Le ver Kraken se répand en échappant à tout contrôle

La seule évocation de son nom empreint de mythologie scandinave fait déjà trembler. Le botnet Kraken prend forme au nez et à la barbe de la majorité des anti-virus.

La société de sécurité Damballa a profité de la conférence RSA 2008 pour alerter sur la formation inquiétante d'un botnet baptisé... Kraken. A l'initiative d'un ver informatique éponyme, 400 000 ordinateurs sous gouverne de Windows seraient ainsi devenus zombies avec parmi eux, des machines d'entreprises répertoriées dans le classement Fortune 500 des sociétés américaines réalisant le plus gros chiffre d'affaires.

Problème de taille, la terrible bestiole échapperait à la détection de près de 80 % des anti-virus actuels et pour finir de dresser ce tableau noir, Damballa voit en Kraken, une plus grande menace que Storm à qui on impute tout de même l'infection de presque 16 millions de PC.


Mauvaise nouvelle pour le spam mondial
Pour infecter des machines, le malware arrive déguisé en un fichier image. Il utilise diverses méthodes de dissimulation pour échapper aux anti-virus et son code binaire connaît de fréquentes mises à jour. Après prise de contrôle par un pirate, les ordinateurs zombies font office de relais au spam mondial dans le cadre de campagnes relatives pour le moment à des pharmacies en ligne, des casinos en ligne, sans oublier la très classique pilule bleue. Les chercheurs de Damballa ont observé qu'un botnet Kraken a délivré plus de 500 000 spams en une seule journée. Il est par ailleurs à craindre que le malware se destine plus tard à des fins autres que le spam.

Pour le Finlandais F-Secure, Kraken ne serait pas une nouveauté et daterait de l'été 2006 avec de multiples variantes.

Dixit GNT

Bonne lecture…

Zhelatin.WW (= Storm Worm)


Zhelatin.WW change de procédure mais pas de dangerosité ....08/04/08 : diffusion d'une nouvelle variante du virus (137 Ko) selon un nouveau scénario, la prétendue carte virtuelle étant remplacer par une vidéo dont l'affichage pose problème. Quelques titres de message :

* Deep in my heart
* Lost In Love
* Can't forget You

Le corps du message est toujours un court texte incitant à cliquer sur un lien hypertexte :



Si l'internaute clique sur ce lien, il est à nouveau dirigé vers une page est intitulée "I Love You", mais celle-ci invite cette fois le destinataire à ouvrir un fichier StormCodec.exe (en cas de clic sur l'image) ou StormCodec8.exe (en cas de clic sur le lien hypertexte), censé être un codec permettant de visualiser une vidéo destinée à l'internaute :



Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Win32:Zhelatin-CNF (Avast), I-Worm/Nuwar.R (AVG), Trojan.Crypt.AP (BitDefender), Trojan.Crypted-16 (ClamAV), Trojan.Packed.419 (DrWeb), Win32/Sintun!generic.2 (eTrust), W32/Storm.gen2 (F-Prot), Email-Worm.Win32.Zhelatin.wt (F-Secure), Email-Worm.Win32.Zhelatin.wt (Kaspersky), W32/Nuwar@MM (McAfee), TrojanDropper:Win32/Nuwar.gen!C (Microsoft), Tibs.gen201 (Norman), Troj/Dorf-BA (Sophos), Trojan.Peacomm (Symantec).

Dixit : SECURER

Bonne lecture …

Vulnérabilité critique dans HP Software Update

RESUME :
Un défaut de sécurité a été identifié dans l'utilitaire HP Software Update, souvent installé avec les produits de la société Hewlett-Packard (ordinateurs, imprimantes, scanners, appareils photos) et destiné à télécharger les mises à jour périodiquement. L'exploitation d'une erreur dans le composant ActiveX HPeDiag peut permettre à un individu malveillant ou à un virus d'exécuter du code malicieux sur l'ordinateur de sa victime via une page web piégée.

LOGICIEL(S) CONCERNE(S) :
HP Software Update v4.000.009.002 et versions inférieures

RISQUE :
Critique

CORRECTIF :
Les utilisateurs concernés doivent installer immédiatement la nouvelle version du logiciel (version v4.000.010.008 ou supérieure) via l'utilitaire HP Software Update (Menu Démarrer > Tous les programmes > HP > HP Software Update ou HP Update), afin de prévenir toute exploitation malveillante de ce défaut de sécurité.


