Le cyberblog du coyote

Les pirates responsables d’un botnet ZeuS/Zbot ont sabordé 100.000 PCs. Les victimes se sont vu afficher un écran bleu, après quoi l’ordinateur fut incapable de rebooter. Les données stockées sur l’ordinateur ne sont apparemment pas affectées.
Ce réseau ZeuS/Zbot a commencé à s’étendre en mars. Il récolte les informations personnelles et bancaires des victimes. On ignore pourquoi les pirates ont décidé de saborder les machines, et du même coup, leur réseau. Il est possible qu’ils aient souhaité gagner du temps pour utiliser les informations collectées sans que les victimes ne puissent modifier quoi que ce soit. Il se peut aussi que ce soit le résultat d’une guerre entre deux clans de pirates qui convoitaient le réseau.

Source : Sur-la-Toile

Au menu du rapport semestriel de Microsoft sur la sécurité informatique (Security Intelligence Report) figurent en bonne place la prolifération de faux antivirus et l'augmentation des vulnérabilités. Vista paraît bien mieux sécurisé que XP.
On ne le répètera jamais assez : le meilleur antivirus est celui dont la mise à jour est la plus récente, sachant que l’expression récente se rapporte à un délai se mesurant en minutes… Mais encore faut-il que le fameux antivirus en soit bien un ! Dénoncées par le rapport de sécurité de Microsoft, de nombreuses arnaques mettent en jeu de faux logiciels de sécurité, appelés rogues, exploitant la peur ou la naïveté de certains internautes.
Ces logiciels pénètrent dans l’ordinateur comme un cheval de Troie, à l’occasion d’un téléchargement anodin. Une fois actifs, ils affichent un faux avertissement qui n’a d’autre but que de faire croire à une infection et proposer un lien vers la solution-miracle, qui sera bien sûr l’achat d’un logiciel de désinfection. Manœuvre bien inutile, puisque seul le compte en banque de la victime sera ainsi désinfecté…
Rien qu’en France, Win32/SpywareSecure, le rogue vedette du moment, a infecté 260.000 ordinateurs entre juillet et décembre 2008, soit une augmentation de plus de 87% sur une durée de six mois ! Son challenger, Win32/Renos, s’est mis en poche 4,4 millions d’ordinateurs dans le monde sur la même période, soit une augmentation de 66,6%.
Cependant, toujours en France, les chevaux de Troie (logiciels de téléchargement au fonctionnement transparent, ou leurs contraires) tiennent toujours le haut du pavé et représentent plus de la moitié des infections.

Augmentation des failles de sécurité

Etrangement, les failles de sécurité semblent reculer chez tous les éditeurs de programmes… sauf Microsoft. Ainsi entre 2007 et 2008, leur nombre s’est réduit de 16% par rapport à 2007, alors qu’entre le premier et le deuxième semestre 2008, le géant de Redmond constate un bond de 67,2% de vulnérabilités concernant ses propres produits, alors que cette augmentation n’était que de 16,8% entre 2007 et 2008.
Ces vulnérabilités concernent à 90% les navigateurs et les applications, alors que les systèmes d’exploitation sont de mieux en mieux protégés. Sans surprise, on constate que le taux d’infections lié à un OS est directement proportionnel à son ancienneté. Ainsi, Microsoft affirme que Windows Vista SP1 subirait par rapport à Windows XP SP3 60,6% d’attaques réussies en moins et 89,1% de moins par rapport à XP sans service pack. Ces résultats, qui proviennent de la collecte d’informations issues de 450 millions d’ordinateurs dans le monde, sont semblables pour les systèmes d'exploitations clients et serveurs.
Il est bon de noter également que seules les machines faisant tourner un système d’exploitation original renvoient leurs informations à la source, permettant de compiler ces statistiques. Fonctionnant sans ce lien, les systèmes basés sur une copie illégale, prudemment isolés de la source, donc sans mise à jour et nettement moins sécurisés, ne reflètent leur état que sur certains forums… sans mention de leur origine.

