Actu News AntiVirus, AntiSpam, Cyber Criminalités


jeudi 27 septembre 2007

Les cyber-criminels ciblent désormais Symbian et MacOS

Lors de l'ISSE, Costin Raiu, directeur R&D de Kaspersky Labs met en garde les internautes contre des cyber-criminels mieux organisés et s'attaquant à de nouvelles plateformes, jusqu'ici considérées comme plus sures que les PC traditionnels.

Vous pensiez qu'il suffisait de protéger les PC de votre entreprise pour être en sécurité ? Détrompez vous, les cyber-criminels s'attaquent désormais à toutes les plateformes. « A l'heure actuelle, l'objet le plus sûr est la Nintendo Wii. Son usage en est limité, mais elle est garantie sans malware ou presque »

.../...

Kaspersky Administration Kit 6.0 certifié «Cisco Compatible»

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) annonce que la solution Kaspersky Administration Kit 6.0 a passé avec succès les tests de compatibilité avec l??application Cisco Trust Agent 2.1, composant de la solution Cisco NAC, et se voit attribué le certificat «Cisco Compatible».

Les tests se sont déroulés dans le laboratoire de la société de services AppLabs Technologies.

Kaspersky Administration Kit est un outil puissant et souple de mise en place d??un système unique de gestion de la protection antivirus de l??entreprise sur la base des applications de Kaspersky Lab.

Kaspersky Administration Kit offre une gestion centralisée du système de protection antivirus dans les réseaux d??entreprise les plus compliqués - jusqu??à plusieurs dizaines de milliers de n?uds et supporte également une administration à distance de bureaux décentralisés (agence et les utilisateurs nomades).

.../...

mercredi 26 septembre 2007

Les vers informatiques « storm worm » explosent..... :-(

Le 10 septembre dernier, à l'occasion du l'ouverture du Superbowl, un groupe de pirates informatiques a lancé la plus grande vague d'attaques utilisant la méthode « storm worm ». Cette technologie de piratage, apparue au début de l'année et de plus en plus pratiquée, permet d'asservir la puissance non utilisée des ordinateurs infectés.

« L'idée en soi n'est pas nouvelle, ils n'ont fait que reprendre le concept de puissance de calcul décentralisée, lancé il y a quelques années par le SETI (Search for Extraterrestrial Intelligence)», nous explique Marc Blanchard, responsable des recherches scientifiques antivirus de Kaspersky Lab. A l'époque il s'agissait d'utiliser la puissance non utilisée des ordinateurs personnels de volontaires, via un screensaver. « Ce que les pirates veulent, c'est disposer d'une énorme puissance de calcul, en parasitant un maximum de machines, transformées en PC zombie par le code malicieux qu'ils ont réussi à y introduire. »

.../...

Le SPAM : Définition & Explications

On parle du spam, de courriers indésirables, de publicités non-sollicité, etc... ces messages qui nous envahissent chaque jour. Essayons de comprendre les processus et les concepts de ces messages qui nous font perdre un temps fou !

Définition :

Un spam est un message que le créateur souhaite faire passer sur un ou plusieurs supports électroniques :

  • mail,
  • web,
  • messageries instantanées,
  • SMS,
  • MMS,
  • etc..

la suite dispo sur :

mardi 25 septembre 2007

Kaspersky Lab lance une nouvelle ressource Internet

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) annonce la mise en ligne de http://mobile.kaspersky.com/fr, un site sur-mesure pour les utilisateurs d??ordinateurs de poches et autres smartphones.

Les visiteurs du site http://mobile.kaspersky.com/fr trouveront toutes les informations nécessaires sur le logiciel Kaspersky Anti-Virus Mobile, programme spécialement conçu pour la protection des smartphones sous Symbian et Windows Mobile contre les programmes malicieux et les spams de SMS/EMS/MMS.

.../...

lundi 24 septembre 2007

H3C et Kaspersky Lab signent un accord OEM pour assurer un niveau de sécurité supérieur à la nouvelle génération de solutions H3C

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) a annoncé la signature d'un accord OEM avec l'un des principaux fournisseurs mondiaux de solutions de technologie IP, la société H3C.

Aux termes de cet accord, la société H3C va intégrer les technologies antivirales développées par Kaspersky Lab au sein de son architecture d'applications et offrira ainsi à ses clients des solutions de sécurité réseau avancées et des produits de prévention contre les cyber-menaces.

En tant que leader dans la fabrication de solutions d'infrastructure IP, la société H3C possède une gamme complète de produits de sécurité réseau comprenant des systèmes pare-feu/VPN(SecPath), des serveurs lames sécurisés, un système de prévention des intrusions (IPS) et un logiciel gestionnaire de la sécurité (SecCenter).

Kaspersky Lab apporte l??expertise et l??expérience de son équipe de recherche antivirale et le meilleur temps de réponse contre les nouvelles menaces cyber-criminelles.

« Le partenariat avec Kaspersky Lab permettra d'améliorer les performances des produits H3C en matière de sécurité, de réagir rapidement et de garder les réseaux de nos clients à l'abri des menaces. », a commenté Henry Tso, CTO de H3C.

« Nous sommes très satisfaits de démarrer ce partenariat OEM avec H3C. La plateforme ouverte d'applications de H3C repose sur une infrastructure IP standard. L'intégration d'applications logicielles d'autres éditeurs est facile. Nous pensons que ce modèle apportera de nombreux avantages aussi bien aux entreprises de petite ou moyenne taille qu'aux grandes organisations. », a déclaré Vitaly Bezrodnykh, Business Development Director de Kaspersky Lab.

samedi 22 septembre 2007

Kaspersky Hosted Security (KHS)

Kaspersky Lab, qui a dévoilé en début d??année un nouveau concept de sécurité pour les entreprises, Kaspersky Open Space Security (KOSS), va commercialiser prochainement sa propre offre de services d??externalisation, Kaspersky Hosted Security (KHS).

