Images    Groupes    Annuaire    Actualités    plus »

 


  Recherche avancée
  Préférences
  Outils linguistiques

Rechercher dans :

Annexe - Sécurité

 Free Internet Security - WOT Web of Trust

Exemples de mai 2009 -> http://www.kine-online.com/malware2009e.htm

Phishing "aggravé" : la simple visualisation d'un faux message de Paypal infecte l'ordinateur : mars 2009

Une attaque de secure.softsales-discount.com & updvms.cn -> PC devenu inutilisable : juillet 2009

Un site "tout ce qu'il y a de plus officiel" [National Pharmaceutical Control Bureau] ... et pourtant (juillet 2009)

Un exemple typique d'infiltration malgré la surveillance du PC par un Symantec Antivirus (à jour) : juillet 2009

Fichier PDF infecté par Trojan.Pidief.G et faille dans Flash/Acrobat : juillet 2009 (correctif Adobe attendu)

 

  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

Antivirus "En Ligne" : http://www.inoculer.com/webantivirus.php3

 

  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

Morro : antivirus gratuit de Microsoft : MSE (juin 2009)

Selon Symantec : "les antivirus gratuits sont dangereux" (juillet 2009)

"la solution gratuite de Microsoft n'est rien de plus qu'une version simplifée du produit OneCare ...

... aujourd'hui, si vous n'utilisez qu'un antivirus gratuit pour vous protéger, vous ne serez pas en sécurité" !

 

 

 - Hardware : pas cher

 - Software : pas cher

 

 

Sommaire de ce site : http://www.kine-online.com/sommaire.htm

Plusieurs de nos Clients nous ont demandé "quel intérêt peuvent avoir des pirates à infecter un ordinateur ?"

 

Une des réponses est : faire de la tune.

Grâce au code mailcieux qu'ils introduisent dans votre PC, ils peuvent prendre le contrôle de celui-ci.

Vous rejoignez alors leur "botnet" = leur réseau d'ordinateurs "zombies".

Une fois leur botnet composé de plusieurs milliers de machines, ils proposent à d'autres pirates, moyennant finances, d'installer sur les PC's du réseau qu'ils administrent, des codes tiers comme ceux amenant des popup's publicitaires et/ou frauduleux, comme (par exemple) la vente d'un faux antimalware.

 

- Ces pirates proposent également d'effectuer, pour leurs Clients, des attaques (anonymes) par déni de service (DoS). Les zombies étant alors utilisés comme "machines-rebonds".

- Sans parler des services d'émission de milliards de spams [jusqu'à 25.000 spams à l'heure par zombie] et du vol de données bancaires et identitaires à grande échelle.

- Un "bon botnet" est composé de 30.000 à 100.000, 140.000 PC's; le record semble être de 1.953.448 machines pour un seul botnet.

- Comment ... créer un botnet en 30 secondes !

- Le ver Conficker (ou Downadup ou Kido) a beaucoup fait parler de lui en début de cette année 2009; « Il s'agit certainement du botnet le plus sophistiqué de la planète. Les hommes derrière cela sont très professionnels », explique  Paul Ferguson, chercheur au cabinet de Trend Micro.

- Remarque : les GSM's récents disposent d’une bonne capacité informatique, de belles applications Web et de meilleures connexions Internet ... ils pourraient devenir des cibles pour une attaque de type botnet !

- Note : nous soupçonnons des Sociétés de haute réputation d'utiliser ce type de services pour afficher leurs offres commerciales sans votre consentement; mais ce n'est qu'une intime conviction car il nous est impossible d'en obtenir les preuves.

Cette idée qu'une Société puisse recourir à ce type de pratique est-elle paranoïaque ou totalement farfelue ? ... http://www.zdnet.fr/actualites/internet/0,39020774,39503831,00.htm

De nombreux Clients se plaignent de se retrouver avec un ordinateur infecté alors qu'ils ne surfent sur aucun site "à risques"

 

Voici un exemple de processus dangereux via un "clic anodin"

Source : Trend Micro

 

Un message d'un de vos contacts (dans un réseau social comme Facebook ou via MSN Messenger) vous parvient.

Il contient un lien vers une vidéo que vous ne pouvez lire sans une mise à jour de votre média-player.

La mise à jour proposée est en réalité un malware qui fera en sorte de réenvoyer ce message à vos contacts (dans l'exemple fourni) ...

... ou qui installera un autre type d'infection; plusieurs exemples vécus sont rapportés dans cette page ...

... avec pour conséquence que votre PC peut devenir inutilisable.

 Mars 2009 : cas concret de l'illustration ci-dessus.

Usurpation d'identité Facebook via un worm - BE CARE

 

Profil Facebook de Jacques Doumont

 

1/ Le message reçu d'un de mes Contacts :

 

 

Il fait référence à http:// ersekirt[removed]iye.com/ e3/ index.php
Note : il s'agit d'une usurpation d'identité; cette Amie n'ayant rien envoyé de ce genre.

 

2/ Ouverture du lien proposé dans le message : ersekirt[removediye.com/e3/index.php -> redirection vers

http:// 67.169.99.[removed]/ pid=1000/?ch=&ea= ou vers http:// 93.148.74.[removed]/ pid=1000/?ch=&ea= qui affiche :

 

 

Sans souci sauf que ...

3/ ... rentrée du virus.
Qui est "a variant of Win32/Koobface.NBA worm" selon (l'excellent) Eset Nod32.
Documentation sur ce type de malware : http://www.kaspersky.com/news?id=207575670

Juin 2009 : des courriels piégés ont commencé à être diffusés dès les premiers instants suivant la nouvelle de la mort de Michael Jackson. Certains proposaient des « informations secrètes » au sujet de la mort du chanteur, l'idée étant d'engranger un maximum d'adresses d'internautes ayant répondu au message. Un trésor de guerre qui sera exploité plus tard pour spammer, ou revendu à des sociétés d'e-marketing. D'autres courriels repérés sont eux plus dangereux : ils contiennent des liens vers des images et des vidéos « exclusives » de Michael Jackson. Si l'internaute clique sur le lien, il charge sans le savoir un malware, de type cheval de Troie.

Juin 2009 : Microsoft travaille sur un antivirus gratuit (Morro), qui devrait sortir en version finale durant la seconde moitié de l'année 2009 (en même temps que Windows 7 ?).

La firme de Cupertino affirme que « le Mac est conçu autour de technologies qui assurent sa protection face aux logiciels malveillants et aux menaces de sécurité dès sa sortie de la boite ».

 

Cependant ....

 

 

Des experts en sécurité informatique ont découvert (en juin 2009) deux nouvelles formes d'un malware ciblant les machines tournant sous Mac OS X : PSX/Tored-A et OSX/Jahlav-C. PSX/Tored-A qui est une version du ver Mac OS Tored, un malware découvert en mai 2009.