Source : Futura-Sciences

On aurait pu le croire endormi… mais une mise à jour complète du ver Conficker est actuellement transmise depuis la Corée du Sud vers les ordinateurs déjà infectés, conférant à cet organisme virtuel de nouvelles capacités de dissimulation.
La mise en activité du ver, annoncée pour le premier avril, avait finalement fait long feu. Peut-être grâce aux multiples avertissements et mises en garde des éditeurs de logiciels et de produite de sécurité. Mais il n’était qu’endormi…
Selon la société californienne (basée au Japon) Trend Micro, Conficker aurait été réactivé sur les ordinateurs qu’il infectait déjà, stimulé par la réception d’une mise à jour depuis un réseau localisé quelque part en Corée du Sud.
Les éditeurs d’antivirus ont relevé une modification profonde du code du ver, qui exploite désormais une technologie de rootkit, très difficilement détectable et basée sur l’ouverture d’une porte dérobée sur l’ordinateur infecté. Son fonctionnement était auparavant basé sur la technologie P2P, et c’est précisément par un nœud IP de ce réseau P2P hébergé en Corée du Sud que les mises à jour sont acheminées à destination des machines hôtes. Le nouveau ver a reçu l’appellation officielle de WORM_DOWNAD.E.
Dans un grand souci de discrétion, du moins avant une manifestation quelque peu plus bruyante, le nouveau venu nettoie toutes ses traces de passage sur l’ordinateur qui l’accueille, y compris dans le registre (dans la Ruche). Il établit ensuite le contact avec divers sites connus, tels que MSN.com, eBay.com, CNN.com ou AOL.com. Ces connexions lui servent à tester les potentialités de l’ordinateur local et définir sa stratégie. A défaut d’ouverture vers le monde extérieur, il recherche des IP locales.
Un autre comportement, tout aussi intéressant, a été signalé par Trend Micro. Lors de ses connexions, Conficker tente d’accéder au domaine goodnewsdigital, et y télécharge un petit fichier appelé print.exe. Or, ce domaine et ce fichier sont déjà utilisés par un autre ver, Waledac, une évolution du virus Storm. Celui-ci est connu de triste mémoire pour avoir constitué, en 2007 et 2008, le plus grand réseau d’ordinateurs zombies. Selon beaucoup de spécialistes, cette constatation attesterait d’un lien de parenté certain entre Conficker et Waledac-Storm, et donc entre leurs concepteurs.

Source : Futura-Sciences

Conficker, que nous avions déjà qualifié de « ver de tous les records », continue de se répandre sur le net à grande vitesse. Et s’il ne s’est pas activé ce premier avril à minuit comme le redoutaient les programmeurs, l’alerte n’est pas passée pour autant.
Connu aussi sous le nom de Downadup, Conficker utilise une faille présente dans Windows XP et Vista, mais aussi dans d’autres versions comme Windows 2000, Windows Server 2003, Windows Server 2008 et même Windows 7. Microsoft a publié un patch correctif dès octobre 2008 et Symantec a mis à la disposition de tous un utilitaire permettant de détecter et détruire le ver. Mais ce ver poursuit sa route, à l’abri derrière la passivité de certains utilisateurs ou administrateurs système…
L’analyse du code de Conficker a démontré que ce logiciel malveillant est conçu pour s’activer le 1er avril (et ce n’était pas un poisson…) à minuit. Son travail est d'infecter 250 serveurs par jour en les contraignant à déverser des flots de spams ou autres joyeusetés. A l'heure dite, il doit générer 50.000 nouveaux noms de domaine et à en sélectionner 500 d’entre eux afin de rendre la détection beaucoup plus difficile.

Surprises à venir ?

