Actu News AntiVirus, AntiSpam, Cyber Criminalités


mardi 13 janvier 2009

Net-Worm.Win32.Kido, un ver polymorphe, se propage à grande échelle. - Statut : risque moyen

Kaspersky Lab a identifié de nombreuses variantes de Kido, un ver polymorphe qui se propage à grande échelle.

Net-Worm.Win32.Kido exploite une vulnérabilité critique (MS08-067) de Microsoft Windows pour se propager via les réseaux locaux et supports amovibles.

Le ver désactive le système de restauration, bloque l'accès aux sites web de sécurité informatique et télécharge des programmes malveillants sur les machines infectées.

Nous recommandons fortement aux utilisateurs de s'assurer que leurs bases de signatures sont mises à jour. Un correctif est disponible sur le site de Microsoft.

Une description détaillée de Net-Worm.Win32.Kido.bt ainsi que les instructions pour supprimer ce malware sont disponibles ici.

lundi 27 octobre 2008

Les seniors et internet : comment se protéger pour surfer en toute tranquilité?

Dans un contexte où les seniors sont de plus en plus présents sur le Net, quelles sont les risques spécifiques (pourriels, etc.) et les pratiques les plus courantes auxquels ils peuvent être confrontés ? Et quelles sont les parades ?

  • Les menaces cyber criminelles sont désormais protéiformes. Certaines visent notamment à entraîner les internautes vers des sites dangereux, à partir desquels les cyber délinquants dérobent facilement des données confidentielles.

.../...

On sait que de plus en plus d??internautes seniors s??informent grâce au Web. Mais on sait également qu??ils restent encore réticents à effectuer des achats en ligne ? Quelles sont les solutions pour payer sans crainte sur un site Internet ?

  • Une majorité de fraudeurs recherche l??obtention de coordonnées bancaires avec nom d??utilisateur et mot de passe. Une nouvelle tendance se développe avec le vol d??identité (numéro de sécurité sociale, par exemple). Ces informations dérobées sont revendues à des spammeurs et des escrocs qui vident plusieurs centaines de comptes en quelques heures.

.../...

D??une manière plus générale, quelles sont les pratiques ou outils indispensables pour surfer sans risque ?

  • Lorsque l??internaute surfe sur Internet, il faut absolument qu??il dispose d??une suite de sécurité éditée par un professionnel (bannir les solutions gratuites, trop aléatoires dans les mises à jour et le suivi des versions). Une suite de sécurité permet de vérifier automatiquement si l??ordinateur est exposé à un risque cyber criminel. C??est d??autant plus important que les seniors surfent jusqu??à trois fois plus longtemps chaque jour en comparaison de la présence moyenne des autres familles d??internautes.

.../...

jeudi 7 août 2008

Trojan-Downloader.Win32.Small.aafh et autres "bestioles"

attention aux emails que vous pouvez recevoir, exemple d'un email exploitant la crédulité des "web surfeurs"


Subject: Internet Explorer 7
From: admin@microsoft.com <xxxx@domaine.tld>

Download the latest version!



About this mailing: You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.

©2008 Microsoft | Unsubscribe | More Newsletters | Privacy

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052


Ce type d'email vous invite à télécharger une nouvelle version de Internet Explorer 7. Ne cliquez surtout pas sur le lien de téléchargement : " Download the latest version! "

Si vous cliquez, vous serez dirigé non pas sur le site de Microsoft mais sur un site infecté par un pirate avec une adresse du genre "http://www.cefxxxxx.com/images/update.exe ". Le fichier que vous téléchargerez est infecté par Trojan-Downloader.Win32.Small.aafh virus

Si vous avez une licence Kaspersky à jour, vous êtes protégé de ce genre de codes, sinon..... il vous suffit d'installer une KIS

Dans tous les cas, NE CLIQUEZ JAMAIS SUR UN LIEN DOUTEUX.

Si vous avez une KHSS Web Security vous avez ce genre de message d'alerte :


Access Denied

The web resource http://boating-xxxxxxxxxxx.com/update/update.exe has been deemed by your administrator to be unsafe or unsuitable for you to access. The resource has been blocked. No further action is required.

Reason: Trojan-Downloader.Win32.Small.aafh


A vos mises à jours :-)

samedi 2 août 2008

Kaspersky Lab détecte de nouveaux vers s??attaquant à MySpace et Facebook

De nouveaux vers ciblent les usagers de MySpace et Facebook

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) a identifié deux variantes d??un nouveau ver, Networm.Win32.Koobface.a et Networm.Win32.Koobface.b qui ont pris pour cible MySpace et Facebook. La charge malicieuse de ces vers transforment les machines victimes en PC zombies qui contribuent à la formation de botnets.