Dixit : SECURER

Bonne lecture …

Nouvelle menace : le ver Kraken continue de faire des ravages

PC Tools révèle les détails de ses recherches menées sur la dernière variante du ver Kraken.

PC Tools, l’éditeur leader de logiciels de sécurité informatique, révèle les détails de ses recherches menées sur la dernière variante du ver Kraken. Également connu sous le nom, de Bobax, cette nouvelle variante utilise des techniques afin d’échapper aux systèmes de détection, faisant de ce botnet une menace prioritaire.

« Nous avons tenu à révéler tous les détails sur la dernière variante de Kraken, qui inclue la nouvelle liste de noms de domaine ainsi que l’algorithme utilisé, afin de rassembler le maximum de données concernant ce botnet. En effet, plus les éditeurs de logiciels de sécurité informatique partageront leurs connaissances quant à cette menace, plus grandes seront les chances d’en venir à bout », déclare Sergei Shevchenko, Chercheur Senior du département Malware de PC Tools.

Un cache-cache à l’échelle mondiale
D’après les chercheurs de PC Tools, la dernière version du Kraken est codée de manière à ce que peu de solutions anti-malwares traditionnelles parviennent à le détecter. Grâce à son enquête, PC Tools dévoile également que cette nouvelle version représente une menace importante en raison de ses nouvelles techniques, qui incluent des facteurs de hasard et d’imprévisibilité.

La toute dernière version du ver Kraken a été en premier lieu interceptée et bloquée par Threat Fire, le logiciel de protection de PC Tools basé sur la détection comportementale. Par la suite, dans le cadre d’analyses approfondies, Threat Fire a transmis l’échantillon de la menace à un système automatisé d’analyse utilisé par PC Tools et appelé Threat Expert. Celui-ci a mis à jour le comportement nuisible de la menace et a alerté les chercheurs de malwares de PC Tools quant à la nouvelle caractéristique de ce botnet.

Des analyses approfondies ont révélé que, pour contourner les systèmes de protection anti-malwares, la nouvelle version de Kraken communique à ses centres de contrôle via HTTP (le langage utilisé par les navigateurs Internet pour communiquer avec les sites web), en utilisant des adresses d’une longueur de 7 à 12 caractères, suivies de l’une des extensions de domaine suivants : dyndns.org, yi.org, mooo.com, dynserv.com, com, cc ou net.

Kraken : un ver adaptatif et résistant
La caractéristique du botnet Kraken est qu’il peut générer des mots de manière aléatoire, qu’il utilise ensuite pour produire des entêtes et des URL au hasard. Grâce à une règle interne lui indiquant à quel moment taper une voyelle ou une consonne, le ver Kraken est capable de construire des mots dynamiques, avec les voyelles et les consonnes adéquates. Le mot généré au hasard peut être suivi par un suffixe que le bot sélectionne dans une liste de 33 mots (qui comprend des noms communs, des verbes, des adjectifs et des adverbes de langue anglaise) tels que -able, -dom, -hood, -ment, - ship, -ly, ou -ency .

« Ce que nous analysons principalement est un générateur de mots anglais factices, c’est-à-dire un générateur qui suit des règles de grammaire anglaise et qui conçoit des mots artificiels similaires aux mots de la langue anglaise », précise Sergei Shevchenko.

Le générateur de mot est destiné à contourner les filtres anti-spam et les algorithmes qui ont la capacité de détecter le caractère aléatoire des mots en créant des combinaisons de lettres et de chiffres inhabituelles. Si une règle ou un algorithme ne peut être construit pour reconnaître de tels mots, alors ceux-ci ne peuvent pas être détectés.


Dixit ZATAZ

Bonne lecture…

Plus d'un million d'amateurs de MSN piégés en quelques jours


Un site propose de savoir qui vous a effacé de MSN et ICQ. Attention, piège terriblement efficace. Des plus d'un million de victimes recensées par zataz.com.

