Netactualité - Virus et Troyens

Ver Storm : le poisson d'avril

lotusss — Thu, 03 Apr 2008 17:04:00 +0200

Le 1er avril est l'occasion aussi de publier une nouvelle variante du ver Storm, connu pour se diffuser par mail, en se faisant passer pour un lien « sympa » vers une carte électronique. Une fois téléchargé, le ver définit une exception de firewall afin de s'infiltrer dans le système de l'utilisateur.

La variante « poisson d'avril » du ver Storm a notamment été détectée par PC Tools. Pour Kurt Baumgartner, responsable du département des menaces chez l'éditeur, « Le code qu'utilise Storm pour son virus du poisson d'avril diffère relativement de celui utilisé habituellement. Les moyens les plus efficaces pour se protéger de ces nouvelles menaces restent les produits anti-malwares qui utilisent la technologie comportementale. En effet, les produits traditionnels antivirus, basés sur la détection de signature, ne peuvent assurer à eux seuls une protection complète des systèmes informatiques ». Le site Secuser.com a également répertorié la menace sous la dénomination Dorf.BA. Le détail de l'alerte peut être consulté sur cette page.

Le cheval de Troie qui modifie les pubs AdSense

lotusss — Fri, 28 Dec 2007 14:25:00 +0100

L'éditeur BitDefender a lancé le 17 décembre dernier une alerte relative à un cheval de Troie capable de modifier le contenus des liens sponsorisés du programme AdSense de Google, de façon à entraîner l'internaute vers les sites de son choix.

Google AdSense est un programme publicitaire, accessible à tous, qui affiche sur votre site des publicités contextuelles, dont le contenu est censé entretenir un rapport avec le contenu de vos pages. L'affichage des publicités se faitau moyen de quelques lignes de code fournies par Google et combinant HTML et JavaScript. C'est l'exécution de ce code qui lance un appel vers les serveurs de Google afin de déterminer quelles sont les publicités à afficher après analyse du contenu.

Ce cheval de Troie, baptisé Trojan.Qhost.WU, opère une modification sur le fichier « hosts » des systèmes d'exploitation. A chaque tentative de connexion vers un serveur distant, ce fichier est consulté afin de vérifier qu'une adresse IP n'est pas déjà associée à un nom de domaine, avant qu'une requête soit envoyée aux serveurs DNS qui se chargent habituellement de la redirection des internautes. Aujourd'hui inutile, ou presque, le fichier hosts n'est plus guère utilisé que pour interdire l'accès à certains sites, dans le cadre par exemple d'un contrôle parental.

Ici, le fichiers hosts est modifié de façon à ce que le script AdSense n'appelle pas les serveurs de Google (pagead2.googlesyndication.com) mais le serveur de l'attaquant, à partir duquel celui-ci diffusera le message de son choix.

L'affaire est ennuyeuse pour Google, bien sûr, mais également pour les internautes que cette usurpation met en danger, ainsi que pour les annonceurs et webmasters qui font confiance au programme publicitaire du numéro un mondial des moteurs de recherche. Ce cheval de Troie ne semble cependant pas opposer de résistance aux programmes de désinfection les plus courants.

Attention au spam PDF malicieux !

lotusss — Sun, 11 Nov 2007 10:19:00 +0100

Les spammeurs n'auront finalement pas trop tardé pour tirer profit de la faille présente dans les précédentes versions d'Acrobat Reader. Ainsi, un spam qui s'est bien répandu dans les boîtes aux lettres électroniques présentait il y a quelques jours un fichier PDF bien particulier. Ce fichier nommé « report.pdf » prenait la forme d'un pseudo relevé de compte bancaire.

Si ce fichier était ouvert sur des machines vulnérables, il se chargeait de télécharger un malware depuis des serveurs distants placés en Malaisie et en Suède. Depuis, ces serveurs ont été fermés. Toutefois, cette première opération pourrait inspirer d'autres spammeurs... Surtout que les fichiers PDF ne sont généralement pas filtrés / stoppés par les antispam, contrairement aux fichiers malicieux au format .exe...