Jusqu’à présent cependant, la véritable offensive n’a pas encore été détectée, ou n’a pas produit les ravages escomptés par les concepteurs du ver. Cependant, analyse Toralv Dirro, du département sécurité chez Mc Afee, « ce serait stupide de la part des gars qui contrôlent Conficker d'utiliser la première opportunité alors que tout le monde s'excite à son sujet tout en l'observant avec précision. S'il devait se passer quelque chose ce serait dans les prochains jours ». Le professionnalisme des auteurs de ce malware, qui a déjà infecté plus de 12 millions d’ordinateurs, n’est plus à démontrer. Et cela ne rassure pas.

Source : Futura-Sciences

Des chercheurs canadiens pensent avoir découvert un vaste réseau d'espionnage installé sur Internet d'origine chinoise. Plus de 1.200 ordinateurs seraient infectés dans 103 pays différents, avec une prédilection pour les organisations tibétaines et, d'une manière générale, les ordinateurs des ambassades et d'organisations gouvernementales.
La Chine a-t-elle mis en place un réseau de vers capables de fouiller dans les données d'installations informatiques dépendant de gouvernements ? C'est à peu près ce qu'affirme une équipe canadienne du MonkCenter for International Studies.
Alertés par le cabinet du Dalaï Lama, ces informaticiens ont commencé par inspecter les ordinateurs de cette organisation, en Inde, considérée comme le gouvernement tibétain en exil, puis ont poursuivi leurs recherches sur des installations non gouvernementales qui en dépendent. Les investigations, qui ont duré dix mois, se sont poursuivies au sein de bureaux de l'immigration tibétaine en Amérique du nord et en Europe du nord.

Origine incertaine

Les résultats montrent un cyber-espionnage de grande ampleur, reposant sur un réseau de machines infectés, baptisé Ghost Net (réseau fantôme), dépassant largement la communauté des militants pour l'indépendance du Tibet. Le réseau s'étendrait dans 103 pays, sur 1.295 ordinateurs. Il ciblerait surtout l'Asie du sud et du sud-est mais pas seulement. En France, l'ambassade de Roumanie serait elle aussi sous surveillance.
Les ordinateurs infestés comportent un ver, capable de lire les données des fichiers internes mais aussi de mettre en marche la webcam et le microphone... Les chercheurs canadiens affirment que ce ver se propage à raison de douze ordinateurs par semaine. Les résultats sont consignés dans un rapport, Tracking GhostNet: Investigating a Cyber Espionage Network, consultable sur Scribd ou téléchargeable au format PDF.
Le conditionnel est cependant de mise car l'équipe affirme que l'origine de cette surveillance par ver interposé n'est pas certaine et pourrait être aussi recherchée du côté de la CIA ou de la Russie. D'ailleurs, à l'évidence, d'autres réseaux de ce genre existent, mis en place par plusieurs pays. Celui-ci serait simplement plus vaste que les autres.

Source : Futura-Sciences

Le ver informatique Conficker s’activera le 1er avril prochain. Sera-t-il un poisson d’avril ou le plus puissant ordinateur parallèle de l’Histoire? Nul ne le sait pour l’instant, mais plusieurs demeurent craintifs face à cette potentielle attaque.
Conficker; connu aussi sous les noms de Downup, Downandup et Kido, est un ver informatique qui est apparu en octobre 2008. Il exploiterait une faille du Windows Server Service utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003 et Windows Server 2008. Microsoft a vite réagi à ce ver en rendant publique une mise à jour permettant d’éviter le pire. Cependant, les ordinateurs qui n’ont pas installé cette mise à jour ou ceux qui utilisent une copie pirate de Windows sont très vulnérables.
Bien qu’il n’affecte pas les ordinateurs sous Linux et Mac, ce sont tout de même 12 millions d’ordinateurs qui seraient infectés par le ver. Il est possible de retirer le virus d’un ordinateur infecté à l’aide d’antivirus commerciaux, mais la toute dernière version du ver désactive les antivirus ainsi que la mise à jour automatique de Windows! Il peut également bloquer la communication entre votre ordinateur et les sites web d’antivirus et de mises à jour.
Le ver Conficker est l’un des plus brillants vers jamais conçus, mais son objectif demeure mystérieux. Le premier avril prochain, il pourrait devenir le plus grand ordinateur parallèle de la planète, combinant ainsi la puissance de plusieurs millions d’ordinateurs infectés. Le ver génère plus de 50000 noms de domaines et tente de communiquer avec eux. L’auteur n’a qu’à enregistrer l’un d'eux pour prendre contrôle des millions d’ordinateurs zombies.
Plusieurs spéculations circulent en ce qui concerne ses intentions. Certains prétendent que ce ne sera qu’un énorme poisson d’avril alors que d’autres croient que l’équipe derrière Conficker pourrait bombarder la planète de courriels indésirables.
Stefan Savage; scientifique en informatique à l’Université de San Diego a lancé l’idée d’un « Dark Google ». Ce ver serait utilisé pour faire des recherches dans tous les ordinateurs infectés et ensuite vendre les informations de valeur à des pirates informatiques ou des entreprises enclines à l’espionnage industriel.