Nous vous en parlions, il y a quelques semaines. Des pirates jouent sur la curiosité et la crédulité des internautes pour leur subtiliser leur identifiant de connexion MSN Messenger. L'idée est simple, vous recevez un message par MSN (ou ICQ) vous proposant de vous connecter à un blog. L'adresse proposée par les pirates depuis le 9 mai arrivent sous cette forme xxxx.bidule.fr, seulement, cette url est fausse, elle dirige le "clickeur" sur des espaces comme m0bil3.info, c-oo-l-st-uff.info, pe0ples.info, ... Des sites pièges hébergés à Hong-Kong, chez Sun Network.



Nous avons découvert que cette arnaque était totalement automatisée. D'abord grâce à un virus informatique dédié à MSN. L'internaute qui va l'activer permet au code malicieux d'envoyer un message à l'ensemble des contacts de clickeur piégé. Le virus reprend le début de l'adresse du "pigeon" pour créer le faux lien blog (xxxx.bidule.fr), piégeant ainsi à son tour les récepteurs du message pirate. Nous avons découvert, sur l'un des espaces pirates, une page de statistique que les pirates ont oublié d'effacer. Elle est édifiante. Nous contrôlons cette page depuis plusieurs jours. 1,146,904 internautes, en 6 jours, sont passés par ce piége (voir la capture écran ci-dessous effectuée via la page statistique non protégée par les pirates, NDR). Ce 14 mai, des pointes à 24,000 surfeurs piégés, par heure, ont été aperçues.



Bref, une attaque d'ampleur qui cache des attaques plus virulentes encore. L'intérêt pour les pirates n'est pas de collectionner des identifiants de connexion pour le simple plaisir de le faire. Fabriquer des pages pièges, un virus, ... pour le plaisir de le faire serait une perte de temps. Et pour ce type de pirate, le temps c'est de l'argent. Ils se confectionnent des bases de données de connexion au webmail de Microsoft. Ils pourront ainsi, tout à loisir envoyer d'autres piégées électroniques ou tester les identifiants sur d'autres services comme Paypal. Trop d'internautes utilisent le même login et mot de passe sur différents outils Internet. Les pirates le savent et en abusent. (thibow)

Dixit ZATAZ

Bonne lecture…

Zhelatin.ZT (= Storm Worm)


Zhelatin.ZT est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint invitant le destinataire à se rendre sur une page intitulée "Who is loving you?", afin de lui permettre de connaître l'identité de l'expéditeur qui serait prétendument amoureux de lui.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Worm/Zhelatin.za (Antivir)
I-Worm/Nuwar.T (AVG)
Trojan.Peed.PJ (BitDefender)
Win32/Sintun.EZ (eTrust)
Email-Worm.Win32.Zhelatin.zt (F-Secure)
Email-Worm.Win32.Zhelatin.zt (Kaspersky)
Mal/Dorf-N (Sophos)
Trojan.Peacomm.D (Symantec)
Storm Worm

TAILLE :
138 Ko

DECOUVERTE :
02/06/2008

DESCRIPTION DETAILLEE :
Le virus Zhelatin.ZT se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

* Deeply in love with you
* I love you so much!
* I belong to you
* Stand by my side
* You are in my heart

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :




Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Who is loving you?" qui invite à télécharger un fichier loveyou.exe censé indiquer à l'internaute qui est amoureux de lui :



Who is loving you? Do you want to know? Just click here and choose either "Open" or "Run".

Il ne faut pas cliquer sur le lien ni télécharger le fichier loveyou.exe, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".


Dixit : SECURER

Bonne lecture …

Gpcode est de retour


Le dangereux virus maître chanteur Gpcode est de retour après 12 mois de silence. Le virus chiffre les fichiers en cas de non paiement d'une rançon.


Kaspersky Lab, éditeur international de solutions de sécurité informatique, a annoncé la découverte d'une nouvelle version du virus Gpcode, le dangereux virus maître chanteur. La nouvelle version du virus a été baptisée Virus.Win32.Gpcode.ak. Le virus chiffre les fichiers de différents types (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h et autres) à l'aide d'un algorithme de codage RSA fonctionnant avec une clé de 1024 octets. La signature de Virus.Win32.Gpcode.ak a été ajoutée aux bases antivirales de Kaspersky Lab le 4 juin 2008.