 

Suivi : http://www.clubic.com/actualite-282550-mac-os-java-tiger-leopard.html (juin 2009)

Suivi : rootkit pour Mac OS X (juillet 2009)

Suivi : Apple aurait intégré un antivirus dans Snow Leopard (août 2009)

Suivi : un nouveau cheval de Troie ciblant les utilisateurs de Mac OS X avait été découvert. Issu de la famille JOSX_JAHLAV, ce ver se fait passer pour une version de Foxit Reader spécialement conçue pour Mac OS X - une application qui n'a jamais été éditée par la société Foxit Software - et modifie les DNS du système pour rediriger les utilisateurs vers des sites Internet frauduleux contenant du code malicieux ou des menaces de phishing. (26 août 2009)

Septembre 2009 : une nuisance persistante : meetyourmessenger

 

Le nom qu'affiche Google est évocateur : "site d'arnaque"

 

From SPAM :

 

  : NON !

Aôut 2009 : spam bourré de javascript's

Le niveau de sécurité de notre PC n'autorise pas ces dangers.

Plusieurs URL's référencées plante notre navigateur.

Provenance : Korea Network 211.244.213.178, jonathan@e-fta.co.kr (X-Authentication-Warning: mail.e-fta.co.kr: e-fta set sender to jonathan@e-fta.co.kr using -f)

 

EzAutoLogin.PG_Name = 'EC21';
EzAutoLogin.ClassName = 'TFrmMain';
EzAutoLogin.CapName = 'EC21 Messenger';
EzAutoLogin.DownUrl = 'http://203.233.205.66:8080/help/Alert/popup_mesg.html';
EzAutoLogin.UserID = msguser;

 

<!-- ¨ú¨¡¡¤¢®?? js ¨¡????¨¬ Add Inquiry ¢¯¢® ??¢¯? -->
<script language="javascript" src="http://www.ec21.com/inc/js/Common.js"></script>
<script language="javascript" src="http://www.ec21.com/inc/js/Inquiry.js"></script>
<script language="javascript" src="http://www.ec21.com/inc/js/common.js"></script>

 

Related : http://image.ec21.com/co/d/daesangtech/img/mu_logo.gif - http://kr.ec21.com Global B2B Marketplace

Electric Steam Car Washer : http://video.google.com/googleplayer.swf?docid=-3780761292069897811&hl=ko&fs=true

Non approfondi : je ne désire pas passer ma voiture au car wash en Corée via internet ... mdr.

Juillet 2009 : Spam Attack

 

Un PC doit être vérolé quelquepart, avec notre email dans son carnet d'adresses ->

 

Au total : 109 messages en 24 heures = une vraie nuisance.

 Architecte mailing list - pause1 : de 17:05 à 03:37 - pause2 : de 17:32 à ?après 09:05?

 

Le spammeur Architecte "Votre site à votre image" semble s'essouffler ?

Du 14/7 à 17:05 au 16/7 à 09:05 = 17 spams en 40 heures (au lieu de 109 en 24 heures)

 

 

Un exemple de headers :

Return-path: <architecte-bounces@testing-sites.com>
X-Spam-Score: 7
Received: from server.les-solutions.com (unverified [208.43.64.21]) by mail10.e-REMOVED (Rockliffe REMOVED) with ESMTP id <B0011177004@mail10.eREMOVED> for <REMOVED@ vinosoftREMOVED>; Tue, 14 Jul 2009 16:30:40 +0200
Message-ID: <REMOVED@mail10.e-zone.net>
Received: from localhost ([127.0.0.1] helo=server.les-solutions.com) by server.les-solutions.com with esmtp (Exim 4.69) (envelope-from <architecte-bounces@testing-sites.com>) id 1MQhH1-0008VY-4u; Tue, 14 Jul 2009 14:38:19 +0200
Received: from mail.rrhi.net ([216.235.38.45] helo=mail1.rrhi.net by server.les-solutions.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from <rex@maxats.com>) id 1MQevF-0005ud-1D
for architecte@testing-sites.com; Tue, 14 Jul 2009 12:07:42 +0200
Received: from [10.0.1.2] (localhost [127.0.0.1]) by mail1.rrhi.net (Spam & Virus Firewall) with ESMTP id 7517C2A8127 for <architecte@testing-sites.com>; Tue, 14 Jul 2009 00:06:24 -1000 (HST)
Received: from [10.0.1.2] (rrcs-66-91-133-149.west.biz.rr.com [66.91.133.149]) by mail1.rrhi.net with ESMTP id eN55cHvuYtutIff3 for <architecte@testing-sites.com>; Tue, 14 Jul 2009 00:06:24
To: architecte@testing-sites.com
Auto-Submitted: auto-generated (failure)
Received: from mail1.rrhi.net [10.192.0.4] by mail.rrhi.net with ESMTP (SMTPD32-8.05) id A8557D0176; Tue, 14 Jul 2009 00:05:09 -1000
Received: from server.les-solutions.com (localhost [127.0.0.1]) by mail1.rrhi.net (Spam & Virus Firewall) with ESMTP id 08CDB1778D6 for <rex@maxats.com>; Tue, 14 Jul 2009 00:05:08 -1000 (HST)
Received: from server.les-solutions.com (208.43.64.20-static.reverse.mycohost.net [208.43.64.21]) by mail1.rrhi.net with ESMTP id C4QFZt89KecqekAS  (version=TLSv1 cipher=AES256-SHA bits=256 verify=NO) for <rex@maxats.com>; Tue, 14 Jul 2009 00:05:08 -1000
Received: from localhost ([127.0.0.1] helo=server.les-solutions.com) by server.les-solutions.com with esmtp (Exim 4.69) (envelope-from <architecte-bounces@testing-sites.com>) id 1MQeg2-0002gk-A0;  Tue, 14 Jul 2009 11:51:58 +0200
Received: from mtagate8.de.ibm.com ([195.212.29.157]) by server.les-solutions.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from <pbournhonesque@fr.ibm.com>) id 1MQd09-00074R-45 for architecte@testing-sites.com; Tue, 14 Jul 2009 10:04:37 +0200
Received: from d12nrmr1607.megacenter.de.ibm.com (d12nrmr1607.megacenter.de.ibm.com [9.149.167.49]) by mtagate8.de.ibm.com (8.14.3/8.13.8) with ESMTP id n6E84W7d422720 for <architecte@testing-sites.com>; Tue, 14 Jul 2009 08:04:32 GMT
Received: from d12av06.megacenter.de.ibm.com (d12av06.megacenter.de.ibm.com [9.149.165.230]) by d12nrmr1607.megacenter.de.ibm.com (8.13.8/8.13.8/NCO v9.2) with ESMTP id n6E84WDu2711720 for <architecte@testing-sites.com>; Tue, 14 Jul 2009 10:04:32 +0200
Received: from d12av06.megacenter.de.ibm.com (loopback [127.0.0.1]) by d12av06.megacenter.de.ibm.com (8.13.1/8.13.3) with ESMTP id n6E84Wpv027644 for <architecte@testing-sites.com>; Tue, 14 Jul 2009 10:04:32 +0200
Received: from d12ml707.megacenter.de.ibm.com (d12ml707.megacenter.de.ibm.com [9.149.167.188]) by d12av06.megacenter.de.ibm.com (8.13.1/8.12.11) with ESMTP id n6E84Wgl027635 for  <architecte@testing-sites.com>; Tue, 14 Jul 2009 10:04:32 +0200
Resent-From: rex@maxats.com
Mime-Version: 1.0
X-Mailer: Apple Mail (2.935.3)
Resent-Message-Id: <20090714100624.7517C2A8127@mail1.rrhi.net>
Resent-Date: Tue, 14 Jul 2009 00:06:24 -1000 (HST)
From: architecte@testing-sites.com
Subject: =?utf-8?q?=5BVotre_site_=C3=A0_votre_image=5D?= Returned mail: User unknown
X-BeenThere: architecte@testing-sites.com
X-Mailman-Version: 2.1.11.cp3
Precedence: list
Reply-To: architecte@testing-sites.com
List-Id: <architecte_testing-sites.com.testing-sites.com>
List-Unsubscribe: <http://mail.testing-sites.com/mailman/options/architecte_testing-sites.com>, <mailto:architecte-request@testing-sites.com?subject=unsubscribe>
List-Archive: <http://mail.testing-sites.com/mailman/private/architecte_testing-sites.com>
List-Help: <mailto:architecte-request@testing-sites.com?subject=help>
List-Subscribe: <http://mail.testing-sites.com/mailman/listinfo/architecte_testing-sites.com>, <mailto:architecte-request@testing-sites.com?subject=subscribe>
Sender: architecte-bounces@testing-sites.com
Errors-To: architecte-bounces@testing-sites.com
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server.les-solutions.com
X-AntiAbuse: Original Domain - REMOVED
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - testing-sites.com