Même si les vers infectent en ce moment seulement les usagers de MySpace et Facebook, les experts de Kaspersky Lab mettent en garde les utilisateurs car ces vers sont conçus pour télécharger des modules malicieux dotés d??autres fonctionnalités via Internet. Il est fort probable que les PCs victimes ne seront pas seulement exploités pour propager des liens via des sites de réseaux sociaux, mais les botnets seront également utilisés dans des buts malicieux tiers.

Net-Worm.Win32.Koobface.a se propage lorsqu??un usager accède à son compte MySpace. Le ver crée une série de commentaires dans les comptes d??amis. Net-Worm.Win32.Koobface.b, qui cible les usagers de Facebook, génère quant à lui des spams et les envoie aux amis de l??utilisateur infecté via le site de Facebook. Les messages et commentaires incluent des textes du style Paris Hilton lance un nain dans la rue ; Bonjour, tu dois absolument voir ça !!! LOL. Un des mes amis t??a filmé en caméra caché ; Est-ce vraiment une célébrité ? Situations marrantes et beaucoup d??autres.

.../...

jeudi 17 juillet 2008

Kaspersky Lab détecte un ver capable d??infecter des fichiers audio

Kaspersky Lab éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) identifie un programme malicieux qui infecte les fichiers audio WMA. L??infection entraîne le téléchargement d??un programme de type cheval de Troie qui permet au cyber-malfaiteur de prendre le contrôle du poste de l??utilisateur.

Le ver, dénommé Worm.Win32.GetCodec.a, convertit des fichiers mp3 au format WMA (tout en conservant l??extension mp3), et y ajoute une balise qui contient un lien vers une page web infectée. Le lien est activé automatiquement au moment de la lecture du fichier. Une page infectée s??ouvre alors dans le navigateur et propose à l??internaute le téléchargement d??un fichier codec. Si l??utilisateur accepte de télécharger ce fichier, le Trojan Proxy.Win32.Agent.arp s??installe sur l??ordinateur et le cyber-malfaiteur obtient le contrôle du PC.

Jusqu??ici le format WMA n??était utilisé par les chevaux de Troie que pour masquer leur présence dans le système (autrement dit les objets infectés n??étaient pas des fichiers audio). Or le ver Worm.Win32.GetCodec.a infecte les fichiers audio ce qui selon les experts de Kaspersky Lab, est une première. En outre, ce type d??attaque peut s??avérer relativement dangereuse du fait que les utilisateurs font relativement confiance à leurs fichiers media et ne les considèrent pas comme des objets dangereux.

La signature de Worm.Win32.GetCodec a été ajoutée à la base de signatures antivirales de Kaspersky Lab peu après sa détection.

15 July 2008 Worm.Win32.GetCodec.b 19:46 03:42 10 July 2008 Worm.Win32.GetCodec.a 22:44 09:56

vendredi 6 juin 2008

Virus.Win32.Gpcode.ak - Statut : risque moyen

Kaspersky Lab identifie une nouvelle version du code malicieux Gpcode - Virus.Win32.Gpcode.ak.

Cette nouvelle variante de Gpcode chiffre les fichiers aux extensions DOC, TXT, PDF, XLS, JPG, PNG, CPP, H et autres sur les disques durs à l'aide de l'algorithme de chiffrement RSA 1024 bit.

Après avoir chiffrés les fichiers, le virus affiche le message suivant :

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor
To buy decrypting tool contact us at: ********@yahoo.com

[Traduction: Vos fichiers sont chiffrés par un algorithme RSA-1024. Pour restaurer vos fichiers vous devez acheter notre décodeur. Pour acheter le décodeur, contactez-nous à l'adresse ********@yahoo.com.]

A l'heure actuelle il n'y a aucun moyen de récupérer les données sans céder au chantage.

Kaspersky Lab recommande fortement à tous les internautes d'activer sur leur PC le niveau de protection maximal contre les codes malicieux et les attaques de réseaux, et d'éviter d'ouvrir des programmes suspects en provenance de sources inconnues.

La procédure de détection de Virus.Win32.Gpcode.ak a été ajoutée dans les bases de signatures de Kaspersky Lab le 04 juin à 18.39 GMT+3.

Programme malicieux qui chiffre les données de l'utilisateur sur le PC victime. Il s'agit d'une application Windows (fichier PE EXE) de 8030 octets.

