Inforumatique

Les faux sites d'antivirus pullulent

Avec la rentrée, un nouvel ordinateur peut se profiler à l'horizon. Prudence, de faux antivirus apparaissent pour mieux vous piéger.

Des pirates informatiques, se sont ceux qui se cachaient déjà derrière l'arnaque Winantivirus, surfent sur la grande mode du moment, la diffusion de communiqués de presse et de tests d'antivirus. Il faut dire aussi que les éditeurs mettent en ligne et dans les commerces les versions 2009 de leurs outils de sécurité informatique. Les escrocs en profitent donc pour mettre en place de faux sites Internet proposant leur propre antivirus, leur scanner maison.

Le terme fabriqué maison n'est pas galvaudé. Des outils qui n'ont d'antivirus que le nom. Des logiciels qui sont proposées via de fausses publicités [voir]. Voici une liste, malheureusement non exhaustive des sites qu'il est fortement conseillé d'éviter. Premier cas, vous pouvez bannir les sites cachés derrière les ip 216.195.56.88, 92.62.101.41; 91.203.92.48; 91.203.92.106; 58.65.238.171, 67.228.120.3, 216.195.56.86. Voici d'ailleurs des urls que vous pouvez bannir définitivement. Des adresses que les webmasteurs peuvent aussi contrôler en cas d'utilisation du service Adsense. Les escrocs aiment exploiter le service publicitaire de Google pour tenté de diffuser leur piège. Voici de quoi bannir ce type de possibilité : fast-pc-scanner-online .com; top-pc-scanner .com; buy-secure-protection .com; security-scan-pc .com;
pc-scanner-online .com; viruses-scanonline .com; virus-scanonline .com; antivirus-scanonline .com; topvirusscan .com; virusbestscan .com; best-security-protection .com; infectionscanner .com; virusbestscanner .com; full-protection-now .com; Pwrantivirus .com; vav-x-scanner .com; vav-scanner .com; scanner.vavscan .com; malware-scan .com; Scanner-Pwrantivirus .com; Xpertantivirus .com; Scanner-xpertantivirus .com; spyware-quickscan-2008 .com; virus-quickscan-2008 .com; spyware-quickscan-2009 .com; virus-quickscan-2009 .com; winmalwarecontrol .com; antispyware-quick-scan .com; virus-quick-scan .com; antivirus-quick-scan .com; winprivacytool .com; topantispyware2008 .com; cleanermaster .com; antivirus777 .com; pcsecuritynotice .com.

Source : ZATAZ.com

Frauder.BI


Frauder.BI est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique envoyé par MSN-Microsoft, faisant la promotion d'une mise à jour du système Windows XP/Vista.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
BDS/Frauder.BI (Antivir)
Downloader.FraudLoad.N (AVG)
Trojan.FakeAlert.ACE (BitDefender)
Trojan.Packed.619 (DrWeb)
W32/FakeAV2008.AT (F-Prot)
Trojan-Downloader.Win32.Renos.AS (Ikarus)
Backdoor.Win32.Frauder.bi (Kaspersky)
Downloader-ASH.gen.b (McAfee)
Win32/TrojanDownloader.FakeAlert.HQ (NOD32)
W32/Tibs.gen225 (Norman)
Troj/FakeAle-GH (Sophos)
Trojan.Blusod (Symantec)

TAILLE :
199 Ko

DECOUVERTE :
27/08/2008

DESCRIPTION DETAILLEE :
Frauder.BI est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur apparent du message est Microsoft XP (nom masquant en réalité l'adresse électronique du destinataire lui-même).

Le titre du message est cette fois "RE: ® Official Update 2008! ". Le corps du message est un texte au format HTML se présentant comme une lettre d'information signée et envoyée par le service MSN-Microsoft, incitant le destinataire à cliquer un lien hypertexte pour télécharger uen mise à jour de Windows XP ou Windows Vista :



Si le destinataire clique sur le lien, il est dirigé vers une animation Flash malicieuse dont le nom est aléatoire (par exemple 29780274dr0.swf, 94975493lo3.swf, 85195486br8.swf ou 65333834lu5.swf) :



Si cette animation est visualisée, elle tente d'exécuter automatiquement le programme malicieux si le lecteur Flash n'est pas à jour dans ses correctifs de sécurité ou propose d'ouvrir un fichier install.exe. Ce fichier n'est pas une mise à jour mais le cheval de Troie lui-même. S'il est ouvert, il se copie sur le disque dur, puis tente de télécharger et d'installer d'autres programmes douteux ou malicieux, dont le faux logiciel de sécurité Antivirus XP 2008.