 

Related terms : ml.online.net (88.191.253.44, Dedibox SAS, Free SAS / ProXad, 75008 Paris)

SAS OVH - www.ovh.com - 2 rue Kellermann - BP 80157 - 59100 Roubaix - www.ovh.com/fr/espaceclients/support

http://mail.testing-sites.com/mailman/listinfo/architecte_testing-sites.com - mailman@mail.testing-sites.com

208.43.64.20-static.reverse.mycohost.net (208.43.64.21) - mail.rrhi.net (216.235.38.45)

 

SUIVI : la pollution s'est arrêtée le 15/07/2009 à 17:31

Juillet 2009 : Rootkit

Sujet non approfondi

 

 

 

Mots-clés :

- lié et/ou repéré à/via MSN Live Messenger (selon notre Client) : affiche un message de type url:...sex... à chaque conversation (vérifié, exact)

- LVPrcInj01.dll de windows\temp\logishrd est un "oeuf" :

il est renommé en ocfsthtkbevmfpcrcn.... service (cfr. image ci-dessus) - ovfsthoohhiviqksbbkuqlwnuwrwqxoiembanf.dat

- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "svc"="c:\\program Files\\ThunMail\\testabd.exe" (a variant of Win32/PSW.WOW.NKL trojan) & "AppInit_DLLs"="c:\\progra~1\\ThunMail\\testabd.dll" : testabd.dll a variant of Win32/PSW.WOW.NKL trojan

- also related : http:// traff.9966.org:88/tj.htm (via c:\tj.vbs)

 

chinanet-js-nt - Jiangsu Province - 58.221.251.247

 

Juillet 2009 : téléchargement d'un faux codec -> popup's spontanés -> tests par différents antimalwares ->

tubeview, streamviewer, videostream, ...

 

Alertes de Trojan Remover : msa.exe et msxml71.dll

Fichiers (tmp) associés au cheval de Troie : (regedit, user, run) b.exe & f.exe

 

Removing the following registry keys:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}
HKCR\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}

 

Envoi de msa.exe chez VirusTotal qui confirme le trojan (Trash.Gen) ...

... qui n'est reconnu que par 2 des 41 antivirus de leur batterie :

 

Le fichier est renommé (.vir) et soumis à Nod32 :

 

 Win32/TrojanDownloader.FakeAlert.AEB

MSN Spam, juin - juillet - septembre 2009 :

 

 

 Clique ici -> contactsquibloque.com

 

 

 

 Encoder login/pass sur un site inconnu ... danger. Soyez prudents.

 

Je m'en doutais

 

 

Simplement suspect n° 2009F28 : considéré comme safe par safeweb.norton.com

 

Encoder login/pass sur un site inconnu (même safe selon norton) reste un danger.

 

Encore plus de nuisances et de dangers, juillet 2009 :

 

 

 

 

Septembre 2009 :

 

http://hn00b3.i-noticed-blocked.com/?id=ByxuwZKLM&invitation=undemesamis@hotmail.com

 

 

hn00b3.i-noticed-blocked.com (118.142.9.162) - Hutchison Global Communications, HONG KONG 

<script type="text/javascript" src="jquery.js"></script>
<script type="text/javascript" src="site.js"></script>
<link href="site.css" media="screen" rel="Stylesheet" type="text/css" />

 

Je suis déjà membre :

 

Note : un fois votre login/pass encodé sur ce site de pirates -> http://www.kine-online.com/alain2009h06.htm

Phishing, juin 2009 :

securedprivacies.com, 78.110.166.235, Rugby

 

Received: from User ([86.0.229.121]) by aamtaout04-winn.ispmail.ntl.com (InterMail vG.2.02.00.01 201-2161-120-102-20060912)

with SMTP id <20090628072908.BSBW22934.aamtaout04-winn.ispmail.ntl.com@User>; Sun, 28 Jun 2009 08:29:08 +0100
From: "P. Halifax"<operator_665@halifax.co.uk>

cpc2-derb6-0-0-cust376.lei3.cable.ntl.com (86.0.229.121) : Winchester

97 % des courriers électroniques qui circulent sur Internet sont en réalité des pourriels indésirables, constate Microsoft dans son rapport sur la sécurité informatique. La plupart d'entre eux contiennent des fichiers attachés d'apparence légitime, mais qui contiennent en réalité des logiciels espions. Par ailleurs, 8,6 ordinateurs sur 1000 sont contaminés par un logiciel malveillant provenant d'un spam ... la suite sur informaticien.be (avril 2009).

 

Un spam fait référence à une page Web qui télécharge un fichier install.exe

Comme cela est toujours suspect, je le télécharge sous le nom de "SUSPECT-install.exe" ...

... et je le soumets au service que je vous ai recommandé en http://tinyurl.com/cve4zb (post du 26/03/2009) :

 

 

 Voici les résultats de cet excellent service gratuit (VIRUSTOTAL) :

 

Merci VirusTotal : trojan, fraud, systemsecurity ...

