Inforumatique

vous tous,

Virus Tibs.GU (= Storm Worm)

Tibs.GU est un virus qui se propage par courrier électronique. Avec ses multiples variantes, il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint faisant la promotion d'un site intitulé "Happy New Year!", qui invite à télécharger une carte de voeux virtuelle pour le passage à la nouvelle année.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Worm/Zhelatin.ob (Antivir)
Downloader.Tibs (AVG)
Trojan.Peed.IRE (BitDefender)
Trojan.Packed.263 (Dr.Web)
Win32/Sintun.AT (eTrust)
W32/StormWorm.P (F-Prot)
Packed.Win32.Tibs.gu (F-Secure)
Packed.Win32.Tibs.gu (Kaspersky)
Trojan:Win32/Tibs.gen!ldr (Microsoft)
Mal/Dorf-C (Sophos)
Trojan.Peacomm.D (Symantec)
Storm Worm

TAILLE :
132 Ko

DECOUVERTE :
25/12/2007

DESCRIPTION DETAILLEE :
Le virus Tibs.GU se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

* As the new year...
* Blasting new year
* Happy New Year!
* Happy New Year To You!
* It's the new Year
* Lots of greetings on new year
* New Year Postcard
* New Year wishes for you
* Wishes for the new year


Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte :



Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Happy New Year!" qui invite à télécharger un fichier happy2008.exe censé être une carte de voeux virtuelle :



Il ne faut pas cliquer sur le lien ni télécharger le fichier concerné, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

26/12/07 : diffusion d'une nouvelle variante du virus (139 Ko) selon un scénario similaire, le nom du fichier proposé en téléchargement étant toutefois happy-2008.exe. Cette variante est identifiée sous les noms TR/Rootkit.Gen (Antivir), Win32:Zhelatin-ASX (Avast), Generic.Malware.FMH (BitDefender), Trojan.Zhelatin (ClamAV), Trojan.Spambot (Dr.Web), Backdoor.Win32.Agent.dln (F-Secure / Kaspersky), Backdoor:WinNT/Nuwar.B!sys (Microsoft), W32/Rootkit.BUZ (Norman), Trojan.Peacomm (Symantec).

26/12/07 17h30 : diffusion d'une nouvelle variante du virus (149 Ko) selon un scénario similaire, l'adresse de la fausse carte de voeux virtuelle étant toutefois différente. Quelques titres de message :

* A fresh new year
* As the new year...
* Blasting new year
* Happy New Year!
* Joyous new year
* Lots of greetings on new year
* Message for new year
* New Year Postcard
* Opportunities for the new year

Cette variante est identifiée sous les noms HEUR/Crypted (Antivir), Win32:DNSChanger-HI (Avast), Trojan.Peed-63 (ClamAV), Trojan.Spambot.2387 (DrWeb), Email-Worm.Win32.Zhelatin.pn (F-Secure / Kaspersky).

27/12/07 : diffusion d'une nouvelle variante du virus (140 Ko) selon un scénario similaire, l'adresse de la fausse carte de voeux virtuelle étant toutefois différente. Quelques titres de message :

* As you embrace another new year
* Happy 2008 To You!
* Happy 2008!
* Happy New Year To [adresse électronique du destinataire]!
* It's the new Year
* New Year wishes for you
* As the new year...


Cette variante est identifiée sous les noms TR/Crypt.XDR.Gen (Antivir), Win32:Zhelatin-ASX (Avast), Dropper.Generic.TLX (AVG), Trojan.Peed.IRG (BitDefender), Trojan.Peed-66 (ClamAV), Trojan.Spambot.2386 (Dr.Web), W32/Dropper.gen6 (F-Prot), Email-Worm.Win32.Zhelatin.pr (F-Secure / Kaspersky), Win32/Nuwar.BA (Norman), Mal/Dorf-H (Sophos), Trojan.Peacomm (Symantec).


