Une nouvelle attaque au phishing semble faire rage depuis le début de la semaine, avec une fois n’est pas coutume, la réception d’un email Paypal vous informant que votre compte a été suspendu. Comme d’habitude le mail vous indique que votre compte est suspendu pour des raisons de sécurité et vous enjoint à vous connecter sur le site Paypal pour confirmer vos informations de facturation. Naturellement, le site en question récupère les identifiants et mot de passe ainsi saisis pour les exploiter frauduleusement.

Si cette attaque n’a rien de novateur dans son concept, il y a tout de même une particularité : le mail est entièrement rédigé en français, ce qui n’est pas une première mais reste relativement rare en règle générale. Il est de sucroît très proche du style adopté par Paypal pour ses communications officielles avec en prime des publicités pour Skype et eBay notamment. Seul détail qui cloche, l’email en question vous aiguille vers un site dont le domaine se termine en co.kr.

Quand un logiciel inconnu au bataillon, et gratuit de surcroit, vous promet monts et merveilles, il est de bon ton de prendre quelques précautions. Avec zCodec par exemple, qui vous promet une amélioration de 40% de la qualité de vos vidéos sans bourse délier, la prudence est de mise.

L’éditeur Panda Software confirme que le dénommé zCodec ne joue pas franc jeu : il s’agit, comme souvent, d’un « malware » se présentant sous un jour favorable pour inciter l’utilisateur à l’adopter. Une fois installé, zCodec est en effet susceptible de télécharger et d’installer des fichiers sous le manteau. Il peut également modifier la configuration des serveurs DNS utilisés pour l’accès à Internet ou – comme un bonheur ne vient jamais seul – ouvrir la porte à ses comparses rootkits, chevaux de Troie et autres spywares.

« zCodec est compresseur/décompresseur qui s’enregistre au sein de la collection des pilotes multimédia de Windows et s’intègre avec toutes les applications qui utilisent DirectShow et Microsoft Video pour Windows », explique le site dédié à la diffusion de zCodec.

Précisons, à toute fin utile, que l’installation d’un codec ne suffit pas à améliorer la qualité de contenus numériques tiers. Pour profiter des bénéfices d’un codec, il est nécessaire qu’une vidéo soit encodée à l’aide de ce logiciel. Prudence donc !

L’éditeur en sécurité Sophos vient de mettre à disposition des internautes un logiciel de détection des rootkits, ces programmes dissimulés qui permettent, entre autres, à un pirate de conserver un accès vers une machine infectée et de camoufler ses activités. Destinés aux utilisateurs de Windows, il est accessible ici.

La principale particularité du rootkit est qu’il est capable de se dissimuler assez profondément au coeur du système d’exploitation. Sa détection et son éradication sont alors difficiles. La plupart des logiciels antivirus permettent de prévenir leur installation, mais une fois installé, un rootkit passe souvent inaperçu. Le phénomène serait relativement courant puisque selon les chiffres publiés par Microsoft à partir des statistiques de son outil de suppression des logiciels malveillants, 14% des ordinateurs, soit près de une machine sur six, serait touchés par un rootkit.

Le logiciel Sophos Anti Rootkit dispose d’une interface graphique sommaire permettant de visualiser la localisation d’un éventuel fichier douteux. Compatible avec Windows 2000, XP et Serveur 2003, il peut également être lancé depuis une ligne de commande.

L’éditeur McAfee a publié hier un bulletin de sécurité relatif à un troyen, baptisé FormSpy, qui se fait passer pour une extension destinée au navigateur Firefox. FormSpy, un nom que l’on pourrait traduire par « l’espion (spy) des formulaires (form) », est capable de récupérer les informations personnelles entrées par l’utilisateur par le biais de son navigateur Web et de les expédier vers un site distant. Numéros de cartes de crédit ou mots de passes divers et variés font partie des informations susceptibles d’être dérobées par FormSpy, indique McAfee qui évoque également le vol de coordonnées POP3 (email) ou liées aux logiciels de messagerie instantanée comme ICQ.

