connexion avec un serveur
FTP
pour envoyer les données volées.

Voir aussi:

La loterie nationale danoise victime d'une attaque

(source:
itespresso
)

secunews
16 février 2010

Insolites

Heart Attack Grill

Voici un concept de restauration bien particulier, « Je vous aide à avoir une attaque cardiaque ». Le principe novateur du restaurant Heart Attack Grill, situé à Chandler en Arizona (USA), vous offrir des menus gras, gras et gras. 8000 calories dans…

secunews
6 février 2010

Divers, Piratages

Win32.Worm.Zimuse un virus qui endommage votre disque dur

Alerte Virale

Un faux test de QI combine en fait
virus
,
rootkit
et
ver
dans une formule fatale.

BitDefender, a identifié une nouvelle menace informatique alliant le comportement destructeur des virus aux mécanismes de diffusion des vers, il existe deux variantes connues de ce virus, qui s'introduit dans l'ordinateur sous la forme d'un innocent test de QI.

Une fois exécuté, le ver crée entre sept et onze copies de lui-même (selon la variante) dans des zones sensibles du systéme de Windows.

"Win32.Worm.Zimuse.A" est un malware extrêmement dangereux.
Contrairement à la plupart des vers, "Win32.Worm.Zimuse.A" peut causer d'importantes pertes de données car il écrase les 50 premiers kilo-octets de la zone d'amorçage du disque dur (Master Boot Record) (une zone essentielle du disque dur).

Zimuse un virus qui endommage votre disque dur
envoyé par Eagle1.

Afin de s'exécuter à chaque amorçage de Windows, le ver définit l'entrée de registre suivante:

Citation:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]"Dump"="%programfiles%DumpDump.exe

Il crée également deux fichiers pilotes:

Citation:

%system%driversMstart.sys et %system%driversMseu.sys

Les versions 64 bits de Windows Vista et Windows 7 requérant des pilotes avec une signature numérique, le ver ne peut y installer ces fichiers.

Malheureusement, lors des premiéres étapes de l'infection, il est presque impossible aux utilisateurs de découvrir que leur systéme est victime d'une menace informatique.

Citation:

Suite à l'infection, aprés un certain nombre de jours (40 jours pour la variante A et 20 jours pour la variante B), l'ordinateur affiche un message d'erreur affirmant qu'un probléme a eu lieu en raison de contenu malveillant présent dans les paquets IP provenant d'une URL particuliére.

L'utilisateur est ensuite invité à restaurer le systéme en appuyant sur "OK".
Le redémarrage qui a lieu à la suite de ce message, endommage le disque dur de l'ordinateur en raison de la corruption du secteur d'amorçage.

Pour voir une vidéo présentant les étapes d'une attaque de Win32.Worm.Zimuse.A, veuillez cliquer ici.

Nous recommandons la plus grande vigilance aux utilisateurs lorsqu'il leur est demandé d'ouvrir des fichiers provenant d'emplacements inconnus.

Marc Blanchard, épidémiologiste et Directeur des Laboratoires Editions Profil pour BitDefender en France ajoute :

Citation:

"Le Worm Zimuse fait partie des malwares dit "hautement destructeur".
Il en existe peu en circulation, les hackers ayant plutôt tendance à exploiter les machines des utilisateurs de maniére invisible, mais ce type de menace est néanmoins émergent ces derniéres semaines.
Leurs principes de fonctionnement ne laissent aucune chance à l'utilisateur une fois la destruction programmée.

De plus, du fait que le secteur d'amorçage du disque dur "Master Boot Record" est touché, un reformatage dit de haut niveau ne suffira pas à retirer ce malware.

Il faudra, alors, procéder à un reformatage du disque dur dit "d'usine", ce qui n'est pas toujours évident à mettre en place pour un utilisateur standard.

Seule solution pour éviter ce type d'attaque, installer une protection antivirale proactive AVANT que le malware puisse opérer son action de destruction.

Gr‚ce à BitDefender Remove Zimuse, vous pourrez détecter si votre ordinateur est infecté par "Zimuse", et le désinfecté le cas échéant.

Télécharger BitDefender Remove Zimuse

secunews
31 janvier 2010

USA 11 Septembre 2001

Consacré aux hommes, aux femmes et aux enfants qui ont perdu leurs vies; ces personnes courageuses qui ont donné leurs vies et les Héros qui ont répondu à l’urgence du 11 septembre 2001. 2001 – 2018 17 ans

secunews
12 septembre 2001