« Pour protéger l??entreprise contre les programmes malveillants et le spam, il n'est pas obligatoirement nécessaire d'installer en interne des solutions pour lesquelles il faut ensuite en assurer la maintenance. Nombreuses sont les organisations, de la TPE au grand compte, qui souhaitent éradiquer toutes formes de cyber-menaces et se prémunir contre les codes malicieux sans gestion lourde des coûts d??administration. Avec les services Kaspersky Hosted Security (KHS), les entreprises acquièrent une excellente sécurité informatique et augmentent la fiabilité de leur infrastructure tout en réduisant les coûts d??administration. »

.../...

La solution de service raKoonsKy utilise la technologie Kaspersky depuis octobre 2006

mardi 18 septembre 2007

Photographie Kaspersky Lab

Vous êtes à la recherche de photos Kaspersky ?

Regardez donc du coté du Kaspersky Club :-)

ou du cote de


Il faut toujours parler doucement :-)


L'actualité "virale" en live


Grand chez chef Indien Russe :-)

vendredi 14 septembre 2007

Kaspersky Lab remporte le prestigieux label CNET Editors?? Choice Award pour la deuxième année consécutive

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) obtient CNET Editors?? Choice award pour la solution Kaspersky Anti-Virus 7.0 sortie cet été. Cette récompense très prisée est décernée aux produits qui représentent le meilleur choix au niveau de la qualité, performance, design et service. Le logo CNET Editors?? Choice est une marque d??excellence indiquant aux consommateurs les meilleurs produits.

Les produits affichant un « CNET Editors?? Choice » sont reconnus comme supérieurs dans leurs catégories technologiques respectives, de plus ils contribuent à établir des standard selon lesquels les futurs produits seront évalués. Un des critères clés de la sélection est que le produit gagnant doit changer le paysage compétitif du marché que ce soit via des caractéristiques innovantes, un très bon rapport qualité prix, une grande facilité d??utilisation ou une autre valeur destinée à faciliter la vie des usagers.

.../...

Kaspersky des failles ou pas de failles ?

Elle fait la une de Rootkit.com, cette analyse détaillée des bugs du Kaspersky Antivirus 6/7. Des bugs, nous apprend l'auteur, qui sont de vieux classiques du genre, tellement vieux qu'ils ont déjà fait l'objet de correctifs chez Microsoft, il y a plus d'un an... c'est peu dire.


Kaspersky Antivirus one of the most technically modern antiviruses available today. It even can fight with several rootkit types, even when they are alive and kicking.

It features Proactive Defense module, a light HIPS implementation which should in theory protect computer from unknown threats by analyzing programs behavior and preventing programs from unauthorized actions.


Ce qu'il faut savoir sur cette vulnérabilité est la grande difficulté avec laquelle on peut l'exploiter.

Dans un premier temps, cette vulnérabilité ne peut fonctionner, que si et seulement si, Windows est ouvert !!! peu probable dans les versions XP/Vista!

A savoir qu'un partage réseau n'est pas suffisant. Il faut que l'administrateur du poste Windows permette non seulement un partage réseau, mais également le fait qu'une personne extérieure puisse exécuter des programmes à distance!

Chose qui, n'est évidemment pas autorisé par défaut lors des installations des OS Windows.

.../...

Bref, suite au collège que j'ai eu avec notre équipe de développeurs gérant les vulnérabilités, on peut dire que cette vulnérabilité est classée au niveau BAS.

Nous travaillons actuellement dessus et la mise à jour de KLIF.SYS sera effectuée de façon automatique sur KAV/KIS.

Donc pas de panique face à cet exploit, qui, je vois, commence à faire couler de l'encre !

mercredi 12 septembre 2007

Niveaux de Risque d'Epidémies Virales

Kaspersky Lab utilise trois niveaux de menaces: vert, signifiant que l'activité virale est normale ; orange, signifiant que le risque d'infection est plus élevé qu'à la normale ; et rouge signifiant que le danger d'infection est très élevé. Vert : l'activité virale est normale

L'activité virale est continue. Ce niveau signifie qu'il n'y a pas de nouvelles menaces à l'horizon et que les ordinateurs pourvus de bases antivirus mises à jour et de patchs récents sont en sécurité.


Vert : alerte informationnelle

Une alerte à titre d'information sera donnée:

  • Si l'envoi en masse d'un programme malicieux est détecté. Même si le programme en lui-même ne représente pas un grand danger, le mailing de masse peut mener à une sérieuse épidémie à cause du très grand nombre d'infections.
  • Si les analystes de Kaspersky Lab recoivent un échantillon d'un programme malicieux doté d'une fonctionnalité unique, ou un code de proof-of-concept, ou un programme qui n'est pas une menace directe mais possède un intérêt technique.