Jusqu'à présent, la longueur maximale de la clé RSA que les spécialistes de Kaspersky Lab avaient pu « déchiffrer » était de 660 bit. Pour rappel, l'identification d'une clé de cette longueur à l'aide d'un ordinateur doté d'un processeur de 2,2Ghz prendrait 30 ans. Après cet incident, l'auteur de Gpcode patienta près d'un an (Juillet 2007) avant de créer une nouvelle version plus performante de son virus, débarrassé des anciennes erreurs et exploitant une clé encore plus longue.

A l'heure actuelle, les experts de Kaspersky n'ont pas encore pu déchiffrer les fichiers victimes. Le virus, dans cette nouvelle version, utilise une clé de 1024 bit. Seule une clé secrète, qui pour l'instant se trouve vraisemblablement en la possession de l'auteur du virus uniquement, permet de déchiffrer les objets cryptés par Virus.Win32.Gpcode.ak.

Le virus ajoute la signature _CRYPT aux fichiers cryptés et place le fichier !_READ_ME_!.txt dans le répertoire système. Ce fichier informe l'utilisateur du chiffrement des fichiers et propose d'acheter le décodeur auprès de l'individu mal intentionné. Le texte complet du message dit ceci : "Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com" [Traduction - Vos fichiers sont chiffrés par un algorithme RSA-1024. Pour restaurer vos fichiers vous devez acheter notre décodeur. Pour acheter le décodeur, contactez-nous à l'adresse ********@yahoo.com.]

Kaspersky Lab conseille vivement aux utilisateurs qui ont repéré un message de ce genre sur leur ordinateur de contacter les experts de la société (en se connectant à Internet depuis un autre ordinateur) à l'adresse stopgpcode@kaspersky.com et d'indiquer l'heure et la date exactes de l'infection ainsi que les dernières actions réalisées sur l'ordinateur au cours des 5 dernières minutes avant l'infection. Il ne faut pas redémarrer ou éteindre l'ordinateur infecté. De plus, les utilisateurs ne doivent en aucun cas suivre la proposition des cyber-criminels et verser la somme demandée car cela contribuera uniquement à conforter ceux-ci dans leur activité et qui plus est, il n'existe aucune garantie que la victime recevra le décodeur.

Une attaque qui n'est pas nouvelle. En 1989 (Aids Info Disk), puis en 2005, des virus de ce type agissaient dans l'ombre des machines infectées. PGPcoder, en 2005, avait fait parler de lui en agissant de la sorte comme les deux versions de Cryzip en 2006. A noter que ces virus n'avaient pas résisté aux attaques des crackeurs de mot de passe de la famille ElcomSoft (LIRE).


Dixit ZATAZ

Bonne lecture…

Zhelatin.ZY (= Storm Worm)


Zhelatin.ZY est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message invitant le destinataire se rendre sur un site Internet pour consulter la vidéo d'un nouveau tremblement de terre qui aurait frappé la Chine et endommagé les infrastructures des jeux olympiques.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Worm/Zhelatin.zc (Antivir)
Win32:TDrop (Avast)
I-Worm/Nuwar.U (AVG)
Trojan.Peed.JLV (BitDefender)
Win32/Sintun.EZ (eTrust)
Email-Worm.Win32.Zhelatin.zy (Ikarus)
Email-Worm.Win32.Zhelatin.zaab (Kaspersky)
W32/Nuwar@MM (McAfee)
Backdoor:Win32/Nuwar.gen!D (Microsoft)
Win32/Nuwar (NOD32)
W32/Nuwar-E (Sophos)
Trojan.Peacomm.D (Symantec)
Storm Worm

TAILLE :
117 Ko

DECOUVERTE :
18/06/2008

DESCRIPTION DETAILLEE :
Le virus Zhelatin.ZY se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

* China's most deadly earthquake
* Countless victims of earthquake in China
* Deadly catastrophe in Chinese capital
* Death toll in China exceeds 1000000
* Terrible earthquake devastated Beijing
* The capital of China were collapsed by earthquake

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte :




Si l'internaute clique sur le lien, il est dirigé vers une page piégée intitulée "Strongest earthquake hits Beijing", qui tente d'exécuter automatiquement un code malicieux sur l'ordinateur des visiteurs non à jour dans leurs correctifs de sécurité via une iframe cachée et invite à télécharger un fichier beijing.exe censé être une vidéo d'information :