Note : Eset Nod32 v2.70.39 (en local) donne le message suivant : "file SUSPECT-install.exe : Win32/Adware.SystemSecurity application"

MSN Windows Live Messenger utilisé comme support de spam :

 

1/ Arena, Flora, Jennie, Kritin demandent qu'on les accepte dans nos contacts :

 

2a/ Une fois dans nos contacts, on reçoit leur message -> SPAM

 look324.com redirige vers www hornymatches.com/geolist.php :

 

2b/ Une fois dans nos contacts, on reçoit leur message -> SPAM

-> adultdateaction.net

 

Microsoft s'attaque au spam qui sévit sur Live Messenger ... http://www.zdnet.fr/actualites/internet/0,39020774,39702397,00.htm?xtor

 

Décembre 2008 : comme toutes les années, la période des fêtes et de voeux est une source de spam's piégès - BE CARE

Exemple :

 

[ayant un Ami actuellement en vacances au Brésil] Click ->

-> virus :

29/12/2008 - http://obligationes.pisem.su/explorer.com probably a variant of Win32/Statik application

 

X-SID-PRA: yahoocard@card-cartao.com.br
Received: from www327.sakura.ne.jp ([202.181.99.47]) by bay0-mc5-f17.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668);
Sun, 28 Dec 2008 03:18:15 -0800
Received: from www327.sakura.ne.jp (localhost.sakura.ne.jp [127.0.0.1]) by www327.sakura.ne.jp (8.13.6/8.13.6) with ESMTP id mBSBIEiv018279  (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO) for <vinosoft@[removed]>; Sun, 28 Dec 2008 20:18:14 +0900 (JST) (envelope-from jst@www327.sakura.ne.jp)
Received: (from jst@localhost) by www327.sakura.ne.jp (8.13.6/8.13.6/Submit) id mBSBIEtL018278; Sun, 28 Dec 2008 20:18:14 +0900 (JST) (envelope-from jst)
Message-Id: <200812281118.mBSBIEtL018278@www327.sakura.ne.jp>
Subject: te adoro
From: yahoocard@card-cartao.com.br
Return-Path: jst@www327.sakura.ne.jp

 

Expéditeur : www327.sakura.ne.jp (202.181.99.47) : SAKURA Internet Inc. - Osaka - Japan

Hébergeur du virus : obligationes.pisem.su (82.204.219.235) : Pochta.ru network - Moscow, Russia

30 Novembre 2008 : spam "Post Card" avec virus à télécharger

 

1/ le message :

2/ ses headers :

3/ l'expéditeur :

 

4/ son effet :

 

En cas de téléchargement :

Un effet secondaire : 30 fenêtres popup Ruhu en cas d'ouverture de articlesemporium.com (source du virus)

Le site vérolé : articlesemporium.com (62.149.36.46, London, UK - server17.dedicateduk.com)

Novembre 2008 : le super bug d'un antivirus gratuit, cas concret traité en notre atelier le 10/11/2008 :

Explications (ultérieures à notre cas) sur : http://www.01net.com/editorial/395915/l-antivirus-avg-s-attaque-par-erreur-a-windows-xp/

 

Le support technique de AVG a mis en ligne un mode d'emploi pour les utilisateurs affectés par ce problème.

Un porte-parole de la société déclare : « les utilisateurs concernés ne pouvant pas utiliser leur PC doivent contacter leur revendeur ou demander à un ami de télécharger l'information et le correctif pour eux. »

Octobre 2008 : nous rencontrons de plus en plus de virus dans des fichiers multimédia. - BE CARE

 

Jusqu'à présent, les fichiers .mp3 et les .mp(e)g/.avi vérolés étaient été anecdotiques.

 

Exemple d'un PC qui présente des dysfonctionnements logiciels [dont : MSN Messenger & Incredimail sont inopérants; Skype refuse la fermeture]. AD2008J27PCT088PA. Le PC nous a été confié plusieurs mois après les premières alertes.

Ces erreurs ont de nombreuses infections pour sources :

 [liste non limitative]

OP.class,Trojan.ByteVerify - Compressed file ...\Application Data\Sun\Java\Deployment\cache\6.0\43\330fa4eb-6104a157
Trojan.Wimad - johnny hallyday ....mp3 ... \Incomplete

Trojan.Wimad - bien venue chez les chtis....mpg ... \Incomplete

Trojan.Wimad - ... carla bruni.mp3 ... \Incomplete

Downloader.Swif.C - ... \Temporary Internet

Bloodhound.Exploit.193 - ... \Temporary Internet

Downloader - ... index[2].htm ... \Temporary Internet

Backdoor.Trojan - ... \System Volume Information\_restore

Downloader - IncrediMail_Install.exe .... C:\Program Files\IncrediMail\bin\,Infected

 
Exemple d'un autre PC P_CORB24/ANA2008J mais qui a pu se défendre grâce à son antivirus et qui a été amené dès la première alerte en notre atelier :

985 lignes du type Bloodhound.Exploit.196 - ... DWH7290.tmp ...\AppData\Local\Temp\,PC_VAN_B - Infected - Heuristics

W32.SillyDC - ... AUTORUN.INF,File,G:\,PC_VAN_B - Infected

a variant of WMA/TrojanDownloader.GetCodec.gen trojan - ... Coldplay - Yes.mp3

 

Documentation sur Internet :

- Une nouvelle forme de fichiers MP3 et MPEG contenant en fait plusieurs logiciels malveillants se répand actuellement dans les réseaux Peer-to-Peer (P2P), prévient cette semaine la firme de sécurité informatique McAfee. Selon les informations colligées par l'entreprise grâce à son logiciel antivirus, les ordinateurs de plus de 500 000 internautes ont été infectés avec les faux fichiers MP3 et MP(E)G en moins d'une semaine. ... techno.branchez-vous.com 05/2008
- WMA TrojanDownloader GetCodec : http://www.avira.com/fr/threats/section/fulldetails/id_vir/4189/tr_dldr.wma.getcodec.a.html 06/2008

Autre exemple d'infection (sous Vista, en octobre 2008) : "un train peut en cacher un autre"

= un trojan en appelle d'autres

 

Un faux antivirus se connecte sur des "serveurs de nuisances" ...

... et vous ramène un vrai "bundle de malwares" :

 

 

Serveurs : 78.157.143.198 : UltraNet SIA - vdhost ltd - Riga - Lettonie

& 91.203.92.121 : UATelecom - Ukraine or United Kingdom

This IP is being shared among many domains - Specialists in Telecommunications including Lines, Calls, Telephone Systems and VoIP.

 

Le pare-feu donne également des alertes "poisonning attack" :

 

 

Les faux antivirus ne nomment "Rapid Antivirus" et "Total Secure 2009".

Et ils ont des tendances "gay" manifestes :-)

Malgré les interceptions de Nod32, il est devenu totalement impossible de travailler sur ce PC si il est connecté sur Internet : le nombre de popup's de type (fausse) "alerte de sécurité" est tel que vous ne disposez plus d'une seule seconde pour faire autre chose que de tenter de les fermer.

Mesure corrective : restore "image saine" du "boot disk" après avoir sauvé documents, email, contacts, ... (récents, de moins de 5 jours).

Encore faut-il en avoir une mais c'est le cas dans ce "VinoSoft Secure Workstation" équipé de deux disques durs internes (le second contenant une image du C:\ : mise à jour dynamiquement une fois par semaine).

L'état de la menace informatique dans le monde (août 2008) : journaldunet.com

- "DNSChanger.ech" : trojan en tête du hit-parade des virus

- répartition des codes malveillants : les chevaux de Troie (80%) et les adware (20%)

- phishing : la Roumanie est au sommet

- répartition géographique des attaques : USA - Chine - Roumanie - Russie - Allemagne

- spam : France Télécom est le plus mauvais élève.