Dixit : SECURER

Bonne lecture …

Un bébé kidnappé derrière lequel se cache un trojan

Sophos vient de donner l'alerte quant à la tentative de diffusion d'un cheval de Troie par e-mail.


La société de sécurité informatique Sophos vient de donner l'alerte au sujet du lancement d'une importante campagne de spam. Dans l'e-mail intitulé " We have hijacked your baby ", des soi-disant ravisseurs annoncent aux parents qu'ils ont kidnappé leur bébé, et que la rançon pour récupérer leur progéniture saine et sauve est fixée à 50 000 dollars. Il est accompagné d'une pièce jointe nommée " photo.zip " censée donner aux parents la possibilité de voir une photo de leur bébé.

À priori, ceux qui n'ont pas de bébé ne se poseront même pas la question et expédieront ce message directement à la poubelle. Idem pour les parents dont le bébé est sous leur nez. Pour les parents qui n'ont pas leur bébé en vue, qu'ils n'ameutent pas tout l'entourage ou le quartier, et qu'ils n'ouvrent surtout pas le fichier attaché. En effet, l'archive ne contient pas une photo de leur bébé, mais le cheval de Troie ( ou trojan ) baptisé Troj/Resex-Fam par Sophos et qui les mettra en proie à une prise de contrôle à distance et au vol de données personnelles. Bref, un courrier électronique qui ne demande qu'à être supprimé.

Dixit: GNT

Bonne lecture…

Faux CCleaner, attention danger

Un pirate informatique tente d'infecter les internautes à la recherche du logiciel CCleaner.

Attention, danger ! Depuis quelques heures une publicité pas comme les autres s'affichent dans les annonces Adsense de Google. En tapant la recherche CCleaner, le premier lien, qui est en fait une pub Adsense, vous propose d'"Obtenir la Nouvelle Version Télécharger Gratuit CCleaner" à partir du site cleanersoft.net.



Prudence, ne téléchargez surtout pas la version proposée par le premier lien publicitaire proposé par le Adsense de Google. Le programme de 226 Ko (install_ccsetup211.exe.exe), alors que l'original fait plus de 2 Mo, cache en son sein un code malicieux. Le faux site CCLeaner qui s'affiche est hébergé au Royaume-Unis (Rapidswitch Ltd). Il a été mis en place, comme le montre notre visite dans ce serveur (capture ci-dessous), le 26 août dernier. Le pirate profite de la nouvelle mise à jour officielle de Ccleaner.



La rédaction de ZATAZ.COM a analysé ce logiciel. Via 20 antivirus, nous avons pu découvrir qu'un code malicieux avait été caché dans ce faux Ccleaner. A-Squared detecte la Backdoor.Win32.Small.exw. ArcaVir annonce le Riskware.Downloader.Swiftcleaner.B. L'antivirus Ikarus affiche le code malicieux Downloader.Zlob et VBA32, Backdoor.Win32.Small.flo. Inquiétant, sur 20 analyses, 16 antivirus n'ont rien vu. Kaspersky, Antivir, Avast AVG, BitDefender, ClamAV, CPsecure, Dr.Web, F-Prot Antivirus, F-Secure Anti-Virus, Fortinet, NOD32, Norman Virus Control, Panda Antivirus, Sophos Antivirus ou encore VirusBuster n'y ont vu que feu. Le but de ce code "malicieux", obliger les internautes à envoyer deux SMS afin de recevoir deux codes qui permettront de télécharger le vrai Cclearer.

La véritable adresse pour télécharger Ccleaner, gratuitement, est http://www.ccleaner.com/download et rien d'autre.

Source : ZATAZ.com

FraudPack

FraudPack est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un message accusant le destinataire d'envoyer des virus, avec comme preuve un fichier log prétendument fourni par son FAI.