Page d'accueil / Virus / Encyclopédie Virus Virus.Win32.Gpcode.ak Autre version: .ac, .ae, .af, .ag, .ai, .f

Date de détection 04 jui 2008 14:39 GMT Date de publication 06 jui 2008 Comportement Virus Plateforme Win32

   * Détails Techniques
   * Action destructrice

Détails Techniques

Programme malicieux qui chiffre les données de l'utilisateur sur le PC victime. Il s'agit d'une application Windows (fichier PE EXE) de 8030 octets. Action destructrice

Une fois exécuté, le virus crée en mémoire un identifiant unique (mutex) _G_P_C_, pour indiquer sa présence dans le système.

Le virus passe ensuite en revue tous les disques logiques à la recherche de fichiers appropriés au chiffrement.

Le programme malicieux utilise Microsoft Enhanced Cryptographic Provider v1.0 (intégré dans Windows) pour chiffrer les fichiers. Les fichiers sont cryptés à l'aide de l'algorhitme RC4. La clé de chiffrement est ensuite chiffrée à l'aide d'une clé publique RSA (1024 bit) présente dans le corps du virus.

L'algorithme RSA présente deux types de clés de chiffrement - privée et publique. Pour crypter les messages, une clé publique suffit. Un message chiffré lui ne peut être décrypté qu'à l'aide d'une clé privée.

.../...

jeudi 14 février 2008

Kaspersky Lab détecte une diffusion de spams à très grande échelle pour la Saint-Valentin

Kaspersky vient de détecter une importante diffusion de spams à l??approche de la Saint-Valentin. Ce spam représente environ 5% du trafic total de spams. La base d??estimation repose sur le trafic filtré par le service Kaspersky Hosted Security Services.

La diffusion de ces spams s??effectue à l??échelle mondiale. Kaspersky Lab l??a détecté à deux heures du matin (GMT+3) le 12 février. Sur le segment russe d??internet, les messages malicieux n??ont commencé à se propager que durant la journée du 12. En ce moment, la quantité de spams ne faiblit pas.

Le texte du message invite à aller sur un site pour ouvrir une carte Saint-Valentin. Lorsque l??internaute clique sur le lien, le fichier malicieux Packed.Win32.Tibs.ic. est automatiquement téléchargé. Voici ci-dessous les captures d??écran de ces messages ainsi que les cartes virtuelles qui apparaissent sur les sites web infectés :

.../...

jeudi 24 janvier 2008

Tentative de Phishing - Ovh.com - managerV4.zip - Trojan-Dropper.Win32.Agent.dwc

Bonsoir,

si vous êtes un client de chez Ovh.com vous avez pu recevoir ce courriel là :


Roubaix, le 2008-01-22 12:11:10,

Bonjour,

Etant membre de la communaute ovh, nous vous proposons d??utiliser en avant première notre nouveau programme de gestion de votre compte OVH. Celui-ci n??est que le manager v4 qui va succeder au manager v3 actuel, ainsi qu??au programme MoM (http://www.ovh.com/fr/entreprise/espaceclients/outils/mom.xml).

Vous pouvez des a present le telecharger a partir d??ici : managerV41.zip Cette version n??est pas une version beta, donc vous ne devriez pas rencontrer de problèmes. Au cas ou, vous pouvez nous envoyer un feedback à mom@ovh.com.

MAJ: Suite a une erreur de programmation, nous venons de mettre une nouvelle version du logiciel en ligne.

Bien cordialement, L'équipe d'OVH.

Tel : 0 899 701 761 du Lundi au Vendredi de 9h00 à 18h00 (1,349 TTC par appel puis 0,337 TTC la minute partout en France metropolitaine)


Ce courriel ne provient pas de la societe OVH

Le courriel essaye de vous faire télécharger un fichier "managerV41.zip".

Ce fichier apres analyse par le Virus Lab confirme que ce fichier contient un Trojan

KLAB-3854581

Hello,

manager.qm, manager.ts, msvcr71.dll, qt-mt333.dll

No malicious code were found in these files.

managerV4.exe_ - Trojan-Dropper.Win32.Agent.dwc

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.


Date de la MAJ des bases AV

24 January 2008 Trojan-Dropper.Win32.Agent.dwc 16:23

Si par malheur vous avez ouvert et executé ce Trojan, il est urgent de scanner votre ordinateur et de nettoyer celui ci.

Vous pouvez si vous le souhaitez tester une version d'évaluation de 30 jours KAV7, KIS7, Workstation6

A vos MAJ et à votre SCAN

Essayez gratuitement Kaspersky Anti-Virus/Internet Security 7 pendant 30 jours


Si vous remontez l'échantillon que vous avez reçu par email via, http://www.kaspersky.com/scanforvirus, vous allez avoir ceci.