Il est donc plus que conseillé d'installer la dernière version d'Adobe Reader (Acrobat) qui corrige la faille en question (voir Acrobat Reader : Adobe corrige la faille sur le PDF). Evitez également d'ouvrir les fichiers PDF suspects provenant de sources que vous ne connaissez pas.

Les spammeurs utilisent même Youtube

lotusss — Mon, 22 Oct 2007 20:21:00 +0200

Les spammeurs ne sont jamais à court d'idées quand il s'agit de polluer les boîtes électroniques. Dernièrement, des spammeurs ont ainsi utilisé une mini-faille dans le service de partage vidéo de Google : Youtube. Grâce à son utilisation, ils ont effectivement réussi à envoyer des publicités non-sollicitées avec comme adresse de l'expéditeur service@youtube.com.

Les spammeurs cherchent ainsi à abuser de la confiance de l'internaute en faisant passer pour une source jugée « saine » (Youtube dans le cas présent). Pour cela, ils contournent le module du service de vidéo qui permet d'inviter un ami sur Youtube en lui envoyant un email. Elle permet, en outre, de passer au travers des filtres antispam puisque l'adresse service@youtube.com apparait comme une adresse tout à fait légitime.

En attendant une probable réaction de Youtube, il est conseillé de ne pas trop se fier aux messages en provenance de « service@youtube.com »...

Firefox + Internet Explorer = faille ?

webmaster — Wed, 01 Aug 2007 10:25:28 +0000

Selon des chercheurs en sécurité, il semblerait que l'utilisation conjointe sur un même système d'Internet Explorer et de Firefox v2.00 puisse donner lieu à une vulnérabilité à haut risque. Le problème soulevé se produirait en naviguant sur un site malintentionné depuis Internet Explorer, site qui utiliserait l'identifiant de ressource "firefoxurl://" enregistré par Firefox pour interagir avec certaines ressources du web et compromettre ainsi la machine.

Alors que les premiers rapports sur cette faille incriminaient la dernière mise à jour de sécurité d'Internet Explorer, il semblerait qu'au final Internet Explorer et Firefox soit tous les deux coupables. Selon le directeur de sécurité de Symantec, Oliver Friedrichs, les deux applications sont responsables : « Vous avez deux logiciels très complexes qui ne s'entendent pas très bien et peuvent être à l'origine d'un problème de sécurité. Les composants seuls sont sûrs mais pas lorsqu'ils sont ensemble. ». Selon le chercheur Thor Larholm, chercheur en sécurité : « Firefox est le vecteur actuel de l'attaque mais Internet Explorer est en cause pour ne pas supprimer certains caractères qu'il passe en ligne de commande. ».

Nous avons donc un Firefox coupable d'enregistrer dans Windows une nouvelle ressource d'exécution sans plus de précaution alors qu'Internet Explorer est coupable de ne pas filtrer convenablement le contenu qu'il exécute. En attendant un éventuel correctif, il est toujours possible de supprimer l'objet "Firefox URL" de son système d'exploitation pour se prémunir de tout problème.

Encore un virus qui joue les correctifs de sécurité

webmaster — Fri, 13 Jul 2007 10:24:03 +0000

La méthode n'est pas franchement inédite, mais elle reste suffisamment pernicieuse pour que bon nombre d'internautes risquent de se laisser abuser. D'après l'éditeur en sécurité informatique Sophos, il circulerait actuellement sur le Web des courriers électroniques se faisant passer pour des alertes de sécurité Microsoft, qui viseraient en réalité à assurer la promotion de substances comme le Viagra ou le Cialis, bien connues des internautes victimes de spam.