28/12/07 09h30 : diffusion de la même variante du virus (138-139 Ko), l'adresse de la fausse carte de voeux virtuelle et l'apparence du faux site Internet étant toutefois différentes. Quelques titres de message :

* A fresh New Year
* As you embrace another New 2008 Year
* As the New Year 2008...
* Blasting New Year 2008
* Get all set for a brand New Year
* Get all set for a brand New Year 2008
* Happy 2008 To You!
* Happy 2008!
* Happy New Year To You!
* Have a funfilled and blasting New Year 2008!
* Let's fete a sparkling New 2008 Year!
* New 2008 Year Wishes
* Sparkling and happy all through the New Year
* To the tune of celebration. A very happy New 2008 Year

Le corps du message est un court texte incitant à cliquer sur un lien hypertexte :

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. Il ne faut pas cliquer sur un lien contenu dans un message douteux sans avoir clairement identifié son expéditeur puis lui avoir fait le cas échéant confirmer l'envoi du message. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier d'origine douteuse.

Sources: SECURER.COM

Sécurité : avis de tempête virale sur les voeux du nouvel an

Après Noël, Storm Worm profite des voeux du nouvel an pour tenter de se répandre encore un peu plus via l'appui d'une nouvelle campagne de mails malveillants.

S'il a marqué l'année 2007, le programme malicieux de type ver Storm Worm, ne semble pas décidé à tomber aux oubliettes en 2008. Coupable de l'infection de plus d'un million de machines sous environnement Windows, Storm Worm qui aime à les transformer en PC zombies devenant ainsi relais de spams, refait parler de lui en cette période de voeux sous les traits d'une nouvelle variante.


Exploitation des voeux prévisible
L'éditeur de solutions de sécurité Sophos qui avait déjà dénoncé une campagne de mails malicieux à l'occasion de Noël (et la promesse d'un strip-tease), vient en effet d'émettre une alerte au sujet d'une campagne similaire prenant cette fois-ci pour alibi les voeux du nouvel an. Faisant partie de l'infection Storm Worm (autrement appelé Dorf), les mails contiennent des liens vers des sites Web hébergeant des malwares. Ayant pour sujet A brand New Year 2008, Happy New Year 2008 to the one I love ou encore New Year 2008 Wishes, ils appâtent les internautes trop crédules avec une carte de voeux à télécharger.

Consultant chez Sophos, Graham Cluley se montre particulièrement inquiet face à cette menace, à l'heure où nombre d'employés vont retourner au bureau : " Après la pause de Noël et du nouvel an, ils vont se retrouver avec une pile importante de mails non lus. Le danger est que les excès des vacances vont les rendre moins vigilants concernant les messages sur lesquels ils vont cliquer. "

Une bonne résolution pour 2008 : ne pas suivre les liens communiqués par des mails non sollicités.

Dixit GNT

Senosen Grand Reporter pour Inforumatique
en direct de son écran ... à vous le forum.
Bonne lecture…

Vulnérabilité critique non corrigée dans VLC Media Player (10/01/08)

RESUME :
Un nouveau défaut de sécurité a été identifié dans le lecteur multimédia VLC Media Player. L'exploitation d'une erreur dans l'implémentation du protocole RTSP (Real Time Streaming Protocol) peut permettre à un individu malveillant d'exécuter à distance du code malicieux sur l'ordinateur de sa victime via une connexion ou un fichier piégé.

LOGICIEL(S) CONCERNE(S) :
VideoLAN VLC media player 0.8.6d et versions inférieures

CORRECTIF :
Aucun correctif n'est disponible pour le moment, l'existence de cette faille ayant été rendue publique par son découvreur sans attendre la mise en ligne d'un correctif. Les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante :

* se montrer particulièrement vigilant dans son utilisation d'Internet, notamment vis-à-vis des fichiers douteux, des liens hypertextes non sollicités ou des sites web non reconnus comme sûrs ;
* tenir à jour son antivirus. Les éditeurs publient généralement de nouvelles signatures pour tenter de reconnaître et d'intercepter les fichiers malicieux exploitant les défauts de sécurité non corrigés.