Sources : Sur-la-Toile, New York Times

Il n'existe aujourd'hui plus beaucoup de vrais virus en circulation (le terme virus définit une catégorie précise de malware). L'un d'eux, pourtant, crée énormément de problèmes en touchant les fichiers du système des ordinateurs infectés. Ce virus, dénommé selon les éditeurs Virut ou Scribble, ne se contente pas de créer des fichiers exécutables et de les lancer, il insère aussi du code malicieux directement dans les fichiers légitimes de Windows. On se retrouve ainsi rapidement avec une quantité considérable de fichiers infectés, dont certains sont vitaux pour le fonctionnement du système. Cette infection est apparue aux environs de 2006, et déjà à cette époque elles causaient bien des soucis car non seulement les fichiers exécutables étaient infectés, mais aussi les fichiers .scr voire les archives .rar. Passer son antivirus n'était pas forcément la solution car ce genre de logiciel n'est pas toujours capable de désinfecter les fichiers contaminés. Il arrivait aussi que les antivirus suppriment les fichiers infectés, effaçant ainsi des fichiers légitimes et indispensables, ce qui causait des dysfonctionnements plus ou moins graves.

Une nouvelle variante fait des ravages...

Or depuis quelques jours, une nouvelle variante a fait son apparition. Celle-ci ne se contente plus d'infecter les fichiers (exe, scr, rar mais aussi html). Elle modifie également les fichiers système (userinit.exe, explorer.exe...). Les conséquences sont donc sérieuses, d'autant plus que les outils utilisés sur nos forums pour désinfecter s'y cassent les dents (certains ne se lancent pas, d'autres ne parviennent pas à supprimer l'infection). Certains helpers parviennent à régler la majorité des problèmes en passant par la console de récupération pour restaurer les fichiers système altérés, puis en passant un scanner antivirus soit en Mode sans échec, soit en utilisant un live-cd. Les chances de désinfection restent toutefois minces et de nombreux cas se terminent par un formatage pur et simple.
À l'heure actuelle, les antivirus se mettent progressivement à jour pour prendre en compte cette infection, notamment pour les droppers (les fichiers qui installent l'infection), comme le montrent deux scans de VirusTotal à dix jours de distance, les premiers le 3 février (sur SVChost et sur Userinit) et le 13 février (également sur SVChost et sur Userinit).
Un des symptômes permettant l'identification de cette infection est la présence de deux entrées dans le fichiers hosts : zief.pl et ircgalaxy.pl

Une source d'infection courante : les cracks

La propagation de Virut s'effectue par les cracks, c'est-à-dire des programmes piratés et éventuellement déprotégés qui constituent d'excellents vecteurs compte tenu de leur abondance, aussi bien sur les réseaux P2P que sur les sites spécialisés. Il est donc plus que jamais nécessaire d'être prudent sur le Net et de ne pas télécharger ce genre de fichiers, qui, d'une manière générale, véhiculent beaucoup d'infection.
En ce qui concerne la désinfection décrite sur le forum Sécurité et malwares, il nous paraît évident qu'elle débouchera systématiquement sur un formatage, car nous ne souhaitons pas nous acharner sur un ordinateur dont nous ne serons même pas sûrs au final de son état (instable ou non, encore infecté ou non).