Le risque serait toutefois relativement limité, dans la mesure où FormSpy a besoin, pour pouvoir être téléchargé et débuter ses sinistres activités, qu’un second élément logiciel, nommé Downloader-AXM, soit déjà présent sur la machine visée. Or ce dernier serait déjà détecté par l’antivirus de McAfee et l’on peut supposer que d’autres éditeurs l’ont déjà inclus à leurs listes de définitions de malwares. Plusieurs sites proposant le téléchargement de cette extension vérolée ont déjà été recensés. Une fois connecté à l’un d’entre eux, le navigateur proposerait donc automatiquement l’installation de l’extension NumberedLinks 0.9, pour introduire le troyen dans la machine.

Rappelons par ailleurs que la fondation Mozilla a livré hier la version 1.5.0.5 de son navigateur vedette, qui corrige un certain nombre de problèmes relatifs à la sécurité. La mise à jour est normalement proposée automatiquement aux utilisateurs de la version 1.5.0.x.

Symantec et F-Secure viennent de révéler la présence sur la Toile du premier virus se présentant sous la forme d’un rootkit et ne provenant pas des laboratoires de sécurités. Nommé Backdoor.Rustock.A ou Mailbot.AZ, il ne se propage pas rapidement, mais il utilise de nouvelles techniques qui le rendre indétectable lorsque l’on utilise des scans conventionnels.

Pour rappel, un rootkit est un logiciel de bas niveau qui a pour principe de ne pas être détecté par le système d’exploitation. Normalement, il faut que l’antivirus analyse les processus en cours d’exécution comme le ferait Windows Task Manager, puis il faut les recompter à un niveau plus bas, si le nombre ne change pas, alors la machine est exempte de rootkit. Néanmoins, Backdoor.Rustock.A ne peut être détecté de cette manière, car il se dissimule dans les threads du kernel et des pilotes. Il arrive aussi à reconnaître les fois où un antivirus est lancé afin de modifier son comportement afin de ne pas être repéré.

En fait son code change constamment et il est donc difficile de retirer ce virus du système, même si ce n’est pas impossible, puisque F-Secure et Symantec ont publié des mises à jour censées pouvoir contrecarrer Mailbot.AZ. Une chose est sûre, Microsoft a intérêt à se cramponner, ce virus a déjà infecté des systèmes tournant sur la bêta de Vista.

Les responsables de la suite bureautique gratuite et libre OpenOffice.org ont finalement réagi au sujet du « premier supposé virus » ciblant les utilisateurs d’OpenOffice et de StarOffice . Le groupe responsable d’OpenOffice ne considère pas ce programme « Macro » comme un véritable virus à part entière. Précisant que toutes les suites bureautiques autorisant l’exécution des Macro commandes pouvaient être concernées par ce type de création malveillante.

« La création de Macros est une fonctionnalité très utile dans les suites bureautiques, elle permet notamment aux utilisateurs d’automatiser de nombreuses tâches répétitives … Parmi ces tâches on peut effectivement signaler la suppression ou la modification de données, c’est pourquoi les Macros intéressent les créateurs de virus ». Les responsables de la suite OpenOffice insiste toutefois sur le fait que la suite prévient les utilisateurs de ces « risques potentiels », avant l’exécution de n’importe quel Macro.

Il a d’ores et déjà été précisé qu’aucune mise à jour liée à cette affaire ne verra le jour. Le « proof concept » d’un Macro virus n’est effectivement considéré comme un problème par les développeurs de la suite. D’autant plus que ce « Macro Virus » ne se réplique pas automatiquement et ne serait pas capable de se propager ou de se lancer sans l’intervention de l’utilisateur.

Le groupe OpenOffice se contente de rappeler aux utilisateurs de ne jamais accepter des fichiers et encore moins d’exécuter des Macros provenant de sources inconnues. Pour le moment, Kaspersky qui a découvert ce « premier Macro virus pour OpenOffice » n’a pas encore réagi à cette déclaration.