Dixit : SECURER


Bonne lecture …

Troyen Mebroot

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
StealthMBR (McAfee)
StealthMBR!rootkit (McAfee)
Troj/Mbroot-A (Sophos)
Trojan.Mebroot (Symantec)
TROJ_SINOWAL.AD (Trend Micro)

TAILLE :
variable

DECOUVERTE :
07/01/2008

DESCRIPTION DETAILLEE :
Mebroot est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier, contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique via la technique du spamming ou se trouver dans des pages web piégées ou des sites Internet légitimes dont la sécurité a été compromise par des cybercriminels pour infecter leurs visiteurs, en exploitant des failles de sécurité.

Si le cheval de Troie est exécuté, il s'installe dans une zone particulière du disque dur appelée Master Boot Record (MBR), afin d'être exécuté au lancement de la machine avant le système d'exploitation Windows. Mebroot se dissimule en utilisant une technologie de type rootkit, puis ouvre une porte dérobée permettant à un individu malveillant de prendre le contrôle à distance de l'ordinateur, outrepassant le pare-feu de l'ordinateur.

Pour supprimer le cheval de Troie Mebroot, démarrez l'ordinateur avec la console de récupération de Windows (Windows Recovery Console), entrez la commande "fixmbr" pour réparer le Master Boot Record, désactivez la restauration du système, puis analysez le disque dur avec un antivirus à jour


Dixit : SECURER


Bonne lecture …

Troyen Pakes.BYC

Pakes.BYC est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel accompagné d'un fichier joint dont l'extension est .ZIP, en tentant de se faire passer pour une carte virtuelle.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Worm/Ntech.AE (Antivir)
Win32:Pakes-AHD (Avast)
Generic9.AQGV (AVG)
Trojan.Pandex.AC (BitDefender)
Trojan-Small (ClamAV)
BackDoor.Bulknet.118 (DrWeb)
Win32/Cutwail.CQ (eTrust)
W32/Trojan2.TYC (F-Prot)
Trojan.Win32.Pakes.byc (F-Secure)
Trojan.Win32.Pakes.byc (Kaspersky)
Spy-Agent.bv.dldr (Mc Afee)
TrojanDropper:Win32/Cutwail.W (Microsoft)
Win32/TrojanDownloader.Agent.NUO (NOD32)
W32/Pakes.gen2 (Norman)
Troj/Pushdo-F (Sophos)
Trojan.Pandex (Symantec)

TAILLE :
17Ko

DECOUVERTE :
14/01/2008

DESCRIPTION DETAILLEE :
Pakes.BYC est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique en anglais. Le titre du message est "Merry Christmas". Le corps du message est un texte court en anglais incitant à ouvrir le fichier joint :



La pièce jointe est une archive nommée eCard.zip, qui contient un fichier eCard.exe. Si ce fichier est exécuté, le cheval de Troie s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis tente de télécharger et d'exécuter d'autres programmes malicieux puis collecte les adresses électroniques présentes dans divers fichiers du disque dur pour les envoyer à un serveur distant

Dixit : SECURER


Bonne lecture …

Troyen Pakes.CAA

Pakes.CAA est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel accompagné d'un fichier joint dont l'extension est .ZIP, en tentant de se faire passer pour une carte virtuelle.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Worm/Ntech.AI (Antivir)
SHeur.AOIK (AVG)
Trojan.Kobcka.CH (BitDefender)
Trojan.Dropper-4027 (ClamAV)
BackDoor.Bulknet.133 (DrWeb)
Win32/Cutwail.CX (eTrust)
W32/Trojan2.UBM (F-Prot)
Trojan.Win32.Pakes.caa (F-Secure)
Trojan.Win32.Pakes.caa (Kaspersky)
Spy-Agent.bv.dldr (Mc Afee)
VirTool:WinNT/Cutwail.gen!B (Microsoft)
Troj/Pushdo-Gen (Sophos)
Downloader (Symantec)

TAILLE :
17 Ko

DECOUVERTE :
22/01/2008

DESCRIPTION DETAILLEE :
Pakes.CAA est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique en anglais, prétendument envoyé via le site de rencontre en ligne Adult Sex Finder. Le titre du message est "Card from Adult Friend Finder". Le corps du message est un texte court en anglais incitant à ouvrir le fichier joint :