Orange: alerte moyenne

Ce niveau signifie qu'un programme malicieux spécifique peut représenter un danger même pour les machines équipées de patchs mis à jour et de protection antivirus. L'alerte orange sera donnée si:

  • Plus de 10 messages de détection ou d'infection par le programme malicieux sont envoyés par des internautes en l'espace de 4 heures
  • Si le programme malicieux est une nouvelle modification d'un programme ayant par le passé causé une sérieuse épidémie
  • Si le programme malicieux use d'une vulnérabilité critique ou de vulnérabilités dans Windows pour se propager

Rouge: alerte rouge

Ce niveau est le plus élevé et signifie qu'un programme malicieux se propage rapidement, représentant un véritable danger pour la majorité des systèmes. L'alerte rouge est donnée lorsque :

  • Un grand nombre d'infections (plusieurs centaines) sont détectées dans les 24 heures. Cela inclut aussi bien des échantillons qui arrivent indépendamment à Kaspersky Lab ou qui sont détectés chez des partenaires
  • Le programme malicieux est fortement présent dans le trafic Internet. Cette information provient des analystes de Kaspersky Lab et d'autres organisations majeures de recherche tels que MessageLabs, CERT et SANS
  • L'épidémie peut conduire à une perte de connexion (à court ou long terme, partielle ou totale) dans les segments Internet

La décision de publier une alerte est prise par les analystes viraux de Kaspersky Lab, qui traquent les logiciels malveillants 24h/24.

mardi 11 septembre 2007

Un vers se propage sur le réseau Skype et sa VoIP

Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.

Arrivée du malware

Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.

Activation du malware :

L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR. L'extension SCR, selon les operating systems est cachée.

Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.

Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.

la suite sur :

Alerte : un ver se promène sur Skype detecté par Kaspersky

Skype, éditeur du logiciel de VoIP, publie une alerte: un ver circule sur la Toile et menace les utilisateurs de la solution qui utilisent des OS Windows Publicité

Surnommé Ramex.a par un porte-parole de Skype, et Pykspa.d par les ingénieurs de Symantec ( *.Skipi.* par les analystes de chez Kaspersky ), le ver qui fait l'objet d'une alerte par Skype, utilise une méthode d'attaques connue.

Après avoir dérobé la liste des contacts de l'utilisateur infecté, ce ver diffuse des messages instantanés qui contiennent un lien Internet.

Les contacts qui cliquent sur le lien, qui se présente comme une image JPG, sont immédiatement infectés.

.../...



A VOS M.A.J., ne pas oublier que Kaspersky à une fréquence de mise à jour de plus ou moins 1h, voire même en dessous d'une heure

Informations

  • Fréquence moyenne des mises à jour (7 derniers jours) : 40mn 29s
  • Date de la dernière mise à jour des bases : 11/09/2007 à 16:48:10
  • Nombre de définitions dans les bases standards : 387891
  • Nombre de définitions dans les bases étendues : 413146
  • Taille actuelle de la mise à jour par le Daily.zip: 936.92 Ko



NB : le virus est connu et detecté par Kaspersky, il ce nomme : Worm.Win32.Skipi.* ( a priori aucun rapport avec le Kangourou :-) ) sauf si..., merci Marc

La fraude dans les jeux en ligne, ou comment prendre les joueurs à l'hameçon

Tout le monde aime jouer. Certains font du sport, d'autres risquent de l'argent et pour d'autres, la vie est un jeu. Les jeux d'ordinateur font désormais partie de notre quotidien, avec des millions d'utilisateurs. Certains préfèrent Tetris, d'autres choisissent Counter Strike, mais tous y prennent le même plaisir.

Le développement d'Internet a donné naissance à un nouveau type de jeux d'ordinateur : il est possible de participer depuis n'importe quel ordinateur, avec des milliers ?? parfois des dizaines de milliers ?? de joueurs tout autour du monde. Dans l'univers du MMMORPG (de l'anglais Massive Multiplayer Online Role Playing Game), habituellement désigné « jeu en ligne », des utilisateurs se rencontrent, se lient d'amitié, combattent côte à côte, abattent des monstres, affrontent leur destinée virtuelle ?? et jouent sans cesse, encore et toujours...

Mais dans cet univers tout n'est pas aussi beau et les démons virtuels prennent pied dans la réalité. Les utilisateurs de jeux en ligne sont bien réels et, parmi les joueurs, on rencontre aussi des voleurs et des faussaires qui gagnent de l'argent en s'attaquant à la propriété virtuelle d'autres personnes.

Dans cet article nous essaierons d'expliquer comment des mots de passe ou des biens virtuels peuvent être volés sur les MMORPG, et comment ces actes malveillants sont perpétrés contre les joueurs.

   * Les jeux
   * Le piratage
   * Le vol
   * Le vol des mots de passe dans les jeux en ligne
         o Ingénierie sociale
         o Exploitation des vulnérabilités du serveur de jeux
         o Utilisation de logiciels malveillants
   * L'évolution des logiciels voleurs de mots de passe
         o Chevaux de Troie
         o Vers et virus
   * Les techniques d'auto-défense des logiciels prédateurs de jeux en ligne
   * Comment se déroule une attaque moderne
   * Considérations géographiques
   * Quelques statistiques
   * Conclusion

lundi 10 septembre 2007

eBay dans le collimateur de Kaspersky

Dans une interview récemment accordée à silicon.fr, le Directeur de Kaspersky Lab en France, Stéphane Le Hire, déclarait que le site de vente aux enchères eBay était dans la ligne de mire de l'éditeur moscovite, car selon le spécialiste, :

" on peut y acheter des numéros d'activation des logiciels Kaspersky, à des prix qui atteignent presque le tarif d'une version originale. "

Le directeur des Labs de l'éditeur russe rapportait également avec humour le cas d'un client belge ayant téléphoné à l'éditeur pour lui signaler des problèmes sur une version achetée sur eMule...

dimanche 9 septembre 2007

Kesako un virus ?