"DNSChanger.ech" reconfigure les adresses DNS afin de diriger à son insu un internaute contaminé vers un site de phishing et ainsi dérober des données sensibles

 

Dans notre messagerie (septembre - octobre 2008) : beaucoup de viagra assaisonné de quelques virus :

 

 

Octobre 2008 : PC (de type C2D, sous Millenium-2006) vérolé (par un rogue)

 

1/ Les écrans suivants s'affichent spontanément;

en cas de fermeture, ils reviennent à une telle cadence qu'il est impossible de travailler :

 

Il s'agit d'une fausse information de la part d'un faux Antivirus

 

 

2/ Deux nouvelles icônes sont apparues sur le bureau :

 

 

3/ Les messages du vrai antivirus sont les suivants :

 

 

-

 

Les sites bloqués par le vrai antivirus sont :

 

- http://scanner.vav-x-scanner.com = 91.208.0.246, Still Trade Ltd, Sergey P., St. Petersburg, Russian Federation

- http://78.157.142.26 = UltraNet SIA, Arturs V., Riga, Lettonie (Latvia)

Note : cette dernière IP est bien connue de http://safeweb.norton.com/report/show?url=http%3A%2F%2F78.157.142.26&x=7&y=7

 

4/ Les processus malins sont 1.exe, 2.exe, ... 7.exe

 

 

5/ Les fichiers de l'infection se trouvent en "Program Files/PCHealthCenter" ...

 

 

... et en "System32" et "Program Files/MicroAV"

Désinfection simple :

1/ Stop processus malins

2/ Delete fichiers associés à ces processus

3/ Stop "System Restore"

4/ Nettoyage de la registry

5/ Nettoyage par Spybot :

 

6/ Reboot et restart "System Restore".

 

Documentation sur Internet :

- http://www.411-spyware.com/fr/enlever-micro-antivirus-2009

Micro Antivirus 2009 - également connu comme MicroAntivirus2009 - est plus faux anti-logiciels espions. À l’instar d’autres escroquerie anti-logiciels espions, vous pouvez remercier un troyen déguisé en un codec vidéo ou un site Web pour les professionnels malhonnêtes pour l’installation de Micro Antivirus 2009 sur votre PC. Une fois Micro Antivirus 2009 est installé, Micro Antivirus 2009 essaie de vous tromper en achetant l’ensemble “complet” de la version Micro Antivirus 2009 avec de faux avertissements de sécurité.

 

Vous vous demanderez comment est-ce que votre ordinateur a été infecté avec Micro Antivirus 2009. En général, si votre ordinateur est infecté par Micro Antivirus 2009, malware ou espiogiciel, c´est parce que les configurations de sécurité de votre système et de votre navigateur web ont été établis dans un niveau bas, probablement vous n´avez pas suivi de pratiques de navigation web et des habits sûrs avec le courrier électronique, et pour cette raison vous avez besoin d’utiliser régulièrement une bonne application anti - espiogiciel. Quelques pratiques incertaines qui peuvent infecter votre ordinateur avec Micro Antivirus 2009 sont :
- Graticiel Ou Partagiel: Avez-vous téléchargé ou avez installé shareware ou freeware ? Les applications de logiciel de prix bas (partagiel) ou gratuites (graticiel) peuvent inclure spyware, adware ou des logiciels comme Micro Antivirus 2009. Dans quelques occasions l’adware vient adjoint au logiciel gratuit comme une forme de “paiement” aux développeurs par le prix de création du logiciel, et fréquemment l’espiogiciel vient adjoint d’une forme secrète et malicieuse au logiciel gratuit afin de nuire.
- Un logiciel Point par point (Peer-to-Peer, P2P): Avez-vous utilisé un programme peer-to-peer ou d’autres applications dans un réseau partagé ? Quand vous utilisez ces applications, votre système cours le risque de décharger des archives infectées, en incluant des applications comme Micro Antivirus 2009.
- Des sites Web douteux: Avez-vous visité un site Web de nature douteuse ? Quand vous visitez les sites malicieux qui sont suspects, ils peuvent automatiquement télécharger et installer sur votre ordinateur des troyens, espiogiciel et adware, et parfois ils peuvent inclure des applications comme Micro Antivirus 2009.

- http://fr.pcthreat.com/parasitebyid-7094fr.html

Micro Antivirus 2009 (ou MicroAntivirus2009, MicroAntivirus 2009) est un programme anti-logiciel espion dévoyé. Micro Antivirus 2009 est un clone de MS Antivirus 2008, MSAntivirus2008,VistaAntivirus2008, VistaAntivirus 2008, Windows Antivirus 2008, SystemAntivirus2008, SystemAntivirus 2008, InternetAntivirus, AntivirusXP2008, XPAntivirus2008. Le parasite Micro Antivirus 2009 peut apparaître dans l'ordinateur de l'utilisateur après l'installation d'un faux codec vidéo. Ce programme peut se déguiser comme une clé de contrôle ActiveX qui peut s'installer dans l'ordinateur de l'utilisateur avec l'avis et le consentement de celui-ci. Micro Antivirus 2009 ralentit la performance informatique de l'utilisateur, envahit sa vie privée et met ses données dans le risque. Micro Antivirus 2009 utilise la tactique d'alarme en montrant des messages d'erreur et des rapports de d'examen faux pour duper l'utilisateur dans l'achat d'une version « complète » de leur programme.

Octobre 2008 : message vérolé (ecard.zip) - méfiez-vous des "greeting cards".

 

Le virus est (actuellement) peu documenté sur Internet, il serait actif depuis le 29/09/2008 (avant-hier)

http://www.virus-radar.com/stat_01_current/virus_0003_c31d_enu.html

Nous sommes régulièrement les bénéficiaires des nouvelles saloperies de ce genre.

Received: from 203.166.50.149 (HELO ?203.166.50.149?) (203.166.50.149) by mrelay3-g25.free.fr with SMTP; 1 Oct 2008 04:25:52 -0000

203.166.50.149

AUSTRALIA

UUNET NON-PORTABLE CUSTOMER ASSIGNMENT

IP Address: 203.166.50.149 - Location: Melbourne - Network: BENTLEY-AU

From: "greetingcard.org" <op@contino.com.mx>
User-Agent: Thunderbird 2.0.0.12 (Windows/20080213)
To: "friend" <vinosoft@[removed]>
Subject: [virus Win32/Spy.Goldun.NDM trojan] You have received an Greeting eCard

Septembre 2008 : spam piègé

 

"CLIQUE AQUI ..." -> http://xrl.us/orfwo

xrl.us (216.52.237.134 - Internap Network Services Corporation, USA)

http://safeweb.norton.com/report/show?url=http%3A%2F%2Fxrl.us%2Forfwo&x=9&y=5

redirect* and download flash9.0.exe = ?virus? (application incorrecte)

http://xoomer.alice.it/carregando : Telecom Italia IDC - ISP&VAS MNGT PROVIDER - 62.211.68.16 - Roma

 

 

Headers :

X-Message-Delivery: Vj0zLjQuMDt1cz0wO2w9MDthPTA=
X-Message-Status: n:0
X-SID-PRA: Accounts@passaport.com.br
X-Message-Info: JGTYoYF78jHLfQJBFN0MhE/A/dNaH0l1+D3JTCkexqZsisBzoblKGnb79k8o6+x3VKIbZDcX0QkJbCRKvs9i2w==
Received: from cygnus.netpower.no ([212.33.133.160]) by bay0-mc2-f1.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Sat, 27 Sep 2008 07:19:07 -0700

Expéditeur : 212.33.133.160

NORWAY

NETPOWER INT AS

 

Received: (qmail 30958 invoked by uid 48); 27 Sep 2008 16:19:01 +0200
Date: 27 Sep 2008 16:19:01 +0200
Message-ID: <20080927141901.30947.qmail@cygnus.netpower.no>
To: vinosoft@[removed]
Subject: Cancelamento de seu Titulo Eleitoral.
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <Accounts@passaport.com.br>
Return-Path: anonymous@cygnus.netpower.no
X-OriginalArrivalTime: 27 Sep 2008 14:19:07.0584 (UTC) FILETIME=[00C05C00:01C920AC]

Septembre 2008 : messages piègés

 

Message 1 :

Si le destinataire n'a pas effectué de commande en ligne pour un billet d'avion, il est tenté de détruire le message.