La pièce jointe est une archive nommée eCard.zip, qui contient un fichier eCard.scr. Si ce fichier est exécuté, le cheval de Troie s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis tente de télécharger et d'exécuter d'autres programmes malicieux puis collecte les adresses électroniques présentes dans divers fichiers du disque dur pour les envoyer à un serveur distant

Dixit : SECURER

Bonne lecture …

Troyen Agent.HCZ


Agent.HCZ est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel accompagné d'un fichier joint dont l'extension est .ZIP, en tentant de se faire passer pour une vidéo.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Dropper.Gen (Antivir)
Win32:Agent-RHY (Avast)
SHeur.AOUK (AVG)
Trojan.Peed.IUH (BitDefender)
Trojan.Dropper-4030 (ClamAV)
Trojan.MulDrop.10487 (DrWeb)
W32/Trojan2.UDL (F-Prot)
Trojan-Downloader.Win32.Agent.hzc (F-Secure)
Trojan-Downloader.Win32.Agent.hzc (Kaspersky)
Spy-Agent.bv.dldr (Mc Afee)
TrojanDropper:Win32/Cutwail.W (Microsoft)
Win32/TrojanDownloader.Wigon.A (NOD32)
Trj/Spammer.ADX (Panda)
Troj/Pushdo-Gen (Sophos)
Trojan.Pandex (Symantec)

TAILLE :
17 Ko

DECOUVERTE :
25/01/2008

DESCRIPTION DETAILLEE :
Agent.HCZ est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique en anglais, en tentant de se faire passer pour une vidéo à caractère sexuel mettant en scène des célébrités américaines. Le titre du message est "Sensation". Le corps du message est un texte court en anglais incitant à ouvrir le fichier joint :



La pièce jointe est une archive nommée video.zip, qui contient un fichier video.scr. Si ce fichier est exécuté, le cheval de Troie s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis tente de télécharger et d'exécuter d'autres programmes malicieux puis collecte les adresses électroniques présentes dans divers fichiers du disque dur pour les envoyer à un serveur distant

Dixit : SECURER

Bonne lecture …

Virus Zhelatin.PY (= Storm Worm)

helatin.PY est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint invitant à télécharger une carte pour la Saint-Valentin.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Email-Worm:W32/Zhelatin.PY (F-Secure)
Email-Worm:W32/Zhelatin.PY (Kaspersky)
W32/Nuwar.OL.worm (Panda)
Mal/HckPk-A (Sophos)
WORM_NUWAR.BK (Trend Micro)
Storm Worm

TAILLE :
112 Ko

DECOUVERTE :
15/01/2008

DESCRIPTION DETAILLEE :
Le virus Zhelatin.PY se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

* Come Relax with Me
* Hugging My Pillow
* I Would Dream
* Love Is...
* Magic Power Of Love
* Memories of You
* Sending You All My Love
* Sent with Love
* The Dance of Love
* You're In My Thoughts
* Your Friend and Lover
* When You Fall in Love

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :





Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "With Love!" qui invite à télécharger un fichier withlove.exe censé être une carte ou une animation pour la Saint-Valentin :



Il ne faut pas cliquer sur le lien ni télécharger le fichier withlove.exe, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

30/01/08 : diffusion d'une nouvelle variante du virus (128-129 Ko) selon un scénario similaire, la présentation du faux site hébergeant le fichier infecté étant légèrement différente. Quelques titres de message :

* A Toast My Love
* Heavenly Love
* Hugging My Pillow
* Inside My Heart
* Kisses Through E-mail
* Love Is...
* My Love

Le corps du message est un court texte incitant à cliquer sur un lien hypertexte :



Si l'internaute clique sur le lien, il est toujours dirigé vers une page intitulée "With Love!" qui invite à télécharger un fichier withlove.exe censé être une carte pour la Saint-Valentin, avec une nouvelle image de coeur :



Cette variante est identifiée sous les noms Worm/Zhelatin.ow (Antivir), I-Worm/Nuwar.L (AVG), Trojan.Peed.ITU (BitDefender), Trojan.Dropper-3840 (ClamAV), Trojan.Packed.336 (DrWeb), Win32/Sintun!generic (eTrust), W32/Zhelatin.D.gen!Eldorado (F-Prot), Tibs.gen194 (F-Secure), Email-Worm.Win32.Zhelatin.uq (Kaspersky), W32/Nuwar@MM (McAfee), Backdoor:Win32/Nuwar.gen!B (Microsoft), Win32/Nuwar.Gen (NOD32), Tibs.gen194 (Norman), Mal/Dorf-K (Sophos), Trojan.Peacomm.D (Symantec).