" Un virus, en fait c'est un programme qui infecte d'autres programmes existants. Le ver c'est celui qui se propage par exemple par la messagerie, de boites aux lettres en boites aux lettres, de courrier en courrier. Quant au cheval de Troie, c'est une sorte de bombe logique, c'est à dire qu'il ne se propage pas mais on va cliquer dessus et il va alors soit ouvrir une porte, soit faire une action malicieuse contre la machine donc peut être une destruction. "

Marc Blanchard

Kaspersky Internet Security 7.0 / Anti-Virus 7.0

Kaspersky Internet Security 7.0


Kaspersky Anti-Virus 7.0

Virus compagnon

Les virus compagnons sont un type de virus de fichiers classiques qui ne modifient pas le fichier hôte. Au lieu de ça ils créent un fichier copie contenant le virus. Lorsque le fichier infecté est lancé, la copie contenant le virus sera exécutée en premier.

Cette catégorie inclut les virus qui renomment le fichier hôte, enregistre le nouveau nom en tant que future référence et ensuite écrase le fichier original. Par exemple, un virus peut transformer notepad.exe en notepad.exd et écrire son propre code sur le fichier comportant le nom d'origine. Chaque fois que l'utilisateur de la machine victime lance notepad.exe, le virus sera éxécuté avec le fichier Notepad original, notepad.exd étant exécuté par la suite.

Virus polymorphes

Les virus polymorphes tentent d'échapper à la détection antivirus en modifiant leurs modèles d'octets pour chaque infection, aussi l'antivirus ne peut rechercher de constantes séquences d'octets. Certains de ces virus utilisent aussi différentes techniques de scripts à chaque infection.

Le terme polymorphe vient du grec qui signifie ' plusieurs formes ' et a été appliqué pour désigner les premiers virus polymorphes apparus au début des années 1990.

Les auteurs de virus utilisent encore de nos jours le polymorphisme plus souvent avec les vers et les textes dynamiques de spams mais moins fréquemment avec les virus classiques.

Virus furtif

Les virus furtifs tentent de duper les scanners antivirus en présentant des données saines lors de l'analyse antivirus. Certains de ces virus exposent une version saine du fichier infecté lors du scanning. D'autres virus furtifs cachent la nouvelle taille du fichier infecté et expose la taille du fichier avant infection.

Ver

Synonymes: Ver informatique, Ver de messagerie, Ver Internet, Ver de réseau

Les vers sont des programmes informatiques qui se répliquent mais qui n'infectent pas d'autres fichiers. Les vers d'aujourd'hui utilisent tous les moyens possibles de reproduction y compris les LANs, l'Internet, les emails, les channels IRC, les réseaux de partage de fichiers, les téléphones mobiles et autres canaux de transport d'information.

Ces dernières années les vers ont fait des ravages dans le monde entier : en encombrant les canaux Internet et en faisant tomber les serveurs, en servant de moyens de transport aux attaques de DoS, transportant des Trojans et autres.

Le terme ver a été crée par un auteur scientifique John Brunner dans sa nouvelle Shockwave Rider (L'onde de Choc) en 1975. Le héros, un programmeur talentueux, crée des programmes informatiques capables de se dupliquer et qui se frayent leur chemin à travers un réseau mondial.

Spyware

Les spyware sont une classe de programmes malicieux qui inclue tout programme qui collecte et transmet de l'information sur un système informatique à l'insu de son propriétaire.

Cette classe de malware inclus tous les Trojans, les enregistreurs de frappe, etc. Le spyware arrive sur les machines de l'utilisateur caché dans le freeware ou comme payload d'un ver ou d'un virus.

En plus de problèmes de confidentialité, le spyware use de la bande passante et peut provoquer des plantages de système s'il est mal écrit.

Social engineering

Le Social engineering repose uniquement sur l'interaction humaine, c'est-à-dire que cette technique s'attache à pousser l'internaute à franchir les barrières normales de sécurité.

Les auteurs de virus et les spammeurs dépendent fortement du déguisement de leur malware et les spams de messages innocents. Ils prétendent souvent lutter contre toute forme de cyber crime qui est sur le point d'être commis. L'objectif est que l'utilisateur réponde, c'est-à-dire qu'il clique sur un fichier attaché à un email infecté, sur un lien allant vers un site corrompu, qu'il réponde à une fausse annulation d'inscription:la liste est interminable.

SMTP

Synonymes: Simple Mail Transfer Protocol

SMTP - Simple Mail Transfer Protocol. Aujourd'hui c'est le moyen le plus utilisé pour l'envoi de mails sur Internet.

Virus Classique

Synonymes: Virus informatique, Programme malicieux, Virus classique

Un virus est un programme ou un code capable d'infiltrer des systèmes, disques ou fichiers individuels sans que l'utilisateur soit au courant ou consentant. Une fois que le virus a atteint sa cible, la suite des évènements dépend du type de virus mais peut comporter :

  • Une réplication uniquement sur le système infecté donné
  • Infection d'autres fichiers lors de leur ouverture ou de leur création
  • Suppression ou corruption des données dans les fichiers/systèmes hôtes
  • La consommation de ressources sans causer de dommages directs

Aujourd'hui le terme de virus désigne les virus classiques et, est un terme générique pour les programmes malicieux comprenant les virus, les trojans etc.

POP3

Synonymes: Post Office Protocol

POP -Post Office Protocol. Un protocole email qui stocke les messages entrants sur un serveur en attendant que l'internaute se connecte et télécharge sur la machine locale.

Port

Synonymes: Port TCP/IP

Les ports sont des points d'entrées pour la transmission de données matérielles. Les ports sur des ordinateurs personnels assure la communication entre les lecteurs internes et externes et les appareils tels que lecteur de disque, moniteurs, claviers, modems, imprimantes et autres périphériques.