Il ne faut pas cliquer sur le lien ni télécharger le fichier beijing.exe, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

Dixit : SECURER

Bonne lecture …

Zhelatin.AEP

Zhelatin.AEP est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint annonçant la fin du dollar et son remplacement par une monnaie baptisée Amero

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
HEUR/Crypted (Antivir)
Worm/Zhelatin.zi (Antivir)
Win32:Zhelatin-DIO (Avast)
I-Worm/Nuwar.N (AVG)
I-Worm/Nuwar.V (AVG)
Rootkit.Agent.AITJ (BitDefender)
Trojan.Peed.JPS (BitDefender)
Email-Worm.Win32.Zhelatin.aep (F-Secure)
Email-Worm.Win32.Zhelatin.aep (Kaspersky)
W32/Nuwar@MM (McAfee)
Backdoor:Win32/Nuwar.gen!D (Microsoft)
Mal/TibsPak (Sophos)
Mal/Dorf-O (Sophos)
Trojan.Peacomm.D (Symantec)
WORM_NUWAR.AMH (Trend Micro)
Storm Worm

TAILLE :
89 Ko

DECOUVERTE :
21/07/2008

DESCRIPTION DETAILLEE :
Le virus Zhelatin.AEP se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

*
* Say Goodbye to the Dollar
* You can forget about Dollars

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :



Si l'internaute clique sur le lien, il est dirigé vers une page piégée intitulée "Amero" contenant une iframe malicieuse et invitant l'internaute à ouvrir un fichier amero.exe censé apporter des explications sur la nouvelle monnaie :



Il ne faut pas cliquer sur le lien ni télécharger le fichier amero.exe, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

22/07/08 : diffusion d'une nouvelle variante du virus (89 Ko) selon un scénario identique. Quelques titres de message :

* Collapse of the Dollar
* Death of the U.S. Dollar
* Fall of the Dollar, beginning of AMERO

Le corps du message est toujours un court texte incitant à cliquer sur un lien hypertexte :



Cette variante est identifiée sous les noms Worm/Zhelatin.zi (Antivir), Win32:Zhelatin-DIO (Avast), I-Worm/Nuwar.V (AVG), Trojan.Peed.JPS (BitDefender), Email-Worm.Win32.Zhelatin.aez (Kaspersky), W32/Nuwar@MM (McAfee), Backdoor:Win32/Nuwar.gen!D (Microsoft), Mal/Dorf-O (Sophos), Trojan.Peacomm.D (Symantec).


Dixit : SECURER

Bonne lecture …

Zbot.DNK


Zbot.DNK est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel en français prétendument envoyé par le transporteur UPS, au sujet d'un colis postal dont l'adresse destinataire serait erronée.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Spy.ZBot.DKV (Antivir)
Win32:Zbot-AKQ(Avast)
PSW.Generic6.UZW (AVG)
Trojan.Spy.Zbot.IG (BitDefender)
Trojan.Zbot-1729 (ClamAV)
Trojan-Spy.Win32.Zbot.dnk (F-Secure)
Trojan-Spy.Win32.Zbot.dnk (Kaspersky)
Spy-Agent.bw.gen (Mc Afee)
PWS:Win32/Zbot.gen!G (Microsoft)
Win32/Spy.Agent.NHY (NOD32)
W32/ZBot.ARF (Norman)
Mal/EncPk-EI (Sophos)
Infostealer.Banker.C (Symantec)

TAILLE :
49 Ko

DECOUVERTE :
29/07/2008

DESCRIPTION DETAILLEE :
Zbot.DNK est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique en français, prétendument envoyé par un employé du transporteur UPS dont le nom est variable, au sujet d'un colis postal dont l'adresse destinataire serait erronée. Le titre du message est "UPS colis postal". Le corps du message incite à ouvrir le fichier joint :




La pièce jointe est une archive nommée UPS_E9712.zip, qui contient un fichier UPS_E9712.exe. Si ce fichier est exécuté, le cheval de Troie s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis espionne les frappes entrées au clavier de l'ordinateur contaminé pour tenter de dérober les identifiants d'accès aux sites sécurisés et aux services en ligne tels que les banques.