Dixit : SECURER

Bonne lecture …

Troyen Exchanger.B

Exchanger.B est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique sans fichier joint invitant à télécharger une vidéo gratuite concernant une célébrité américaine.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.FKM.Gen (Antivir)
Trojan-Downloader.Win32.Exchanger.b (F-Secure)
Trojan-Downloader.Win32.Exchanger.b (Kaspersky)
Troj/Dload-BA (Sophos)
Downloader (Symantec)

TAILLE :
41 Ko

DECOUVERTE:
02/02/2008

DESCRIPTION DETAILLEE :
Exchanger.B est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

* New naked Britney video
* Paris Hilton New Video Auditioning Topless.
* Full video with Paris Hilton + 2 black guys!

Le corps du message est un texte au format HTML incitant le destinataire à cliquer sur un lien hypertexte pour télécharger la vidéo temporairement gratuite d'une célébrité américaine telle que Britney Spears ou Paris Hilton



Certains liens exploitent une faille du site Google qui leur permet de prendre l'apparence d'une adresse Google (http://www.google.com/pagead/iclk?sa=l& ... wnload.php), alors que l'adresse réelle du fichier est http://58.**.***.**/download.php). Si le destinataire clique sur ce lien hypertexte, il est invité à télécharger et/ou ouvrir un fichier avec une extension .exe (par exemple player.exe ou trailer.exe) :



Ce fichier n'est pas une vidéo mais un fichier exécutable. S'il est ouvert, le cheval de Troie se copie sur le disque dur, modifie la base de registres de Windows pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis télécharge et installe d'autres programmes malicieux sur l'ordinateur infecté depuis des sites web distants.

Dixit : SECURER

Bonne lecture …

Troyen Agent.JHJ

Agent.JHJ est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un message sans fichier joint invitant à cliquer sur un lien pour télécharger notamment la vidéo d'une célébrité ou un crack logiciel.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.FKM.Gen (Antivir)
BackDoor.Small.45.AF (AVG)
Trojan.Downloader.Agent.ZCA (BitDefender)
W32/Downldr2.AXTC (F-Prot)
Trojan-Downloader.Win32.Agent.jhj (F-Secure)
Trojan-Downloader.Win32.Agent.jhj (Kaspersky)
Generic.dx (Mc Afee)
TrojanDownloader:Win32/Cbeplay.B (Microsoft)
Win32/Agent.ETH (NOD32)
Trj/Exchanger.B (Panda)
Troj/Exchan-Gen (Sophos)
Downloader (Symantec)

TAILLE :
43 Ko

DECOUVERTE :
20/02/2008

DESCRIPTION DETAILLEE :
Agent.JHJ est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

* NEW Full sexy songs Cameron Diaz
* NEW Interesting sexy songs Veronika Zemanova
* NEW Kick-up video with a naked celebrity Penelope Cruz
* NEW New porno Jennifer Aniston
* NEW Shocking video with a naked celebrity Kate Moss
* Software Cracked Is !!!

Le corps du message est un texte en couleur au format HTML incitant le destinataire à cliquer sur un lien hypertexte pour télécharger un fichier sous divers prétextes, tel que la vidéo d'une célébrité ou un crack logiciel :



Ces liens exploitent une faille du site google.com qui leur permet de prendre l'apparence d'une adresse Google (http://www.google.com/pagead/iclk?sa=l& ... rl=http:// bibo1981.bi.funpic.de/baustelle/ movie/ rdown.php?XjOUk), alors que l'adresse est http:// bibo1981.bi.funpic.de/baustelle/movie/ rdown.php?XjOUk).