En même temps, le terme port est utilisé pour des points d'entrée logiques des données transmises via TCP/IP et UDP. Le port 80 est souvent utilisé par les protocoles TCP et UDP pour les données HTTP. Les auteurs de virus ciblent des ports spécifiques pour leurs attaques par virus et vers. Les Trojan backdoors ouvrent les ports à l'insu de l'utilisateur donnant ainsi un accès à distance au propriétaire du Trojan sur la machine victime.

Il n'y a encore pas si longtemps les ordinateurs étaient pourvus de ports parallèles et de série (ou COM). Les ports de série transfèrent les données 1 bite à la fois, pendant que les ports parallèles transfèrent les données un octet à la fois. Les deux fonctionnaient plutôt bien jusqu'à ce que les flux de données deviennent beaucoup plus importants et que l'internaute nécessite plus d'appareils pour travailler efficacement et sereinement.

Les ports USB (Universal Serial Bus) autorisent jusqu'à 127 appareils connectés sur un seul ordinateur et les données n'en soient pas moins transmises rapidement. La plupart des ordinateurs et des périphériques sont désormais équipés de ports USB et de systèmes de connections.

Phishing

Forme de cyber crime et/ou fraude reposant sur des techniques de social engineering. Le nom est la fusion de 'fishing' qui veut dire pêche, et 'phreaking' qui désigne le piratage de lignes téléphoniques.

Le criminel crée de toutes pièces une réplique parfaite d'une institution financière ou d'un site web commercial. Le criminel va ensuite à la ' pêche ' : une lettre est envoyée sous forme de spam dont l'adresse est faussée afin d'imiter une vraie correspondance en provenance de l'institution commerciale ciblée. Les phishers utilisent de vrais logos, un style correct de correspondance d'affaires et des noms appartenant pour de vrai aux cadres exécutifs.

Dans tous les cas, toutes ces lettres poursuivent le même objectif : duper le client et le faire cliquer sur le lien contenu dans la lettre. Les liens fournis par les phishers conduisent directement les utilisateurs à une imitation du site web ou le ' poisson ' malchanceux procède à la confirmation de ses données personnelles et bancaires.

Patch

Synonymes: Pack de maintenance

Les patchs sont des codes supplémentaires destinés à corriger une faille dans les applications ou systèmes d'exploitation. La plupart des éditeurs ne révèlent pas le code source, aussi les patchs ne sont généralement que des bouts de code binaire à insérer dans les fichiers exécutables sur le système à patcher.

Le terme ' patcher ' revient à télécharger et installer les correctifs fournis par les éditeurs. Les corrections elles-mêmes sont nommées différemment selon leur taille ou leur importance : les corrections mineures sont généralement appelées des patchs alors que les plus conséquentes sont appelées service ou packs de maintenance.

Patcher est une part intégrante de la sécurité de l'ordinateur puisque les vulnérabilités dans les applications et systèmes d'exploitations courants sont les cibles préférées des auteurs de virus et des hackers. Il est crucial de patcher à temps. A l'heure actuelle le délai entre l'édition d'un patch par les vendeurs principaux tels que Microsoft et les épidémies de malware exploitant la vulnérabilité donnée est d'environ d'une semaine.

Relais ouvert

Synonymes: Open relay

Un relais ouvert désigne les serveurs de messagerie qui autorisent le passage de mails venant d'utilisateurs non admis. Ce que ne font pas la plupart des serveurs de messagerie et des sociétés qui sont au fait des risques de sécurité encourus.

Malheureusement il y a toujours suffisamment de serveurs relais ouverts sur l'Internet pour que les spammeurs et hackers les utilisent pour envoyer du malware et du spam.

Mise à jour des bases antivirus

L'efficacité des solutions antivirus dépend des bases de données de définitions de virus. Ces bases sont dynamiques par nature étant donné la constante activité des auteurs de virus. Pour exemple, les analystes viraux de Kaspersky Lab détectent et ajoutent 100 nouvelles menaces quotidiennement à la base antivirus.

Les programmes antivirus sont devenus de plus en plus sophistiqués au fil des années afin de contrer la complexité croissante des programmes malicieux. Des mécanismes de protection proactifs, heuristiques, conçus pour détecter les nouvelles menaces avant qu'elles n'apparaissent dans la nature offrent une première ligne de défense importante.

Néanmoins, une mise à jour régulière de la protection antivirus est plus importante que jamais étant donné la rapidité à laquelle les menaces actuelles sont capables de se propager. Les éditeurs d'antivirus ont réduit l'intervalle entre les mises à jour de signatures de trimestriellement à mensuellement et finalement à quotidiennement. Désormais, Kaspersky Lab fournit les mises à jour de définitions virus toutes les heures.

Menace mixte

Les menaces mixtes sont des groupements de programmes malicieux qui combinent les fonctionnalités de différents types de malware : virus, vers, Trojans etc.

Les applications et systèmes d'exploitation ainsi que les produits de sécurité étant devenus très sophistiqués, les auteurs de virus ont répliqué en créant des programmes malicieux toujours plus complexes.

Un programme malicieux doit regrouper les critères suivants pour être considéré comme une menace mixte :

  • Avoir plus de un payload - lancer une attaque de DoS, installer une backdoor, endommager un système local etc.
  • Répliquer et/ou se propager de différentes manières - via email, channels IRC, réseaux de partage de fichiers, téléchargement de ses copies depuis des sites corrompus
  • Déployer de multiples méthodes d'attaques - infecter des fichiers exe, modifier plus d'une clé d'enregistrement, modifier des fichiers HTML etc

Keylogger

Synonymes: Keystroke logger

Utilisé par un cyber-criminel pour obtenir des données confidentielles (compte d'utilisateurs, numéros de cartes bancaires, mots de passe etc.) en interceptant les frappes au clavier. Les Backdoor Trojans (Trojans de porte dérobée) sont généralement dotés d'un keylogger intégré; les données personnelles interceptées sont transmises au malfaiteur à distance et peuvent être exploitées pour obtenir de l'argent illégalement, ou un accès non autorisé à un réseau.