Mais ce qui pourrait l'inciter à ouvrir la pièce jointe est l'information "votre carte de crédit a été lestée de 633.92 dollars"

Il y a donc bien piège qui se termine (si le destinataire a un bon antivirus à jour) par :

 

 

Message 2 :

 

Le contenu est susceptible d'inciter le destinataire à ouvrir le fichier attaché surtout que (même si vous êtes 100% clean) le "Service Provider" pourrait avoir commis une erreur d'identification de votre abonnement en recherchant l'auteur d'une activité illégale. Le risque de suspension de l'accès internet est motivant pour en savoir plus; le message signalant que le rapport des activités de l'abonnement est disponible en annexe ... dont la consultation donne :

 

 

Soyez prudents.

 

Ils insistent, les Bougres :

 

 

20/09/2008 06:35:13 IMON email message from:

"Eugene Davis" <durrucinku@blinco.com> to: <vinny@[removed]> with subject Your credit card account statement dated Fri, 19 Sep 2008 13:36:21 +0000

downloaded from server 212.88.238.1:110 Win32/AutoRun.AAO worm contained infected files


20/09/2008 06:34:17 IMON email message from:

"tefanis" <tefanis@alphaquad.com> to: <vinosoft@[removed]> with subject Best episodes of Beach Sex Hotel! dated Thu, 18 Sep Central Daylight Time

downloaded from server 212.88.238.1:110 Win32/TrojanDownloader.FakeAlert.HK trojan contained infected files


20/09/2008 06:33:30 IMON email message from:

"Genevieve Mccauley" <jgblbraauqd@bpai.com> to: <vinny@[removed]> with subject Credit card account statement dated Thu, 18 Sep 2008 12:01:11 +0000

downloaded from server 212.88.238.1:110 a variant of Win32/Adware.Antivirus2008 application contained infected files

Septembre 2008 : un avatar devenu rare dans notre messagerie

 

 

Cela fait très longtemps (plusieurs années) que nous n'avons plus rencontré un virus qui soit détecté sur le simple fait de recevoir un message électronique; la tendance actuelle en matière de nuisance liée au courrier éléctronique est (chez nous) : messages référencant un site piègé.

 

Le simple fait de relever notre courrier (en tâche de fond pendant que nous travaillons dans un autre logiciel)

et (comme NOD32 décompresse les fichiers ZIP ou RAR) ->

 

4/09/2008 6:41:51 IMON email message from: "Ethan Shepard" <orrj@bouldercreekgc.com> to: vinosoft@[removed] with subject Open an account dated Wed, 3 Sep 2008 17:22:15 +0800 downloaded from server 212.88.238.1:110 Win32/AutoRun.XZ worm contained infected files.

When executed, this type of Trojan searches for its DLL component, UP.DLL. Once found, it connects to a specific web site to download and execute files on the infected system.

 

Le message contient contract_n2.zip - Win32/AutoRun.XZ worm - renamed by NOD32 to contract_n2.vzip
  contract_n2.zip > ZIP > contract_n2.doc.exe - Win32/AutoRun.XZ worm - is a part of the renamed object

 

Extrait des HEADERS :

Received: from cm170.sigma208.maxonline.com.sg ([218.212.208.170]) by [POP-REMOVED] ; Wed, 03 Sep 2008 11:22:15 +0200
Received: from [218.212.208.170] by bouldercreekgc.com; Wed, 3 Sep 2008 17:22:15 +0800
From: "Ethan Shepard" <orrj@bouldercreekgc.com>
X-Mailer: The Bat! (v2.00.8) Business
Reply-To: orrj@bouldercreekgc.com

bouldercreekgc.com est un club de golf aux USA

X-Priority: 3 (Normal) - Message-ID: <291960838.23172989501133@bouldercreekgc.com>
To: vinosoft@[REMOVED]
Subject: [virus Win32/AutoRun.XZ worm] Open an account
MIME-Version: 1.0 - Content-Type: multipart/mixed; boundary="----------674B8059EFD36E"
Return-Path: <orrj@bouldercreekgc.com>
X-DPOP: Version number supressed - X-UIDL: 1220503231.13477 - Status: U
X-NOD32Result: Infected, Win32/AutoRun.XZ worm

 

Expéditeur du message vérolé : cm170.sigma208.maxonline.com.sg

218.212.208.170

SINGAPORE

 

SINGAPORE STARHUB CABLE VISION LTD

 

Même type d'alerte, 06/09/2008 (dès la réception du message, Outlook Express en tâche de fond) :

 

6/09/2008 7:11:54 IMON email message from: "Freda Newsome" <tequilla57@hotmail.com> to: <vinosoft@[removed]> with subject Statement of fees 2008/09 dated Thu, 4 Sep 2008 15:10:48 +0100 - a variant of Win32/TrojanDownloader.FakeAlert.GP trojan

Fees_2007-2008.zip > ZIP > Fees_2007-2008.doc.exe - a variant of Win32/TrojanDownloader.FakeAlert.GP trojan

&

6/09/2008 7:13:23 IMON email message from: "tegagg" <tegagg@quelpenis.com> to: <vinosoft@[removed]> with subject Big Boobs dated Sat, 06 Sep GMT - Win32/TrojanDownloader.FakeAlert.HK trojan

movie.rar > RAR > movie.avi.exe - Win32/TrojanDownloader.FakeAlert.HK trojan - is a part of the renamed object.