Vous pouvez aussi utiliser notre WebScanner en autorisant l'installation de l'active X de Kaspersky


Petit HowTo

Voilà ce que cela donne si vous avez ouvert ce virus, pour la démo on va travailler avec le "virus" renommé en .TXT managerV4.exe.txt

Une fois l'installation de la Kis7 est fait, il faut "forcer" la mise à jour des bases AntiVirales

Une fois que les MAJ sont faites, à partir de ce moment le virus est reconnu par la KIS7. Si vous lancez l'analyse de ce fichier vous aurez ceci.

A partir de ce moment la, il vous suffit de "cliquer" sur supprimer et le Trojan a été effacé.

Vous devriez avoir cet écran

Il ne vous reste plus quà scanner l'integralité des disques durs de votre PC pour être sur qu'il n'existe pas d'autres codes "malicieux ou malveillants"

Vous devriez ainsi avoir cela en théorie, sauf si vous aviez d'autres "bestioles" :-)

mercredi 12 septembre 2007

Niveaux de Risque d'Epidémies Virales

Kaspersky Lab utilise trois niveaux de menaces: vert, signifiant que l'activité virale est normale ; orange, signifiant que le risque d'infection est plus élevé qu'à la normale ; et rouge signifiant que le danger d'infection est très élevé. Vert : l'activité virale est normale

L'activité virale est continue. Ce niveau signifie qu'il n'y a pas de nouvelles menaces à l'horizon et que les ordinateurs pourvus de bases antivirus mises à jour et de patchs récents sont en sécurité.


Vert : alerte informationnelle

Une alerte à titre d'information sera donnée:

  • Si l'envoi en masse d'un programme malicieux est détecté. Même si le programme en lui-même ne représente pas un grand danger, le mailing de masse peut mener à une sérieuse épidémie à cause du très grand nombre d'infections.
  • Si les analystes de Kaspersky Lab recoivent un échantillon d'un programme malicieux doté d'une fonctionnalité unique, ou un code de proof-of-concept, ou un programme qui n'est pas une menace directe mais possède un intérêt technique.

Orange: alerte moyenne

Ce niveau signifie qu'un programme malicieux spécifique peut représenter un danger même pour les machines équipées de patchs mis à jour et de protection antivirus. L'alerte orange sera donnée si:

  • Plus de 10 messages de détection ou d'infection par le programme malicieux sont envoyés par des internautes en l'espace de 4 heures
  • Si le programme malicieux est une nouvelle modification d'un programme ayant par le passé causé une sérieuse épidémie
  • Si le programme malicieux use d'une vulnérabilité critique ou de vulnérabilités dans Windows pour se propager

Rouge: alerte rouge

Ce niveau est le plus élevé et signifie qu'un programme malicieux se propage rapidement, représentant un véritable danger pour la majorité des systèmes. L'alerte rouge est donnée lorsque :

  • Un grand nombre d'infections (plusieurs centaines) sont détectées dans les 24 heures. Cela inclut aussi bien des échantillons qui arrivent indépendamment à Kaspersky Lab ou qui sont détectés chez des partenaires
  • Le programme malicieux est fortement présent dans le trafic Internet. Cette information provient des analystes de Kaspersky Lab et d'autres organisations majeures de recherche tels que MessageLabs, CERT et SANS
  • L'épidémie peut conduire à une perte de connexion (à court ou long terme, partielle ou totale) dans les segments Internet

La décision de publier une alerte est prise par les analystes viraux de Kaspersky Lab, qui traquent les logiciels malveillants 24h/24.

mardi 11 septembre 2007

Un vers se propage sur le réseau Skype et sa VoIP

Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.

Arrivée du malware

Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.

Activation du malware :

L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR. L'extension SCR, selon les operating systems est cachée.

Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.

Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.

la suite sur :

Alerte : un ver se promène sur Skype detecté par Kaspersky

Skype, éditeur du logiciel de VoIP, publie une alerte: un ver circule sur la Toile et menace les utilisateurs de la solution qui utilisent des OS Windows Publicité

Surnommé Ramex.a par un porte-parole de Skype, et Pykspa.d par les ingénieurs de Symantec ( *.Skipi.* par les analystes de chez Kaspersky ), le ver qui fait l'objet d'une alerte par Skype, utilise une méthode d'attaques connue.

Après avoir dérobé la liste des contacts de l'utilisateur infecté, ce ver diffuse des messages instantanés qui contiennent un lien Internet.