Faux positif

Synonymes: Fausse détection

Quand est ce qu'un virus n'en est pas un ? Lorsqu'il s'agit d'un faux positif ! Un faux positif est lorsqu'un programme antivirus considère par erreur un fichier innocent comme étant infecté.

Même si cela semble mineur, les faux positifs peuvent être une véritable nuisance :

  • Les ressources système sont sollicitées pour scanner et reporter le supposé code malicieux
  • Temps perdu par l'utilisateur à chercher et arrêter le soi-disant virus
  • Les emails de retard que l'utilisateur ne peut pas lire pendant que l'antivirus tente de stopper le virus
  • Temps perdu à des tentatives futiles de désinfecter des fichiers infectés ainsi que les backups qui sont également marqués comme ' infecté '.

En bref, les faux positifs sont des nuisances coûteuses.

Pare-feu

Synonymes: Firewall

Un pare-feu est une barrière entre l'utilisateur final, en entreprise ou particulier, et les systèmes informatiques externes. Les pare-feux contrôlent les flux entrants et sortants de données et les ports. L'objectif est de bloquer tous les paquets de données et requêtes qui ne correspondent pas à des paramètres pré-définis.

Dans un environnement réseau, les pares-feux sont utilisés pour protéger le périmètre externe et les frontières entre les réseaux et les groupes d'utilisateurs.

La plupart des entreprises d'aujourd'hui utilisent des pares-feux dynamiques : ces pares-feux contrôle l'état des connections du réseau. Les administrateurs créent des listes de paquets de données légitimes pour chaque connection. Le pare-feu autorise uniquement les paquets qui correspondent aux connections et rejette toutes les autres.

Les pare-feux personnels protègent les particuliers contre les attaques de hackers et des données potentiellement corrompues envoyées par Internet.

Fichier exécutable

Synonymes: Fichiers EXE, Fichiers PE EXE

Un fichier exécutable est un programme au code binaire prêt à être exécuter par l'ordinateur sans intervention humaine.

Les extensions de fichiers les plus répandues pour des formats exécutables Windows sont .exe, .com, .dll, .bat. Un fichier exécutable qui est dynamiquement lié à un autre programme est appelé une bibliothèque de liaison dynamique.

Les fichiers Windows Portable Executable (PE) sont de simples fichiers exécutables qui fonctionnent sur tous les systèmes d'exploitation Microsoft 32-bytes, ce qui explique pourquoi la majorité du malware visant Windows est écrit sous ce format.

Sur Unix, les fichiers exécutables sont marqués d'un drapeau de permission spécial dans les attributs de fichiers.

Exploit

Le terme exploit (à prononcer explo-ite) désigne un programme ou un morceau de code voire même des données dont le but est de profiter d'un bug ou d'une vulnérabilité dans une application ou un système d'exploitation. A la suite de quoi, un attaquant accède à des privilèges non sanctionnés sur une machine ou un réseau victime avec pour objectif d'obtenir les pleins pouvoirs de l'administrateur.

Les exploits sont souvent déterminés une fois qu'ils ont utilisé les vulnérabilités pour infiltrer des systèmes : dépassement de mémoire tampon, concurrence critique, attaque de type ' format string ' et cross site scripting (CSS).

Les experts en sécurité et les auteurs de virus sont engagés dans une course sans fin pour trouver les vulnérabilités en premier : la communauté de la sécurité écrit des patchs pendant que l'informatique underground écrit des exploits.

Désassembleur

Les désassembleurs sont des utilitaires qui servent à transformer un code binaire en code assembleur c'est-à-dire en données textuelles du code de la machine. Les programmeurs utilisent ces utilitaires pour débugger des programmes. Les analystes viraux utilisent les désassembleurs pour rendre lisible les versions des codes malicieux. En d'autres mots, les analystes viraux doivent avoir la possibilité de désassembler des fichiers viraux avant de pouvoir identifier le virus, alors que les hackers et auteurs de virus font leur possible pour protéger leurs oeuvres contre les désassembleurs.

Clé de Registre

Microsoft utilise des clés pour stocker les clés de configuration dans l'environnement Windows. La valeur de ces clés est modifiée à chaque fois qu'un nouveau programme est installé ou que les paramètres de configuration sont modifiés.

Les programmes malicieux change souvent les valeurs de leurs clés ou bien en créent de nouvelles pour s'assurer que le code sera exécuté au moment et à la manière choisie par le l'auteur de virus. Ces changements ne garantissent pas seulement que le code malicieux sera exécuté mais nuisent souvent à l'ordinateur hôte également.

Chiffrement

Le chiffrement est une technique à double tranchant dans le monde informatique actuel. Les particuliers et les entreprises l'utilisent pour protéger leurs communications légitimes alors que les auteurs de virus chiffrent les programmes malicieux pour les masquer des produits antivirus.

Les méthodes modernes de chiffrement légitime impliquent que l'expéditeur et le destinataire aient des clés compatibles : une clé partagée par deux personnes ou plus, ou une clé publique pour tous les expéditeurs et une clé privée pour le destinataire.

Les auteurs de virus utilisent le chiffrement pour masquer le code afin que les scanners antivirus ne puissent pas le détecter. Dans ce cas, étant donné que les destinataires n'ont pas de clé pour décrypter le virus, l'algorithme de déchiffrement est inclus dans le code du virus.