Présentés comme une communication officielle émanant de Microsoft sous le titre de « Microsoft Security Bulletin MS07-0065 », ces courriers invitent l'internaute à se rendre sur le site de l'éditeur par l'intermédiaire d'un lien hypertexte. Celui-ci ne les mènera pas vers le service de mises à jour de Microsoft, mais vers une page infectée par un ver de type troyen - ou cheval de Troie, identifié par Sophos sous la référence Behav-112. Pour plus d'efficacité, les auteurs de l'attaque ont bien évidemment habillé leur courrier aux couleurs de Microsoft et déguisé leur lien sous une adresse qui ressemble à celle d'un site de l'éditeur.

Les habitués ne s'y tromperont sans doute pas, mais ce type d'attaque vise bien sûr des personnes peu au fait des pratiques des éditeurs en matière de sécurité, qui pourraient trouver parfaitement normal que Microsoft les prévienne par courrier de l'existence de mises à jour et ne pas prêter attention à une formulation hasardeuse ou à une adresse Web quelque peu étrange. Si vous recevez cet email, inutile de préciser qu'il est préférable d'immédiatement le supprimer.

Le troyen qui aimait Skype

webmaster — Sat, 31 Mar 2007 15:32:17 +0000

La firme en sécurité Websense lance cette semaine un avertissement relatif à une nouvelle menace informatique qui circule au moyen du logiciel de voix sur IP Skype. Cette variante du troyen Warezov/Stration circulerait sur le réseau depuis le début du mois de mars. Tout commence, comme souvent, par un soudain message instantané, invitant le destinataire à aller visiter un lien donné.

Pris au jeu, l'utilisateur se rendra sur une page qui lui proposera le téléchargement d'un fichier anodin dans lequel se cache un logiciel espion de type troyen. Une fois installé, celui-ci se chargera d'envoyer une requête vers un serveur distant afin de signaler l'infection d'une nouvelle machine. Dans le même temps, il utilisera la version de Skype installée localement pour envoyer à tous les contacts de l'utilisateur le lien vers la page qui l'héberge. Ces derniers croiront ainsi recevoir un message de la part de l'un de leurs correspondants habituels, et pourraient donc être tentés de cliquer sur le lien.

Ce troyen, détecté par la plupart des logiciels anti-virus, n'altèrerait pas le logiciel Skype proprement dit, et pourrait être éradiqué simplement. Toutefois, certains se laisseront sans doute abuser. Prudence donc, si vous recevez à l'improviste des messages vous enjoignant d'aller visiter telle ou telle page sans raison particulière

Alerte phishing au Crédit Agricole

webmaster — Tue, 13 Mar 2007 20:51:09 +0000

Le Crédit Agricole fait l'objet depuis le 1er mars d'une attaque de phishing en règle. De nombreux internautes ont pu recevoir ces derniers jours un courrier électronique semblant émaner de cette banque et leur demandant, sous couvert de problèmes techniques, d'aller confirmer leurs coordonnées sur son site. Le message, rédigé en français, est accompagné d'un lien dont l'adresse cible ressemble à celle de l'une des déclinaisons régionales du Crédit Agricole. Ce dernier ne conduit toutefois pas vers l'un des sites officiels de la banque, mais vers un fac-similé qui servira les desseins frauduleux des auteurs de l'attaque.

Les internautes clients du Crédit Agricole qui auraient été abusés par ce courrier et auraient fourni leurs informations bancaires au site frauduleux sont invités à prendre contact avec leur agence le plus rapidement possible. Comme toujours, rappelons à nos lecteurs qu'une banque ou un établissement financier ne vous demandera jamais de modifier ou de confirmer vos coordonnées par email. Par ailleurs, il est fortement recommandé de ne jamais utiliser les liens contenus dans un courrier électronique pour se rendre sur le site de sa banque, mais de toujours saisir manuellement l'adresse de ce dernier dans son navigateur.

Enfin, précisons que certaines opérations de phishing sont menées de façon suffisamment habile pour que les sites frauduleux apparaissent bien placés dans les moteurs de recherche. Il est donc, là encore, nécessaire de se comporter prudemment, et de toujours rentrer soi-même les adresses sensibles, pour limiter les risques de contrefaçon.