TYPE :
Cheval de Troie

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
PSW.Generic6.ABAB (AVG)
Trojan.Zbot-2110 (ClamAV)
W32/Malware!OC-based (F-Prot)
Trojan.Win32.FraudPack.gen (F-Secure)
Trojan.Win32.FraudPack.gen (Kaspersky)
Win32/Zbot.gen!B(Microsoftt)
Troj/PWS-ATH (Sophos)
Infostealer.Banker.C (Symantec)

TAILLE :
58 Ko

DECOUVERTE :
09/09/2008

DESCRIPTION DETAILLEE :
FraudPack est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique en anglais, prétendument envoyé par un internaute dont le nom est variable, accusant le destinataire d'envoyer des virus depuis son ordinateur. Le titre du message est "I am wait your reply". Le corps du message incite à ouvrir le fichier joint, présenté comme un fichier log obtenu auprès du fournisseur d'accès du destinataire, qui établirait sa responsabilité dans les envois malicieux :



La pièce jointe est une archive nommée IPLOGS.zip, qui contient un fichier IPLOGS.exe. Si ce fichier est exécuté, le cheval de Troie s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis espionne les frappes entrées au clavier de l'ordinateur contaminé pour tenter de dérober les identifiants d'accès aux sites sécurisés et aux services en ligne tels que les banques.


Dixit : SECURER

Bonne lecture …

Phishing visant le site Paypal.fr

Une nouvelle attaque par phishing cible les utilisateurs francophones du service de paiement en ligne Paypal. Elle se présente sous la forme d'un courrier électronique en français intitulé "Vous avez ajouté une nouvelle adresse email à votre compte PayPal ", envoyé en apparence par Paypal (centre de securite <ServicePayPal@centredesecurite.fr>) :



Sous prétexte de la validation d'une nouvelle adresse électronique (ou plutôt d'une opposition à ce prétendu ajout), le message invite le destinataire à cliquer sur un lien hypertexte puis à saisir ses identifiants pour se connecter à son compte. Il ne faut pas cliquer sur ce lien, car l'adresse figurant dans le code source du message n'est pas celle de Paypal.fr : elle conduit à une imitation contrôlée par un individu malveillant et hébergée chez Ouba.com.


Dixit : SECURER

Bonne lecture …

YTFakeCreator : la création d'un YouTube malveillant


Le laboratoire antimalware de l'éditeur Panda Security rapporte l'existence d'un outil clé en main pour la création de fausses pages YouTube dans l'objectif d'infecter les utilisateurs.

La popularité du site de partage de vidéos YouTube fait de lui une cible de choix pour les cybercriminels, qui s'ils n'arrivent pas à le corrompre, n'hésitent pas à en passer par des imitations pour parvenir à leurs fins. C'est ce qu'a constaté Panda Security en décortiquant un outil de piratage baptisé YTFakeCreator.

Avec cet outil, les cybercriminels peuvent créer de fausses pages YouTube, et ce très facilement si l'on en croit Panda Security. En résulte une méthode d'infection décrite comme suit : " Les pirates envoient aux utilisateurs des emails dans lesquels ils sont invités à cliquer sur un lien pour visionner une prétendue vidéo sur un thème choc ou racoleur. (...) Si les utilisateurs cliquent sur le lien, ils sont dirigés sur une fausse page, qui ressemble beaucoup à une vraie page du site YouTube. (...) Un message d'erreur s'affiche, informant les utilisateurs qu'ils ne peuvent pas voir la vidéo car un composant est manquant ". Ledit composant manquant est évidemment un malware à télécharger par l'internaute.


Phishing YouTube en quelques clics
Grâce à YTFakeCreator c'est ainsi presque du clé en main. Le cybercriminel n'a que quelques paramètres à saisir, comme indiquer au bout de combien de temps le message d'erreur s'affiche et le lien permettant de télécharger le malware. Tout le reste, depuis la création d'une fausse page Web YouTube jusqu'à celle d'un profil pour faire plus vrai que nature est pris en charge par YTFakeCreator. Presque un jeu d'enfant qui explique pourquoi les malwares ne sont pas prêts de quitter le Web avec des pièges qui peuvent être mis en place aussi facilement.

Un exemple proposé par Panda Security :




Dixit: GNT

Bonne lecture…