Si le destinataire clique sur le lien hypertexte contenu dans le message, il est invité à télécharger et/ou ouvrir un fichier avec une extension .exe (notamment dload.exe ou mpg.exe) :



Ce fichier n'est pas une vidéo mais un fichier exécutable. S'il est ouvert, le cheval de Troie se copie sur le disque dur, modifie la base de registres de Windows pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis télécharge et installe d'autres programmes malicieux sur l'ordinateur infecté depuis des sites web distants.

Dixit : SECURER

Bonne lecture …

Virus Restarter.F

Restarter.F est un virus qui se propage via le logiciel de messagerie instantanée MSN Messenger. Il se présente sous la forme d'un message contenant un lien vers un site Internet affichant une photo du destinataire. S'il clique sur le lien, ce dernier est invité à ouvrir un fichier personnalisé dont le nom contient son nom d'utilisateur, qui est le virus.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
Trojan.IRCBot-1698 (ClamAV)
W32/Smalltroj.CXEI (F-Secure)
Trojan.Win32.Restarter.f (Kaspersky)
Win32/IRCBot.ADS (NOD32)
W32/Smalltroj.CXEI (Norman)
Mal/Generic-A (Sophos)

TAILLE :
78 Ko

DECOUVERTE :
26/02/2008

DESCRIPTION DETAILLEE :
Le virus Restarter.F se propage via le logiciel MSN Messenger et se présente sous la forme d'un message prétendument envoyé par un contact connecté, accompagné d'un lien vers un site Internet malicieux.

Exemple de lien piégé :

* http:// msn-photos.isuisse. com/?photo=[nom d'utilisateur du destinataire]

Exemple de message :

* ta tof fais koi sur ce site :P

Si le destinataire clique sur ce lien, il est invité à télécharger et/ou ouvrir un fichier avec une extension .com, généré à la volée en incluant dans son nom le nom d'utilisateur du destinataire, pour une plus grande personnalisation (par exemple fichier toto22-photo12.com, si le nom d'utilisateur est toto22). Si ce fichier est ouvert, le virus se copie sur le disque dur, modifie ensuite la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie régulièrement à tous les contacts MSN puis ouvre une porte dérobée, se mettant en attente d'instructions en provenance d'un canal IRC permettant la prise de contrôle à distance de l'ordinateur.

Si vous recevez des messages semblables, c'est parce que l'ordinateur d'au moins un de vos correspondants est infecté : afin de stopper Restarter.F, contactez la personne indiquée comme étant l'expéditrice des messages par Messenger ou par courriel pour l'informer que son ordinateur envoie des virus et suggérez-lui de contacter l'ensemble de ses contacts MSN pour les prévenir de ne pas ouvrir les fichiers .com ou sinon de désinfecter leur ordinateur.

Dixit : SECURER

Bonne lecture …

Vulnérabilités critiques dans Java

RESUME :

Plusieurs nouveaux défauts de sécurité ont été identifiés dans l'environnement Java de Sun, un logiciel gratuit qui permet aux navigateurs web d'exécuter les applications du même nom. L'exploitation d'erreurs dans la machine virtuelle, Java Web Start et d'autres composants peut permettre à un individu malveillant ou à un virus d'effectuer à distance diverses actions malicieuses sur l'ordinateur de sa victime telles que lire, écrire ou exécuter des fichiers.

LOGICIELS CONCERNES :

Sun JDK et JRE 6.0 Update 4 et versions antérieures
Sun JDK et JRE 5.0 Update 14 et versions antérieures
Sun SDK et JRE 1.4.2_16 et versions antérieures
Sun SDK et JRE 1.3.1_21 et versions antérieures

RISQUE :

Critique

CORRECTIF :

Les utilisateurs concernés doivent installer immédiatement la nouvelle version correspondant à leur logiciel en la téléchargeant sur le site de l'éditeur, puis supprimer la ou les anciennes versions (Panneau de Configuration > Ajout/suppression de programmes), afin de prévenir toute exploitation malveillante de ces défauts de sécurité. Les utilisateurs ne sachant pas si ce logiciel est installé sur leur ordinateur peuvent utiliser le même lien pour le savoir.