Plus d'infos ici

Blog, forum, webmail : le virus Storm Worm

webmaster — Mon, 05 Mar 2007 15:37:53 +0000

Le virus/ver Storm Worm va sans aucun doute faire parti des menaces numériques qui auront marqué l'année 2007. Ce virus/ver s'est particulièrement bien propagé en début d'année via les messageries mails, transformant de très nombreux ordinateurs en PC zombies et relais pour le Spam.

Aujourd'hui, des experts en sécurité mettent en garde les internautes quant à l'arrivée d'une nouvelle variante de ce virus/ver. Particulièrement malicieuse, cette nouvelle mouture de Storm Worm resterait « silencieuse » sur un PC infecté. Son objectif serait d'insérer des liens du type « Have you seen this link ? » (as-tu vu cela ?) dans les blogs, les forums et Webmail utilisés par l'utilisateur de la machine infectée.

Le lien en question ferait mine de conduire vers une vidéo, en réalité il enverrait directement l'internaute vers un site Web vérolé qui se chargerait d'infecter les machines non protégées. Cette variante contiendrait un code générique, compatible avec bon nombre de forums, webmails et autres plateformes de blogs.

Les experts en sécurité se disent soucieux de l'arrivée de cette nouvelle menace. Bon nombre d'utilisateurs savent désormais qu'ils ne doivent pas cliquer sur les liens suspects qu'ils reçoivent par email, mais ne se doutent pas que la menace peut désormais venir aussi des liens placés sur les blogs, les webmail et autres forums... Il est donc conseillé d'éviter de cliquer sur les liens « racoleurs » de ce type, par ailleurs il est plus que recommandé d'installer un logiciel d'antivirus à jour sur sa machine. Evitez aussi, à tout prix, de lancer les fichiers que vous avez téléchargé depuis un lien ou un site Web suspect.

Précisons, pour terminer, que cette variante serait également capable de se propager à l'aide de lien envoyé par messagerie instantanée. Prudence donc si vous recevez un message inhabituel et suspect via votre messagerie instantanée (MSN Messenger, Yahoo Messenger, ...) que la personne soit donc dans vos contacts ou non !

Nouvelle attaque au phishing Paypal en français

webmaster — Tue, 06 Feb 2007 20:46:32 +0000

Une nouvelle attaque au phishing semble faire rage depuis le début de la semaine, avec une fois n'est pas coutume, la réception d'un email Paypal vous informant que votre compte a été suspendu. Comme d'habitude le mail vous indique que votre compte est suspendu pour des raisons de sécurité et vous enjoint à vous connecter sur le site Paypal pour confirmer vos informations de facturation. Naturellement, le site en question récupère les identifiants et mot de passe ainsi saisis pour les exploiter frauduleusement.

Si cette attaque n'a rien de novateur dans son concept, il y a tout de même une particularité : le mail est entièrement rédigé en français, ce qui n'est pas une première mais reste relativement rare en règle générale. Il est de sucroît très proche du style adopté par Paypal pour ses communications officielles avec en prime des publicités pour Skype et eBay notamment. Seul détail qui cloche, l'email en question vous aiguille vers un site dont le domaine se termine en co.kr.

zCodec : le malware qui améliorait les vidéos

webmaster — Mon, 18 Sep 2006 15:07:23 +0000

Quand un logiciel inconnu au bataillon, et gratuit de surcroit, vous promet monts et merveilles, il est de bon ton de prendre quelques précautions. Avec zCodec par exemple, qui vous promet une amélioration de 40% de la qualité de vos vidéos sans bourse délier, la prudence est de mise.

L'éditeur Panda Software confirme que le dénommé zCodec ne joue pas franc jeu : il s'agit, comme souvent, d'un « malware » se présentant sous un jour favorable pour inciter l'utilisateur à l'adopter. Une fois installé, zCodec est en effet susceptible de télécharger et d'installer des fichiers sous le manteau. Il peut également modifier la configuration des serveurs DNS utilisés pour l'accès à Internet ou - comme un bonheur ne vient jamais seul - ouvrir la porte à ses comparses rootkits, chevaux de Troie et autres spywares.