Source : Futura-Sciences

La licence de votre antivirus va bientôt expirer et vous n'êtes pas très chaud à l'idée de devoir à nouveau sortir votre bourse.
libellules.ch propose un dossier proposant six alternatives capables d'assurer la sécurité de votre ordinateur sans entamer votre budget.

Que celui qui n'a jamais reçu un message lui vantant les mérites de la loterie lève le doigt ! Probablement personne… Eh oui, c'est ainsi... tous les jours nous recevons dans notre boîte aux lettres électronique des messages (en général commerciaux) que l'on n'a pas vraiment sollicités : on appelle ces messages des spams... et les autres, qui sont vraiment intéressants... des hams ! Spams et hams : voilà ce qu'il y a dans votre boîte aux lettres (virtuelle ou réelle !).

Voir l'article complet sur )i( interstices.

La spectaculaire chute du trafic de spams en novembre suite à la fermeture des activités du FAI californien McColo ne s'annonce que provisoire, le temps que les spammeurs répandent une nouvelle vague de chevaux de Troie pour recréer leurs réseaux d'ordinateurs infectés.
Les estimations chiffrées de cette baisse varient entre 50 et 80 pourcents mais même l'hypothèse la plus basse représente une chute sans précédent dans un tel intervalle de temps et aucun observateur n'avait envisagé qu'un seul FAI pouvait abriter une part si importante des réseaux de spams de la planète.
Cette amélioration pourrait cependant ne pas durer puisque les spammeurs hébergeant leurs infrastructures sur McColo risquent de multiplier leurs attaques afin de reconstituer leurs réseaux au cours des prochaines semaines. La réaction des spammeurs dépendra de la facilité avec laquelle ils parviendront à reprendre le contrôle des ordinateurs zombies. S'ils éprouvent des difficultés à récupérer ces ordinateurs, il leur faudra alors en reconquérir d'autres à l'aide de chevaux de Troie pour reconstruire entièrement leurs réseaux. Le volume de ces nouvelles attaques dépendra de chaque réseau de zombies et de la possibilité pour un autre FAI voyou de réactiver que les adresses IP de McColo.
Malgré la résurgence quasi assurée des réseaux mis au pas par l'arrêt des serveurs de McColo, cet épisode pourrait tout de même avoir un impact bénéfique en convainquant les autorités que la lutte contre les spams est possible si les mesures de surveillance et de fermeture des FAI suspects se voient mises en application plus régulièrement et à plus grande échelle.

Futura Sciences propose un dossier complet sur les malwares, ces programmes informatiques de tout poil qui nous empoisonnent la vie depuis des années. Lire le dossier Malwares : premiers gestes pour désinfecter sa machine.

Probablement embarqué dans une clé USB ou une carte mémoire d'un astronaute, un virus informatique a pris le chemin de l'espace. Diffusée par un site Web, l'information a suscité un certain émoi et a été confirmée par la Nasa... qui précise que ce n'est pas une première.
Il s'appelle W32.Gammima.AG. Ce virus ne sert qu'à tricher à des jeux vidéo en récupérant des codes d'utilisateurs légaux, une occupation très terre à terre, donc. Mais il a été détecté sur « des » ordinateurs portables dans la Station spatiale internationale (ISS), pourtant très protégée sur ce plan.
L'ISS, en effet, n'est pas reliée directement à Internet mais seulement aux centres de contrôle par des liaisons sécurisées. Une attaque virale est donc bien peu probable. Pourtant, elle a bien eu lieu, révélée par le site Web américain SpaceRef.com, qui indique que cet événement vient d'être discuté lors d'une récente réunion de travail sur l'ISS.
La Nasa a confirmé, sans toutefois donner le nom du virus et un porte-parole a affirmé que d'autres infections de ce genre s'étaient déjà produites. Toujours selon la Nasa, les ordinateurs infectés ne sont pas reliés au système informatique contrôlant la Station, qui ne court donc aucun risque.
Comment W32.Gammima.AG a-t-il pu quitter la Terre ? L'explication retenue est celle d'une contamination d'un logiciel installé par un astronaute sur une clé USB ou une carte mémoire. La Nasa explique que les portables des expéditions envoyées vers l'ISS ne sont pas toujours bien protégés par des logiciels antivirus.