Dixit : SECURER

Bonne lecture …

Exchanger.JT


Exchanger.JT est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique sans fichier joint ayant l'apparence d'un top 10 des histoires et vidéos les plus vues de la chaîne CNN.

TYPE :
Cheval de Troie

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
I-Worm/Nuwar.V (AVG)
Trojan.Downloader.Exchanger.W (BitDefender)
Trojan.DownLoad.3248 (DrWeb)
Win32/Collet!generic (eTrust)
W32/Tibs.BF!worm (Fortinet)
Trojan-Downloader.Win32.Exchanger.jt (F-Secure)
Trojan-Downloader.Win32.Exchanger.jt (Kaspersky)
BackDoor-DNM (McAfee)
TrojanDownloader:Win32/Agent.IP (Microsoft)
Win32/Agent.ETH (NOD32)
Bck/Agent.JOO (Panda)
Mal/EncPk-DA (Sophos)
Infostealer (Symantec)

TAILLE :
77 Ko

DECOUVERTE :
04/08/2008

DESCRIPTION DETAILLEE :
Exchanger.JT est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver par courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Le titre du message est "CNN.com Daily Top 10".

Le corps du message est au format HTML. Il tente de se faire passer pour une sélection quotidienne des dix histoires et vidéos les plus vues de la chaîne de télévision américaine CNN, invitant le destinataire à cliquer sur les des liens hypertextes qu'il contient pour les visualiser. Quelques exemples de message :





Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Watch Free Movie - Update Every Hour!" simulant un problème d'affichage et invitant l'utilisateur à télécharger un fichier get_flash_update.exe, censé être une mise à jour du lecteur Flash, afin de pouvoir accéder au contenu souhaité :



Il ne faut pas cliquer sur les liens ni ouvrir le fichier get_flash_update.exe, car il s'agit en réalité d'un cheval de Troie. Si ce fichier est exécuté, le troyen s'installe sur le disque dur, ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, puis espionne les frappes au clavier pour tenter de dérober les identifiants d'accès aux sites sécurisés et aux services en ligne tels que les banques.

05/08/08 : diffusion d'une nouvelle variante du troyen (77 Ko) selon un scénario similaire. Les messages au format HTML sont identiques, mais tentent de rediriger le destinataire vers un site web ayant une nouvelle apparence, qui propose également d'installer une fausse mise à jour get_flash_update.exe (cheval de Troie) :



Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), I-Worm/Nuwar.V (AVG), Trojan:Win32/Tibs.gen!K (Microsoft), Mal/EncPk-DA (Sophos).


Dixit : SECURER

Bonne lecture …

Agent.OY


Agent.OY est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique envoyé par MSN-Microsoft, faisant la promotion d'une nouvelle version du navigateur Internet Explorer 7.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
Win32:Agent-AAZE (Avast)
Trojan.Agent.AJIU (BitDefender)
Trojan.Packed.573 (DrWeb)
Trojan-Mailfinder.Win32.Agent.oy (F-Secure)
Trojan-Mailfinder.Win32.Agent.oy (Kaspersky)
TrojanDropper:Win32/Umrena.B (Microsoft)
W32/Smalltroj.FTJL (Norman)
Mal/TibsPk-F (Sophos)
Packed.Generic.57 (Symantec)

TAILLE :
158 Ko

DECOUVERTE :
06/08/2008

DESCRIPTION DETAILLEE :
Agent.OY est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur apparent du message est admin@microsoft.com (nom masquant en réalité l'adresse électronique du destinataire lui-même).

Le titre du message est cette fois "Internet Explorer 7". Le corps du message est un texte au format HTML se présentant comme une lettre d'information signée et envoyée par le service MSN-Microsoft, incitant le destinataire à cliquer un lien hypertexte pour télécharger la dernière version du navigateur Internet Explorer 7 :



Si le destinataire clique sur le lien, il se voit proposer d'ouvrir ou télécharger un fichier video.avi.exe. Ce fichier n'est pas une nouvelle version du navigateur ni une vidéo mais un cheval de Troie. S'il est ouvert, le programme malicieux se copie sur le disque dur, modifie la base de registres de Windows pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis télécharge et installe d'autres programmes malicieux depuis des sites web distants.