 

Headers d'un de ces messages :

Received: from [77.109.115.44] ([77.109.115.44]); Sat, 06 Sep 2008 07:25:16 +0200

77.109.115.44.adsl.dyn.edpnet.net (77.109.115.44) - EDPnet_xDSL_Belgium - 9100 SINT-NIKLAAS

Received: from [77.109.115.44] by mail.bonnet-narbonne.com; Sat, 06 Sep Paris, Madrid (heure d'été)
Message-ID: <5605ac0b$16cf2d9f$466b8cd7@cprfpcjnlqh>
From: "cprfpcjnlqh" <cprfpcjnlqh@bonnet-narbonne.com>
To: <vinosoft@[removed]>
Subject: [virus Win32/TrojanDownloader.FakeAlert.HK trojan] Huge boobs
X-DPOP: Version number supressed
X-UIDL: 1220775480.10230
X-NOD32Result: Infected, Win32/TrojanDownloader.FakeAlert.HK trojan

 

 

Headers d'un de ces messages :

Received: from 81-174-13-71.static.ngi.it ([81.174.13.71]); Tue, 09 Sep 2008 13:03:14 +0200
Received: from [81.174.13.71] by mx1.biz.mail.yahoo.com; Tue, 9 Sep 2008 12:03:14 +0100

81-174-13-71.static.ngi.it (81.174.13.71) - NGI S.p.A. Italy

From: AirTran Airways <qegbr@blueskyresumes.com>
To: <vinnie@[removed]>
Subject: [virus a variant of Win32/Injector.CP trojan] Your Online Flight Ticket N 29994
X-NOD32Result: Infected, a variant of Win32/Injector.CP trojan

 

14.09.2008

Received: from [60.220.171.14] by mail2.newfashionproducts.com : changzhi xyju dail ip pool - China

Win32/TrojanDownloader.FakeAlert.JK trojan

Popup's indésirés : à une telle fréquence qu'il est devenu impossible de travailler sur ce PC lorsqu'il est connecté à Internet.

 

Qu'en pense Spybot :

Win32.BHO.je: [SBI $90A69837] Interface (Clé du registre) HKEY_CLASSES_ROOT\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}
Win32.BHO.je: [SBI $8AA4E23B] Type library (Clé du registre) HKEY_CLASSES_ROOT\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}
 

FakeAlert: [SBI $AB319566] Barre d'outils IE (Valeur du registre)

HKEY_USERS\S-1-5-21-2959008633-2915903831-1203752577-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{EFAF6EA3-615D-4F83-8748-2F7A576FCEA6}

Smitfraud-C.: [SBI $FB78B7CB] Lien (Fichier) C:\Documents and Settings\All Users\Menu Démarrer\Security Troubleshooting.url

Smitfraud-C.: [SBI $8F50CD0C] Lien (Fichier) C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.url
Smitfraud-C.gp: [SBI $6D5DF07B] Réglages désinstallation (Clé du registre) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Information Center
Smitfraud-C.gp: [SBI $9B23788C] Class ID (Clé du registre) HKEY_CLASSES_ROOT\CLSID\{8b87dcc7-9b89-4205-aa82-076b2a1edfe0}
Smitfraud-C.gp: [SBI $3CA356D5] Réglages (Clé du registre)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}
Smitfraud-C.gp: [SBI $B56BAC82] Lien (Fichier) C:\Documents and Settings\User\Favoris\Online Security Test.url

Zlob.Downloader.vdt: [SBI $80ABF6EA] Réglages (Valeur du registre)

HKEY_USERS\S-1-5-21-2959008633-2915903831-1203752577-1005\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com
Zlob.Downloader.vdt: [SBI $CE7553EC] Réglages (Valeur du registre)

HKEY_USERS\S-1-5-21-2959008633-2915903831-1203752577-1005\Software\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com

 

Exemples (non limitatifs) de ces saloperies de popup's (2008i06 Aspire 1500 PC114HB1) :

On commence par retrouver de la publicité pour Mobistar : cfr plus bas dans cette page


Nous allons finir par croire que Mobistar utilise réellement les infections pour faire de la publicité ?

Mobistar tente de piéger ses clients ... jeudi 21 août 2008 : http://www.easy-concept.com/blog/?Securite
  

On enchaîne par de la publicité pour un site de VOYANCE :

Viennent ensuite de la publicité pour un site de CASINO :

Reste le pire de tous : un faux antivirus et ... il est là toutes les minutes :

 

Publicité pour www. antispyware-review.info

www. antispyware-review.info/?wmid=4663&pwebmid=uWfLn0pimL&a=

Note : sur ce site, notre browser [bien éduqué] refuse les téléchargements :

Nous n'avons donc pas pu les tester pour savoir si ce sont des faux anti-malware's ?

[http:// pc-antispy.com/demo.php?wmid=4663&pwebmid=uWfLn0pimL&a= & http:// pc-cleanpro.com/demo.php?wmid=4663&pwebmid=uWfLn0pimL&a= ]

[http:// pc-antispy.com/download/4663/uWfLn0pimL/PCAntispy_Installer_eng.exe & http:// pc-cleanpro.com/download/4364/PCCleanPro_Installer_eng.exe]

Mais la documentation sur Internet signale que ce sont de belles merdes :

- http://www.2-viruses.com/remove-pcantispy

- http://www.2-viruses.com/remove-pccleanpro

 

 

Note : en faisant des recherches sur "Zlob.Downloader.vdt" nous tombons sur un forum :

http://www.commentcamarche.net/forum/affich-4085962-help-j-ai-choppe-une-chose-et-besoin-d-info

Le conseil de boulepate62, le lundi 19 novembre 2007 à 19:23:47 :

"Télécharge SmitfraudFix et enregistre le sur le bureau. Si ton anti-virus t'alerte d'un virus, désactive-le. http:// siri.urz.free.fr/Fix/SmitfraudFix.zip ..."
Nous l'avons téléchargé et nous comprenons pourquoi il est demandé de désactiver sont antivirus :

NAV signale : IEDefender,Access Denied,1,IEDFix.C.exe,Security Risk (On) & IEDefender,Access Denied,1,404Fix.exe,Security Risk (On)
Contenu du SmitfraudFix.zip :

False positive detection ? "Faux positif" selon http:// siri.urz.free.fr/Fix/SmitfraudFix.php

Méfiance quand-même.

Sur  http:// siri.geekstogo.com/SmitfraudFix_Fr.php :

Même alerte de l'antivirus.

03/09/2008, nouveau look de spam piègé :

 

READ FULL STORY = www. thewebleaders.com/index97.html = virus

69.42.69.69 : Webair Internet Development Inc, Jericho, NY, USA

 

Scan type: Auto-Protect Scan - Event: Security Risk Found! - Risk: Bloodhound.Exploit.196
File: ...\Temporary Internet Files\...\index[1].pdf - Date found: mercredi 3 septembre 2008

  

Bloodhound.Exploit.196 is a heuristic detection for files attempting to exploit the Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities.

Des virus peuvent-ils entraîner l'obligation d'une réinstallation complète de Windows ?

Cas concret du 27/08/2008 : XP ne démarre plus, sous aucune option du F8

La réinstalllation/réparation de XP à partir du CD Microsoft Windows sans formatage du disque système se solde par un échec.