Source : Futura-Sciences

Rising pourrait être une nouvelle alternative, pour ceux qui n'ont rien contre les chinois, à Avast, Antivir, AVG en tant qu'anti-virus gratuit. Il protège votre ordinateur contre tous les types de virus, chevaux de Troie, vers, rootkits et autres programmes malveillants. Il offre une protection en temps réel, balayage des e-mails (POP3/SMTP), des mises à jour automatiques, des scans réguliers, la surveillance d'éventuels changements dans votre système et d'un comportement suspect des applications et autres problèmes potentiels. La version gratuite offre le même niveau de protection que la version commerciale mais ne comprend pas de pare-feu.

Pour le téléchager : http://www.snapfiles.com/get/risingavfree.html

L'époque où les malwares étaient diffusés principalement sous forme de mail est derrière nous car ils utilisent maintenant d'autres voies. Ceci rend d'autant plus nécessaire une alerte si cette méthode est à nouveau employée. C'est en effet ce que fait le cheval de Troie Exchanger.
Le piège se présente sous la forme d'une lettre d'information envoyée par mail intitulée msnbc.com - BREAKING NEWS. Attention : ce mail ne contient aucune pièce jointe, contrairement à ce qui se pratiquait dans les anciennes infections. Son corps contient l'annonce d'une information parfois véridique, parfois totalement inventée, qui semble émaner de MSNBC-Microsoft. Il invite à cliquer sur un lien pour avoir plus d'informations.
On aboutit alors à une page qui semble bien être celle du service MSNBC, sauf qu'il apparaît une petite fenêtre d'alerte invitant à faire une mise à jour du lecteur Flash en chargeant le fichier adobe_flash.exe. C'est là qu'est le piège car ce fichier est, bien entendu, un cheval de Troie qui entre dans la catégorie des Trojan Downloaders. C'est à dire qu'installé sur l'ordinateur il permet le téléchargement d'autres malwares.
Pris d'un doute un lecteur un peu soupçonneux pourra se méfier de cette invitation à télécharger un programme. Il remarquera alors un bouton Close page, mais c'est en réalité un autre piège S'il clique sur ce bouton il verra en effet s'ouvrir une nouvelle fenêtre intitulée Antivirus XP 2008 qui l'avertira que des infections ont été trouvées sur l'ordinateur (ce qui est faux) et qui proposera le téléchargement d'un antivirus sous la forme d'un fichier scaner.exe. En réalité ce fichier est le même cheval de Troie que adobe_flash.exe. Ce type de fausse détection est un piège classique qu'on rencontre dans de nombreux autres cas.
Ce malware semble faire partie d'une famille connue depuis pas mal de temps, seul son mode de diffusion étant nouveau. Sa diffusion est assez active car à titre personnel, j'ai déjà reçu une dizaine d'exemplaires d'un message de ce type, correspondant à deux variantes A et B. Heureusement il a été détecté dès son arrivée d'une part par l'antispam, d'autre part par l'antivirus.
Si vous avez malencontreusement ouvert ce message et suivi le lien qu'il indique il ne vous reste plus qu'à faire désinfecter votre ordinateur.

Source : Futura-Science