« zCodec est compresseur/décompresseur qui s'enregistre au sein de la collection des pilotes multimédia de Windows et s'intègre avec toutes les applications qui utilisent DirectShow et Microsoft Video pour Windows », explique le site dédié à la diffusion de zCodec.

Précisons, à toute fin utile, que l'installation d'un codec ne suffit pas à améliorer la qualité de contenus numériques tiers. Pour profiter des bénéfices d'un codec, il est nécessaire qu'une vidéo soit encodée à l'aide de ce logiciel. Prudence donc !

Sophos offre un détecteur de rootkits pour Windows

webmaster — Sun, 27 Aug 2006 14:24:09 +0000

L'éditeur en sécurité Sophos vient de mettre à disposition des internautes un logiciel de détection des rootkits, ces programmes dissimulés qui permettent, entre autres, à un pirate de conserver un accès vers une machine infectée et de camoufler ses activités. Destinés aux utilisateurs de Windows, il est accessible ici.

La principale particularité du rootkit est qu'il est capable de se dissimuler assez profondément au coeur du système d'exploitation. Sa détection et son éradication sont alors difficiles. La plupart des logiciels antivirus permettent de prévenir leur installation, mais une fois installé, un rootkit passe souvent inaperçu. Le phénomène serait relativement courant puisque selon les chiffres publiés par Microsoft à partir des statistiques de son outil de suppression des logiciels malveillants, 14% des ordinateurs, soit près de une machine sur six, serait touchés par un rootkit.

Le logiciel Sophos Anti Rootkit dispose d'une interface graphique sommaire permettant de visualiser la localisation d'un éventuel fichier douteux. Compatible avec Windows 2000, XP et Serveur 2003, il peut également être lancé depuis une ligne de commande.

Un troyen joue les extensions pour Firefox

webmaster — Wed, 02 Aug 2006 14:51:10 +0000

L'éditeur McAfee a publié hier un bulletin de sécurité relatif à un troyen, baptisé FormSpy, qui se fait passer pour une extension destinée au navigateur Firefox. FormSpy, un nom que l'on pourrait traduire par « l'espion (spy) des formulaires (form) », est capable de récupérer les informations personnelles entrées par l'utilisateur par le biais de son navigateur Web et de les expédier vers un site distant. Numéros de cartes de crédit ou mots de passes divers et variés font partie des informations susceptibles d'être dérobées par FormSpy, indique McAfee qui évoque également le vol de coordonnées POP3 (email) ou liées aux logiciels de messagerie instantanée comme ICQ.

Le risque serait toutefois relativement limité, dans la mesure où FormSpy a besoin, pour pouvoir être téléchargé et débuter ses sinistres activités, qu'un second élément logiciel, nommé Downloader-AXM, soit déjà présent sur la machine visée. Or ce dernier serait déjà détecté par l'antivirus de McAfee et l'on peut supposer que d'autres éditeurs l'ont déjà inclus à leurs listes de définitions de malwares. Plusieurs sites proposant le téléchargement de cette extension vérolée ont déjà été recensés. Une fois connecté à l'un d'entre eux, le navigateur proposerait donc automatiquement l'installation de l'extension NumberedLinks 0.9, pour introduire le troyen dans la machine.

Rappelons par ailleurs que la fondation Mozilla a livré hier la version 1.5.0.5 de son navigateur vedette, qui corrige un certain nombre de problèmes relatifs à la sécurité. La mise à jour est normalement proposée automatiquement aux utilisateurs de la version 1.5.0.x.

Le premier virus en rootkit

webmaster — Wed, 02 Aug 2006 14:13:22 +0000

Symantec et F-Secure viennent de révéler la présence sur la Toile du premier virus se présentant sous la forme d’un rootkit et ne provenant pas des laboratoires de sécurités. Nommé Backdoor.Rustock.A ou Mailbot.AZ, il ne se propage pas rapidement, mais il utilise de nouvelles techniques qui le rendre indétectable lorsque l’on utilise des scans conventionnels.