Chevaux de Troie

Synonymes: Trojans, Troyens

Les chevaux de Troie ou trojans sont des programmes malicieux qui endommagent le système hôte lors de leur installation. La différence principale entre les virus, les vers et les chevaux de Troie est que ces derniers ne se dupliquent pas.

Ils ont été dénommés ainsi car de la même façon que les grecs ont utilisé un cheval apparemment innocent pour conquérir Troie, le premier cheval de Troie électronique prétendait être un jeu ou une application innocente, alors qu'il endommageait l'ordinateur hôte après son installation.

Aujourd'hui les Trojans sont programmés pour être installer de manière invisible et mener des actions destructrices y compris la corruption de l'ordinateur hôte, de manière invisible là aussi.

Les chevaux de Troie sont divisés en plusieurs sous-classes englobant les backdoors, les logiciels espions, les droppers, downloaders et bien d'autres encore.

Vulnérabilité

Synonymes: Faille, Brèche

Une vulnérabilité (universelle) est un état dans un système informatique (ou ensemble de systèmes) qui peut soit :

  • Autoriser un attaquant à exécuter des commandes au même titre qu'un utilisateur
  • Autoriser un attaquant à accéder à des données contrairement aux règles restrictives d'accès à ces données
  • Autoriser un attaquant à masquer son identité
  • Autoriser un attaquant à mener une attaque par déni de service*

Les hackers et auteurs de virus exploitent régulièrement les vulnérabilités pour collecter des données confidentielles afin de prendre le contrôle des machines victimes pour un usage illicite ultérieur.

Blacklists

Synonymes: Listes noires

En référence au spam, les listes noires sont des listes de sources connues de spams :

  • spammeurs
  • adresses connues expéditrices de spams
  • ISP spammeurs
  • relais ouverts

Les blacklists sont une des méthodes employées par les filtres anti-spams pour bloquer les spams. Plusieurs blacklists open source (au code source libre) sont accessibles au public et les internautes peuvent ajouter des informations sur la blacklist locale.

L'aide apportée par les blacklists obligent les ISP (Internet Service Provider) à contrôler leur courrier sortant : si un ISP est mis sur blacklist, alors tous les emails en sa provenance seront retournés, ce qui peut entraîner de sérieures pertes financières.

Bit

"Bit" est la contraction de ' binary digit '. Bits sont les plus petites unités de mesure pour les données informatiques. La base d'un bit est 2. Les chiffres d'un bit en numérotation binaire ne peuvent être que 0 ou 1.

Une bande passante, ou la vitesse à laquelle l'information circule est habituellement mesurée en bits par seconde.

Huit bits sont nécessaires pour créer un caractère alphabétique ou numérique appelé une byte. Attention donc à ne pas confondre bit et byte. Un Kilobyte (KB) est constitué de 8,192 bits ou 1024 bytes, alors qu'il faut 8388608 bits or 1048576 bytes pour obtenir un mégabyte (MB).

Attaque de DoS

Synonymes: Attaque de DDoS

Les attaques par ' Denial of Service ' (Deni de Service) ont pour but de perturber ou de stopper complètement le fonctionnement d'un site web, d'un réseau, d'un serveur, ou d'autres ressources. Les hackers et auteurs de virus utilisent différentes méthodes d'attaque de DoS. Les attaques de DoS ont pour but de charger les serveurs de requêtes continues jusqu'à ce que le serveur réponde de plus en plus lentement au point que les utilisateurs abandonnent ou bien que les serveurs tombent totalement.

Les hackers dirigent occasionnellement les attaques de DoS vers des sociétés données pour des raisons idéologiques. Alors que les auteurs de virus professionnels penchent plus pour l'extorsion de fonds avec des attaques vers des business on line.

Une attaque par Distributed Denial of Service attack (DDos), autrement dit, déni de service distribué, diffère de DoS uniquement par la méthode. Une Dos est réalisée à partir d'un ordinateur ou d'un serveur, alors qu'un DDoS est une DoS organisée à partir d'un grand nombre de machines ou de serveurs simultanément.

Archiveur

Les archiveurs sont des programmes réalisant des compressions de fichiers en archives. Winzip est sans aucun doute l'archiveur le plus connu dans le monde. En fait nombreux sont ceux qui associent le fait de zipper un fichier et l'archiver, même lorsqu'ils utilisent un autre archiveur que Winzip.

Les formats d'archives les plus populaires sur le marché sont ZIP, RAR, ARJ et CAB. Le format CAB est souvent utilisé pour archiver les applications distributives MS Windows.

On trouve de nombreux programmes d'archives sur le marché mais les plus familiers restent WinZip, WinRar, 7ZIP etc. La plupart d'entre eux sont capables de créer des fichiers ZIP, en plus du format initial qu'ils sont capables de créer.

Ces derniers temps, les auteurs de virus archivent des fichiers contenant des virus, et incluent le mot de passe protégeant les archives avant de les attacher à des emails. Les destinataires pensent qu'un fichier archivé protégé par un mot de passe est sûr et ouvre le fichier attaché.

Adware

Synonymes: AdvWare

Le adware englobe tous les programmes qui affichent des publicités sur les écrans des internautes, souvent des banners, indépendamment de l'activité du user. Ce type de logiciel est souvent installé sur les machines victimes depuis des sites à distance sans que l'utilisateur soit au courant voire consentant.

Nombreux sont les programmes gratuits sur Internet porteurs de adware. Le adware continuera de nuire même si le programme qui l'accompagne vient à être fermé ou supprimé.