07/08/08 02h00 : diffusion d'une nouvelle variante du cheval de Troie (137 Ko) selon un scénario similaire. L'expéditeur apparent du message est toujours admin@microsoft.com (nom masquant en réalité l'adresse électronique du destinataire lui-même) et le titre du message "Internet Explorer 7" :



Si le destinataire clique sur le lien, il se voit proposer d'ouvrir ou télécharger un fichier update.exe. Ce fichier n'est pas une nouvelle version du navigateur mais un cheval de Troie identifié sous les noms TR/Dldr.Small.aafh (Antivir), Win32:Trojan-gen (Avast), Downloader.Generic7.AEHX (AVG), Trojan.FakeAlert.YK (BitDefender), Trojan.Fakealert-446 (ClamAV), Trojan.Fakealert.995 (DrWeb), Win32/Bugnraw.CC (eTrust), W32/Downldr2.DIFM (F-Prot), Trojan-Downloader.Win32.Small.aafh (F-Secure), Trojan-Downloader.Win32.Small.aafh (Kaspersky), Generic FakeAlert.a (McAfee), TrojanDownloader:Win32/Renos.DI (Microsoft), Win32/TrojanDownloader.FakeAlert.DJ (NOD32), Adware/Antivirus2008XP (Panda), Troj/FakeAle-EF (Sophos), Trojan.Dropper (Symantec), TROJ_RENOS.ADX (Trend Micro).

07/08/08 17h00 : diffusion d'une nouvelle variante du cheval de Troie (136 Ko) selon un scénario identique, le nom du fichier proposé en téléchargement étant désormais ie7.0.exe. Cette variante est identifiée sous les noms Trojan-Downloader.Win32.Small.aaky (Kaspersky), Win32/TrojanDownloader.FakeAlert.FT (NOD32), Troj/FakeAle-ET (Sophos), Trojan.Dropper (Symantec).

A lire:

post41579.html#p41579
http://www.secuser.com/alertes/2008/agentot.htm


Dixit : SECURER

Bonne lecture …

Exchanger.NB

Exchanger.NB est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique sans fichier joint ayant l'apparence d'une lettre d'information nommée "MSNBC Breaking News".

TYPE :
Cheval de Troie

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Dldr.Exchanger.NB (Antivir)
I-Worm/Nuwar.W (AVG)
Trojan.Downloader.Exchanger.Gen.2 (BitDefender)
Win32/Collet.DU (eTrust)
Trojan-Downloader.Win32.Exchanger.nb (F-Secure)
Trojan-Downloader.Win32.Exchanger.nb (Kaspersky)
Mal/EncPk-DA (Sophos)
Trojan.Erotpics (Symantec)
TROJ_TIBS.CSZ (Trend Micro)

TAILLE :
73 Ko

DECOUVERTE :
13/08/2008

DESCRIPTION DETAILLEE :
Exchanger.NB est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver par courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement.

Le titre du message est "msnbc.com - BREAKING NEWS:", suivi du titre d'une brève d'actualité véridique ou d'une fausse information complètement fantaisiste mais racoleuse. Quelques exemples :

* msnbc.com - BREAKING NEWS: I will be suing you
* msnbc.com - BREAKING NEWS: Mary-Kate Olsen responsible forHeath Ledger's death
* msnbc.com - BREAKING NEWS: Elizabeth Taylor found murdered at home
* msnbc.com - BREAKING NEWS: Fredie Mac losses mount, loses billions every month
* msnbc.com - BREAKING NEWS: McCain told lies to win votes

Le corps du message est un texte au format HTML se présentant comme une lettre d'information signée et envoyée par le service MSNBC-Microsoft, invitant le destinataire à cliquer sur les liens hypertextes qu'il contient pour en savoir plus. Un exemple de message :



Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Breaking News, Weather, Business, Health, Entertainment, Sports, Politics, Travel, Science, Technology, Local, US & World News - msnbc.com- msnbc.com :" simulant un problème d'affichage et invitant l'utilisateur à télécharger un fichier adobe_flash.exe, censé être une mise à jour du lecteur Adobe Flash, afin de pouvoir accéder au contenu souhaité :