INFORMATIONS COMPLEMENTAIRES :

-> Bulletin de sécurité Sun n°233321 (en anglais)
-> Bulletin de sécurité Sun n°233322 (en anglais)
-> Bulletin de sécurité Sun n°233323 (en anglais)
-> Bulletin de sécurité Sun n°233324 (en anglais)
-> Bulletin de sécurité Sun n°233325 (en anglais)
-> Bulletin de sécurité Sun n°233326 (en anglais)
-> Bulletin de sécurité Sun n°233327 (en anglais)
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ : comment déterminer le numéro de version de votre logiciel?


Dixit : SECURER

Bonne lecture …

Trojan-Downloader.SWF.Gida et Yahoo! : Appel à l'aide

Depuis quelques temps, des utilisateurs Yahoo! se plaignent d'alertes Trojan-Downloader.SWF.Gida sur le site Yahoo! lors de la relève des mails etc...


Voir l'appel à l'aide lancé par Malekal_Morte bien connu dans la Sécurité informatique et la désinfection.......

Dorf.BA (= Storm Worm)

Dorf.BA est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint invitant à ouvrir une carte virtuelle du site Funnypostcard.

TYPE :

Ver

SYSTEME(S) CONCERNE(S) :

Windows

ALIAS :

TR/Crypt.XPACK.Gen (Antivir)
I-Worm/Nuwar.R (AVG)
Trojan.Crypt.AP (BitDefender)
Trojan.Crypted-16 (ClamAV)
Trojan.Packed.419 (DrWeb)
Email-Worm.Win32.Zhelatin.wt (Kaspersky)
W32/Nuwar@MM (McAfee)
TrojanDropper:Win32/Nuwar.gen!C (Microsoft)
Troj/Dorf-BA (Sophos)
Trojan.Peacomm (Symantec)
Storm Worm

TAILLE :

137 Ko

DECOUVERTE :

31/03/2008

DESCRIPTION DETAILLEE :

Le virus Dorf.BA se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

* Doh! April's Fool.
* Gotcha! All Fool!
* Happy All Fools Day!
* Happy Fools Day!
* One who is sportively imposed upon by others on the first day of April
* Surprise!

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :



Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "April Fool's Day", se présentant comme un poisson d'avril :



Après quelques secondes, une boîte de dialogue invite l'internaute à ouvrir ou télécharger un fichier funny.exe :



D'autres liens dans la page permettent de télécharger des fichiers nommés kickme.exe ou foolsday.exe.

Il ne faut pas cliquer sur le lien ni télécharger les fichiers funny.exe, kickme.exe ou foolsday.exe car il s'agit d'une variante du virus Storm Worm. Si un de ces fichiers est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité installés puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

Dixit : SECURER

Bonne lecture …

Zhelatin.WW (= Storm Worm)

Zhelatin.WW est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint invitant à se rendre sur un blog piégé intitulé "I Love You".

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Worm/Zhelatin.AO (Antivir)
I-Worm/Nuwar.R (AVG)
Trojan.Peed-188 (ClamAV)
Trojan.Packed.426 (Dr.Web)
Email-Worm.Win32.Zhelatin.ww (F-Secure)
Email-Worm.Win32.Zhelatin.ww (Kaspersky)
W32/Dorf-BD (Sophos)
Storm Worm

TAILLE :
137 Ko

DECOUVERTE :
06/04/2008



Si l'internaute clique sur le lien, il est dirigé vers une page est intitulée "I Love You" (en fait un cadre pointant vers le domaine superdrugtesting. com) qui incite à ouvrir un fichier love.exe (en cas de clic sur l'image) ou withlove.exe (en cas de clic sur le lien hypertexte), censé être une carte virtuelle :



DESCRIPTION DETAILLEE :
Le virus Zhelatin.WW se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

* A Hearty Wish
* I Knew I Loved You
* My heart belongs to you
* Sweetest Things Aren't Things!
* The Love Train

Le corps du message est un court texte en forme d'une déclaration d'amour et incitant le destinataire à cliquer sur un lien hypertexte pointant vers un blog de la plate-forme Blogger de Google (blogspot.com), dont l'adresse est variable :



Il ne faut pas cliquer sur le lien ni télécharger ce fichier withlove.exe, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

Dixit : SECURER

Bonne lecture …