Les contacts qui cliquent sur le lien, qui se présente comme une image JPG, sont immédiatement infectés.

.../...



A VOS M.A.J., ne pas oublier que Kaspersky à une fréquence de mise à jour de plus ou moins 1h, voire même en dessous d'une heure

Informations

  • Fréquence moyenne des mises à jour (7 derniers jours) : 40mn 29s
  • Date de la dernière mise à jour des bases : 11/09/2007 à 16:48:10
  • Nombre de définitions dans les bases standards : 387891
  • Nombre de définitions dans les bases étendues : 413146
  • Taille actuelle de la mise à jour par le Daily.zip: 936.92 Ko



NB : le virus est connu et detecté par Kaspersky, il ce nomme : Worm.Win32.Skipi.* ( a priori aucun rapport avec le Kangourou :-) ) sauf si..., merci Marc

jeudi 19 avril 2007

Email-Worm.Win32.Warezov.nf

Kaspersky Lab a identifié une diffusion massive d'une nouvelle variante de Warezov - Email-Worm.Win32.Warezov.nf. La diffusion a démarré le 19 avril 2007.

Warezov.nf représente à l'heure actuelle 70-85% du trafic de courrier malicieux dans différentes parties du monde - Etats-Unis, Europe, Russie. Son comportement est très proche de Email-Worm.Win32.Warezov.mx.

Quelques heures auparavant, une autre version de Warezov se diffusait également activement dans le trafic de messagerie - Warezov.do - détectée le 20 octobre 2006.

Si vous êtes un utilisateur de Kaspersky Anti-Virus/Kaspersky Internet Security 6.0 et que l'option Protection Proactive est activée, les nouvelles variantes seront alors détectées sans avoir recours à la mise à jour des bases antivirales.

Une description détaillée de Warezov.nf sera disponible très prochainement sur l'encyclopédie des virus de Kaspersky Lab.

vendredi 6 avril 2007

Email-Worm.Win32.Warezov.mx

Kaspersky Lab a identifié une diffusion massive d'emails d'une nouvelle variante de Warezov - Email-Worm.Win32.Warezov.mx.

Le ver se diffuse dans une pièce jointe à un email infecté.

Une mise à jour urgente des bases de signatures antivirus a été diffusée.

Si vous êtes un utilisateur de Kaspersky Anti-Virus/Kaspersky Internet Security 6.0, activez la Protection Proactive. Les nouvelles variantes seront alors détectés sans avoir recours à la mise à jour des bases antivirales.

Une description détaillée de Email-Worm.Win32.Warezov.mx sera bientôt disponible dans l'encyclopédie des virus de Kaspersky Lab.

mardi 3 avril 2007

Email-Worm.Win32.Warezov.ms

Kaspersky Lab a identifié une diffusion massive d'emails d'une nouvelle variante de Warezov - Email-Worm.Win32.Warezov.ms. La diffusion a démarré le 03 avril 2007.

Le ver se diffuse dans une pièce jointe à un email infecté. Une fois exécuté, il peut désactiver les programmes antivirus et le pare-feu ainsi que télécharger d'autres malwares.

Une mise à jour urgente des bases de signatures antivirus a été diffusée.

Si vous êtes un utilisateur de Kaspersky Anti-Virus/Kaspersky Internet Security 6.0, activez la Protection Proactive. Les nouvelles variantes seront alors détectés sans avoir recours à la mise à jour des bases antivirales.

Une description détaillée de Email-Worm.Win32.Warezov.ms est disponible dans l'encyclopédie des virus de Kaspersky Lab.

vendredi 9 février 2007

Email-Worm.Win32.Zhelatin

De nombreuses variantes de Email-Worm.Win32.Zhelatin se diffusent en ce moment. Zhelatin.u, Zhelatin.r and Zhelatin.t sont les variantes les plus récentes.

Les fonctions des nouvelles variantes sont relativement similaires aux précédentes.

Nous rappelons aux utilisateurs de vérifier que leur solution de sécurité est bien à jour et de scanner tout email suspect à l'aide d'une solution antivirale.

Si vous êtes un utilisateur de Kaspersky Anti-Virus 6.0, activez la protection proactive, et les nouvelles variantes seront détectées sans avoir recours à la mise à jour des bases antivirales.

Une description détaillée de Email-Worm.Win32.Zhelatin.a est disponible sur l'Encyclopédie des Virus.

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
Eur'Net RCS Evreux / B 414 642 058 - Mentions Légales
Dernière mise à jour : 29/04/13