Pour rappel, un rootkit est un logiciel de bas niveau qui a pour principe de ne pas être détecté par le système d’exploitation. Normalement, il faut que l’antivirus analyse les processus en cours d’exécution comme le ferait Windows Task Manager, puis il faut les recompter à un niveau plus bas, si le nombre ne change pas, alors la machine est exempte de rootkit. Néanmoins, Backdoor.Rustock.A ne peut être détecté de cette manière, car il se dissimule dans les threads du kernel et des pilotes. Il arrive aussi à reconnaître les fois où un antivirus est lancé afin de modifier son comportement afin de ne pas être repéré.

En fait son code change constamment et il est donc difficile de retirer ce virus du système, même si ce n’est pas impossible, puisque F-Secure et Symantec ont publié des mises à jour censées pouvoir contrecarrer Mailbot.AZ. Une chose est sûre, Microsoft a intérêt à se cramponner, ce virus a déjà infecté des systèmes tournant sur la bêta de Vista.

L'avis d'OpenOffice sur le ' virus macro '

webmaster — Thu, 08 Jun 2006 21:26:59 +0000

Les responsables de la suite bureautique gratuite et libre OpenOffice.org ont finalement réagi au sujet du « premier supposé virus » ciblant les utilisateurs d'OpenOffice et de StarOffice . Le groupe responsable d'OpenOffice ne considère pas ce programme « Macro » comme un véritable virus à part entière. Précisant que toutes les suites bureautiques autorisant l'exécution des Macro commandes pouvaient être concernées par ce type de création malveillante.

« La création de Macros est une fonctionnalité très utile dans les suites bureautiques, elle permet notamment aux utilisateurs d'automatiser de nombreuses tâches répétitives ... Parmi ces tâches on peut effectivement signaler la suppression ou la modification de données, c'est pourquoi les Macros intéressent les créateurs de virus ». Les responsables de la suite OpenOffice insiste toutefois sur le fait que la suite prévient les utilisateurs de ces « risques potentiels », avant l'exécution de n'importe quel Macro.

Il a d'ores et déjà été précisé qu'aucune mise à jour liée à cette affaire ne verra le jour. Le « proof concept » d'un Macro virus n'est effectivement considéré comme un problème par les développeurs de la suite. D'autant plus que ce « Macro Virus » ne se réplique pas automatiquement et ne serait pas capable de se propager ou de se lancer sans l'intervention de l'utilisateur.

Le groupe OpenOffice se contente de rappeler aux utilisateurs de ne jamais accepter des fichiers et encore moins d'exécuter des Macros provenant de sources inconnues. Pour le moment, Kaspersky qui a découvert ce « premier Macro virus pour OpenOffice » n'a pas encore réagi à cette déclaration.

Premier virus pour OpenOffice et StarOffice ?

webmaster — Sat, 03 Jun 2006 21:22:52 +0000

Des chercheurs en sécurité de Kaspersky et de Trend Micro viennent semble-t-il de découvrir le premier virus « théoriquement capable » d'affecter les suites bureautiques OpenOffice.org et StarOffice, la première dérivant de la seconde, mise au point par Sun MicroSystems. Ce « proof of concept » baptisé Stardust et écrit en langage StarBASIC, exploite les macros des deux suites concernées. Transmis par l'intermédiaire d'un email comportant un document OpenOffice ou StarOffice en pièce jointe, il télécharge lors de son ouverture une photo d'une célèbre actrice de X et l'ouvre dans un nouveau document.

Les virus « proof of concept » sont généralement créés par des chercheurs pour démontrer l'existence d'une faille de sécurité et échafauder des hypothèses sur la façon dont des personnes mal intentionnées pourraient en profiter. Stardust se contente de télécharger et d'ouvrir une image pornographique, mais la faille qu'il utilise pourrait vraisemblablement être utilisée à des fins plus agressives.