Il ne faut pas cliquer sur les liens du message ni ouvrir le fichier adobe_flash.exe, car il s'agit en réalité d'un programme malicieux. La page web comporte par ailleurs un bouton "Close page" : il ne faut pas non plus tenter d'utiliser ce bouton, car ce dernier ne ferme pas la fenêtre concernée mais déclenche en réalité l'ouverture d'une nouvelle fenêtre intitulée "Antivirus XP 2008", qui affiche de faux résultats d'analyse indiquant que l'ordinateur est infecté, puis qui invite à télécharger un fichier scaner.exe pour y remédier :




Il ne faut pas installer le logiciel Antivirus XP 2008 concerné, car la fausse mise à jour Adobe Flash Player adobe_flash.exe et le faux antivirus scaner.exe sont en réalité un seul et même cheval de Troie.


Dixit : SECURER

Bonne lecture …

Zbot.EBA


Zbot.EBA est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel avec facture en pièce jointe, envoyée par une société commerciale dont La Poste ou la compagnie d'aviation Hawaiian Airlines.


TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Spy.ZBot.eba (Antivir)
Wine32:Downloader-BOF (Avast)
Win32/Heur (AVG)
Trojan.Zbot-1956 (ClamAV)
W32/Downldr2.DIHD (F-Prot)
Trojan.Win32.Emold.A (Ikarus)
Win32/TrojanDownloader.Agent.OCY (NOD32)
Troj/Agent-HLR (Sophos)
Trojan Horse (Symantec)

TAILLE :
18 Ko

DECOUVERTE :
18/08/2008

DESCRIPTION DETAILLEE :
Zbot.EBA est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique en français, prétendument envoyé par un employé de La Poste <support@laposte.fr> dont le nom est variable, au sujet d'un colis dont l'adresse destinataire serait erronée. Le titre du message est "Colis postal". Le corps du message incite à ouvrir le fichier joint :




La pièce jointe est une archive nommée La_Poste_N8832.zip, qui contient un fichier La_Poste_N8832.exe.

Le cheval de Troie peut également se présenter sous la forme d'un courrier électronique en anglais prétendument envoyé par la compagnie d'aviation Hawaiian Airlines, au sujet d'un achat en ligne tout juste réglé. Le titre du message est "Your Flight Ticket N0165906". Le corps du message incite également à ouvrir le fichier joint :



La pièce jointe est une archive nommée Ticket_N141-SK.zip, qui contient un fichier Ticket_N141-SK.exe.

Si le fichier en .EXE est exécuté, le cheval de Troie s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis espionne les frappes entrées au clavier de l'ordinateur contaminé pour tenter de dérober les identifiants d'accès aux sites sécurisés et aux services en ligne tels que les banques.


Dixit : SECURER

Bonne lecture …

Un e-mail frauduleux envoyé aux Freenautes


Les Freenautes doivent faire preuve de prudence face à un message frauduleux qui circule en ce moment dans leurs boîtes e-mail.


Les abonnés chez Free, fournisseur d'accès à Internet qui occupe pour l'instant la troisième place sur le marché français avec 3,134 millions de clients ( en attendant le rachat d'Alice ) et dont nous avons très récemment évoqué l'extension de son assistance technique de proximité, reçoivent depuis quelques jours un e-mail dont l'expéditeur est info@free.fr et dont voici le contenu :

" Pour conserver votre compte de courriel Web de free.fr, vous devez répondre à ce message immédiatement et entrez votre mot de passe ici (*********) pour nous permettre mettre à niveau votre compte de messagerie Web free.fr parce que nous faites une mise à jour notre base de données.

Le fait de ne pas le faire immédiatement rendre votre adresse e-mail désactivé à partir de notre base de données. Confirmez votre e-mail.

Votre réponse doit être envoyée à admin Manager Email : departmentmanager@hotmail.com

Cordialement "

Les internautes les plus avertis l'auront sans doute conclu par eux-mêmes ( français approximatif, adresse Hotmail proposée et demande de mot de passe par e-mail ), il s'agit ici d'une vulgaire tentative de vol de mot de passe. Ne perdez pas votre temps, supprimez ce message.


Dixit: GNT

Bonne lecture…