Théoriquement, le adware n'est pas dangereux, mais c'est une nuisance ainsi qu'une perte de temps et de ressources système. De plus, tout software installé et lancé sur un ordinateur sans le consentement de l'utilisateur représente une menace potentielle.

jeudi 6 septembre 2007

Blog de Marc Blanchard Virus Docteur

Bonjour,

Je m'appelle Marc Blanchard, je suis chercheur en virus informatiques. Mon travail consiste à effectuer des recherches épidémiologiques sur les techniques intégrées dans les codes malicieux qui polluent nos ordinateurs.

L'idée de ce blog est de publier des MP3, Video et comptes-rendus de recherches.

Bonne Lecture,

Marc

Marc Blanchard is responsible for the European Virus Research Center, which undertakes real-time monitoring of the virus situation in Europe, and also conducts research into antivirus technology. In addition to his duties as head of the Center, Marc is also developing the technical support network for France.

Les Egenes et nous !!!

Un egène est un code malicieux mobile, mais mobile sous plusieurs formes aussi bien au niveau de leurs mobilités dans un réseau qu??au niveau de son propre code.

Nous parlons des réseaux Zombies.

Mais que savons nous de leurs:

  • Activités ou de leurs objectifs
  • Méthodes de fonctionnement - Géolocalisations - Durées de vie - Modélisations - Interactions sur internet - Stabilités

.../...

L'éditeur Zango débouté en faveur de Kaspersky Lab

Dans son verdict, la cour de Washington DC a donc tranché en faveur de Kaspersky, rejetant l??action en justice entreprise par la société Zango, concepteur de logiciels publicitaires (adwares).

Le juge Coughenour a rejeté la demande de Zango qui voulait que sa solution soit cataloguée comme étant "sûre" et a ainsi déchargé Kaspersky Lab de toute responsabilité conformément au "Communications Decency Act."

Zango avait attaqué Kaspersky en justice afin que la solution du groupe moscovite arrête de bloquer l'installation de son logiciel.

Selon Kaspersky : "ce jugement protège le droit du consommateur à choisir quels logiciels doivent être installés sur son ordinateur, et autorise les éditeurs de solutions antivirales à identifier et à indiquer les programmes potentiellement indésirables et nuisibles à l??internaute."

.../...

Kaspersky savoure sa victoire sur Zango

"Cela va servir de précédent et faire jurisprudence" explique Stéphane Le Hir, Directeur de Kaspersky Lab en France...

Hier 5 septembre 2007, la cour de Washington DC a tranché en faveur de l'éditeur russe dans une affaire l'opposant à la société Zango.

Rappels des faits, l'éditeur Zango souhaitait que sa solution soit cataloguée comme étant "sûre" alors que pour l'éditeur de sécurité le setup.exe de Zango est un riskware, c'est-à-dire un logiciel potentiellement dangereux.

La justice américaine, par l'intermédiaire du juge Coughenour a déchargé Kaspersky Lab de toute responsabilité conformément au "Communications Decency Act" considérant donc comme juste et légale, la décision de Kaspersky de classifier l'application proposée par Zango comme étant un risque potentiel pour ses utilisateurs.

.../...

Dernier point lié au piratage, le plagiat des antidotes. D'après Le Hire, le problème prend de l'ampleur. Des sociétés comme ClamAV, sont suspectées de copier les mises à jour et les signatures des ingénieurs des Labs de Kaspersky pour les redistribuer via des solutions gratuites. Curieusement, les faux positifs signalés par le staff de Kaspersky se répètent chez de nombreux petits éditeurs.

mardi 4 septembre 2007

Top 20 des virus de courrier - août 2007

  1. Deux nouveaux codes malicieux font leur entrée dans le Top 20 : Email-Worm.Win32.Womble.a, Trojan-Downloader.Win32.Agent.brk
  2. En hausse dans le classement : Email-Worm.Win32.NetSky.q, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.aa, Net-Worm.Win32.Mytob.c, Email-Worm.Win32.Mydoom.l, Exploit.Win32.IMG-WMF.y, Net-Worm.Win32.Mytob.t, Email-Worm.Win32.NetSky.b, Email-Worm.Win32.NetSky.x, Email-Worm.Win32.Scano.gen, Net-Worm.Win32.Mytob.u,
  3. En baisse dans le classement : Email-Worm.Win32.NetSky.t, Email-Worm.Win32.Womble.d, Virus.Win32.Grum.a
  4. De retour dans le classement : Net-Worm.Win32.Mytob.dam, Net-Worm.Win32.Mytob.bt

Top 20 Online Scanner - août 2007

  1. Quatre nouveaux codes malicieux font leur entrée dans le Top 20 : not-a-virus:Monitor.Win32.Perflogger.ca, Backdoor.Win32.Bifrose.aci, Trojan.Win32.Agent.asu, Trojan-Spy.Win32.Ardamax.e
  2. En hausse dans le classement : Packed.Win32.PolyCrypt.b, Trojan.Win32.Dialer.qn, not-a-virus:PSWTool.Win32.RAS.a, Email-Worm.Win32.Rays.
  3. En baisse dans le classement : Backdoor.Win32.IRCBot.acd, Trojan-Downloader.Win32.Small.eqn, Virus.VBS.Small.a
  4. De retour dans le classement : Email-Worm.Win32.Brontok.q , Trojan-Spy.Win32.Bancos.aam, Trojan-Spy.Win32.Delf.uv, IM-Worm.Win32.Sohanad.t, not-a-virus:Monitor.Win32.Perflogger.ad, Trojan.Win32.Obfuscated.en
Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
Eur'Net RCS Evreux / B 414 642 058 - Mentions Légales
Dernière mise à jour : 29/04/13