Sun, qui édite la suite StarOffice et soutient le projet OpenOffice.org, n'a pas encore commenté cette découverte. Si cette annonce démontre la possibilité de tirer parti de certaines vulnérabilités dans le code de ces deux suites bureautiques, il n'y a pas lieu de s'alarmer dans la mesure où ces failles ne sont pas exploitées à l'heure actuelle. Elles démontrent cependant l'intérêt croissant des chercheurs, comme des pirates informatiques, pour des univers qui jusqu'ici paraissaient relativement épargnés, les virus étant traditionnellement destinés aux produits Microsoft, Windows et Office en tête.

Le virus qui se faisait passer pour un correctif

webmaster — Sat, 03 Jun 2006 21:15:11 +0000

Surfant sur la vague du phishing et autres usurpations d'identité, des pirates se sont mis en tête de propager leur code malicieux en le faisant passer pour un correctif de sécurité provenant de Microsoft, une méthode déjà employée à plusieurs reprises.

Grâce aux techniques de « spoofing », l'email donne l'impression d'avoir été envoyé depuis une adresse de confiance : patch@microsoft.com, bien qu'en réalité, il émane probablement d'un réseau de PC zombies. Ce courrier propose à l'utilisateur d'installer un correctif de sécurité censé combler une faille de sécurité dans le composant WinLogon de Windows. A défaut de réparer une vulnérabilité, le logiciel téléchargé se chargera d'infecter la machine visée à l'insu de son utilisateur.

En effet, Microsoft indique qu'il n'y a pas de faille connue dans WinLogon et « conseille aux utilisateurs d'ignorer l'email circulant actuellement », en précisant qu'il n'a pas été envoyé par ses soins. L'éditeur indique se livrer à une enquête pour mettre fin à cette menace qui ne vise bien évidemment que ses clients. C'est aussi l'occasion de rappeler que Microsoft ne prévient pas des mises à jour de sécurité par email, et n'envoie surtout pas directement les correctifs par ce biais. Il est donc conseillé de passer par le logiciel Windows Update ou de se connecter directement au site de Microsoft.

Le ver qui installait son propre navigateur

webmaster — Tue, 23 May 2006 22:30:23 +0000

Les chercheurs du FaceTime Security Labs viennent d'indiquer la découverte de ce qui constitue, à leur connaissance, le premier ver informatique capable d'installer son propre navigateur sur la machine infectée pour berner l'utilisateur. Ce ver, baptisé yhoo32.explr, se propage via la messagerie instantanée de Yahoo! et affecte Windows.

Une fois entré, yhoo32.explr installe son propre navigateur sur la machine, qu'il appelle sans malice aucune « Safety Browser », soit navigateur sécurisé. Ce dernier reprend l'icône utilisée par Internet Explorer, pour que l'utilisateur distrait lance plus facilement le logiciel et se présente d'ailleurs comme une surcouche d'Internet Explorer. Le ver va également modifier certains paramètres dans la base de registre pour que le navigateur de Microsoft s'ouvre par défaut, comme le « Safety Browser », sur un site nommé DemoPlanet. Les contenus proposés, des publicités aux liens hypertextes, y sont évidemment plus qu'hasardeux.

Yhoo32.explr s'arrange également pour qu'un son soit lancé en boucle à chaque démarrage du PC et tourne pendant un laps de temps défini aléatoirement. Enfin, il trouve moyen de se répliquer à destination de l'ensemble du carnet d'adresses Yahoo! Messenger.

Liens sponsorisés vecteurs de malwares .

webmaster — Tue, 16 May 2006 13:52:54 +0000

Une étude publiée par l'éditeur spécialisé en sécurité informatique McAfee révèle que les liens sponsorisés que l'on trouve dans les moteurs de recherche seraient des moyens de diffusion privilégiés des programmes malveillants (les malwares). En effet, environ 8,5% des liens sponsorisés proposés à l'internaute suite à une requête conduiraient à un site susceptible de cacher un code malveillant, contre seulement 3,1% des liens organiques (les résultats courants retournés par le moteur).

Les chercheurs de McAfee considèrent même que sur certaines requêtes populaires comme « free screensavers » (économiseurs d'écran gratuits), « singers » (chanteurs) ou « digital music » (musique numérique), jusqu'à 72% des résultats retournés contiennent des liens de nature dangereuse. Les liens sponsorisés feraient donc maintenant pleinement partie des techniques employées par les éditeurs peu scrupuleux pour propager leurs logiciels malveillants, estime McAfee.

Pour mémoire, les liens sponsorisés sont les publicités qui apparaissent dans les pages de résultat des moteurs de recherche ou dans les programmes de type Google AdSense, pour lesquels des mots clé sont vendus aux enchères. L'utilisation de ces techniques publicitaires, qui requièrent l'authentification de l'annonceur, n'avaient jusqu'ici pas tellement été utilisées à des fins malveillantes mais McAfee semble penser que cette époque est révolue.

Pour McAfee, cette évolution serait consécutive aux mesures prises par les moteurs de recherche pour éradiquer de leurs résultats organiques les sites susceptibles de présenter un danger pour l'internaute. Ils se montreraient en revanche beaucoup moins regardants vis-à-vis des sites qui utilisent les programmes de liens sponsorisés.

L'étude s'est intéressée aux moteurs de recherche les plus populaires aux Etats-Unis de janvier à avril 2006. Elle constate que, tous liens confondus, Ask.com retourne le plus grand nombre de résultats à risque avec 6,1% devant Google et AOL (5,3%), Yahoo! (4,3%) et MSN Search avec 3,9%. Elle conclut sur la nécessité d'une alliance entre les moteurs de recherche et les spécialistes de la sécurité pour que l'une des principales occupations des internautes, la recherche d'informations, puisse se faire sans risque majeur.

Ransom A : le troyen qui demandait une rançon

webmaster — Fri, 05 May 2006 13:54:47 +0000

Découvert par le spécialiste en sécurité informatique Sophos, le troyen Ransom-A menace sa victime de détruire un fichier toutes les 30 minutes sur sa machine jusqu'à ce qu'elle ait accepté de verser une rançon de 10,99 dollars au pirate à l'origine de l'attaque. Aussi incongru que cela paraisse, ce type d'attaques n'est pas une première et Sophos a même trouvé un qualificatif pour ce type de menace informatique : les « ransomwares ».

En mars dernier, l'éditeur avait déjà mis la main sur un troyen capable de crypter les données contenues sur la machine de l'utilisateur, et proposant de les décrypter en échange d'un virement de 300 dollars. La dernière trouvaille en date de Sophos est moins subtile, puisqu'il est ici question de destruction pure et simple, et moins exigeante, puisqu'elle se contente d'un peu plus de 10 dollars. La menace n'est qu'à moitié mise à éxécution puisque les données supprimées sont en réalité camouflées et cryptées sur le disque dur.

Après quelques images de nature pornographique, Ransom-A finit selon Sophos par afficher un message menaçant à sa victime : « Ecoute moi, enfo**é. Cet ordinateur est-il important ? Il vaudrait mieux qu'il ne le soit pas. Est-ce un ordinateur d'entreprise ? Il ne vaudrait mieux pas (..) », avant d'expliquer que des fichiers vont disparaitre tant qu'un code de désactivation n'a pas été entré. Pour obtenir ce code, il suffit simplement de transférer 10,99 dollars au pirate responsable de l'attaque via Western Union. Afin de déstabiliser encore plus la victime et lui ôter toute espoir de régler la situation, Ransom-A affiche un message moqueur lors du recours à la combinaison de touches CTRL + ALT + SUPPR.

De façon assez insolite, l'auteur de Ransom-A propose même une assistance par email à ses victimes qui éprouveraient des difficultés à le désinstaller après s'être acquitté de la rançon ! Plus sérieusement, de la même façon que les attaques de phishing s'appuient sur la naïeveté de certains internautes peu au fait des usages sur Internet, cette tentative de rançon par troyen interposé montre que les pirates ne sont jamais à court d'idées.