 

Le disque dur est placé comme esclave d'un de nos PC's de tests; voici un extrait des résultats de l'antivirus :

Downloader.Trojan,Cleaned by deletion,1,Setup.exe,File Compressed file,G:\Documents and Settings\...\Mes documents\

Packed.Generic.180,Cleaned by deletion,1,kb767887[1],Heuristics,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Trojan.Vundo,Cleaned by deletion,3,kb767887[1],File,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Trojan.Vundo,Cleaned by deletion,3,kb456456[1],File,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Packed.Generic.180,Cleaned by deletion,1,kb456456[1],Heuristics,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Packed.Generic.180,Cleaned by deletion,1,kb671231[1],Heuristics,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Trojan.Kibik!inf,Quarantined,1,Explorer.exe,File Compressed file,G:\WINDOWS\

Trojan Horse,Quarantined,1,FixCamera.exe,File,G:\WINDOWS\

Packed.Generic.180,Cleaned by deletion,1,ebfmai.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,oliedksl.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,tyhjxu.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,kunjgtrr.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,tdybdhbm.dll,Heuristics,G:\WINDOWS\system32\,

Packed.Generic.180,Cleaned by deletion,1,apjbbrqu.dll,Heuristics,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,alwvtiid.dll,File,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,oacgrwjh.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,kpnegjmd.dll,Heuristics,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,akrach.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,ysktrwtg.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,bvjete.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,hekpgjjy.dll,File,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,igeurruc.dll,Heuristics,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,hbbfcvlu.dll,File,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,ydzrgi.dll,File,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,mdrpjmtu.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,ayqjtv.dll,File,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,cfqtjoax.dll,File,G:\WINDOWS\system32\

Trojan.Skintrim,Cleaned by deletion,1,dnseiswcf.exe.ren,File,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,lpdpjo.dll,File,G:\WINDOWS\system32\

Trojan.Vundo,Reboot Required - Cleaned by deletion,115,tygcqglr.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,euegxxeb.dll,File,G:\WINDOWS\system32\

...

??????,Quarantined,1,tram pararam xxx simpsons guy.zip,Compressed file,

...\Documents and Settings\Gre...\Mes documents\My Music\Shared\, Still contains 1 infected items,Manual scan,28/08/2008 13:26:06

...
Adware.Superiorads,Quarantined,1,setup.exe,File Compressed file Adware, ...:\Documents and Settings\Gre...\Mes documents\My Music\Shared\

tram pararam xxx simpsons guy.zip, Leave alone (log only),Manual scan,28/08/2008 13:26:06

...
Adware.NewWeb,Quarantined,1,setup.exe,File Compressed file Adware,...:\Documents and Settings\Gre...\Mes documents\My Music\Shared\

tram pararam xxx simpsons guy wet and wild.zip,Leave alone (log only),Manual scan,28/08/2008 13:26:06
...

Nombreux autres essais de décontamination sans succès -> format c:\

Un simple spam, un moment d'inattention d'une Utilisatrice ...

- ... juste de retour de ses congés annuels (un paquet de messages dont des dizaines de spam's)

- ... qui n'a pas d'expérience vis-à-vis de ce type de nuisance :

 

Symptôme-1 : le fond d'écran est modifié par une image "alerte de sécurité"

Le fond d'écran ne peut plus être modifié par l'Utilisatrice : l'option "bureau" des propriétés d'affichage est disparue.

 

Symptôme-2 : la homepage du navigateur internet est devenue :

http://www.antivirusxp-2008.net/buy/7ce97dc8fe24b48513cf5696b406a33e

et des quantités de popups apparaissent :

 

 

Symptôme-3 : une nouvelle icône est apparue sur le bureau : Antivirus XP 2008

avec une cible peu conventionnelle : C:\Program Files\rhc3kgj0eldp

Parmi les "tâches en utilisation" :

 

Localisation des nuisances-1 : Program Files

Registry : "C:\\Program Files\\rhc3kgj0eldp\\rhc3kgj0eldp.exe"="rhc3kgj0eldp"

 

Localisation des nuisances-2 : Windows\system32

Registry : "C:\\WINDOWS\\system32\\lphc7kgj0eldp.exe"="lphc7kgj0eldp"

 

Remarque : le "Uninstall" du logiciel "Antivirus XP 2008" est vérolé.

Il a été détruit par l'antivirus -> aucune désinstallation possible.

20/08/2008 09:28:58,Uninstall.exe,Packed.Generic.180,C:\Program Files\rhc3kgj0eldp\,Infected

http://www.symantec.com/security_response/writeup.jsp?docid=2008-080816-2234-99&tabid=2 (Discovered: August 8, 2008)
 

Packed.Generic.180 is a generic detection to identify files that were compressed or encrycpted to conceal itself from antivirus and security program. A packer is a tool that compresses, encrypts or obfuscates executable files. Malware authors often use packers to conceal threats from detection by antivirus software. Packed.Generic.180 detects a packer that is not known to be used for legitimate purposes. Files that are detected as Packed.Generic.180 are considered malicious.

 

Note : le site www .antivirusxp-2008.net existe sous une forme paraissant "correcte" :

 

Buy and download ->

stat.antivirusxp-2008.net (218.106.90.227)

donnant :

22/08/2008 8:43:26 AMON ...\Temporary Internet Files\...I\AntivirusXP2008Installer[1].exe Win32/Adware.XPAntivirus application
Le site hégergeant ce faux antivirus est olympique :-) : 218.106.90.227, Xicheng District, Beijing, China.

 

Solution utilisée en urgence sur site : arrêt des processus malsains par le gestionnaire des tâches, suppression des fichiers, restore un backup de la registry effectué quelques jours avant l'infection. Le PC sera revu en notre atelier à notre retour de congés annuels.

Note : le "spam originel" du 19/08/2008 n'a pas été identifié : le message a été détruit par l'Utilisatrice et Outlook Express vide le répertoire des "éléments supprimés" lors de sa fermeture. Sur le Webmail de notre Cliente, les messages des 19-20/08/2008 ne sont plus disponibles. Parmi les spam's des 21 et 22/08/2008, on trouve les Paris Hilton (cfr. ci-dessous) :

Download player to watch full movie ->

22/08/2008 8:11:36 IMON file http://www.thejonwebgroup.com/player.exe probably a variant of Win32/Nuwar worm

 

Note : dans notre mailbox, on retrouve ce type de messages :

Tous ces messages référencent un site piègé; exemples :

- lien direct sur un fichier exécutable : Be the first to watch the video = http:// team-focus.org/video_4.exe

PUSH TO WATCH = http:// dmisystems.ro/video_1.exe

PLAY NOW = http:// bcm.org.my/player.exe

= trojan, worm

- lien sur une page piègée comme : http:// tecland.cl/vend/tops.php ou http:// classic.scicube.net/index_6.html

http:// www. okurasushi.cl/vsbhksv/bhjvdsksdv.php ou http:// www. photogm.ch/lfk/sgsg.php

[connexion au site 79.135.167.49, ISTANBUL TELEKOM]

News - août 2008

La police néerlandaise vient de réussir un joli coup, aidée en cela par le FBI : son unité spécialisée dans la lutte contre le crime high-tech a démantelé un réseau de PC zombies, baptisé "botnet Shadow". Le réseau contenait environ 100 000 PC, infectés par un programme malveillant et contrôlés par des pirates à l'insu de leurs propriétaires ... ZDNet.

Spam's dangereux du mois d'août 2008, méfiez-vous :

Saloperies relevées :

- Trojan.Fakeavalert - Win32/TrojanDownloader.FakeAlert.FO trojan

- variant of Win32/Statik application

- variant of Win32/TrojanDropper.Small.NHU trojan

- variant of Win32/Nuwar worm

 

1/ msnbc.com: BREAKING NEWS

Références : http://www.secuser.com/alertes/2008/exchangernb.htm du 13/08/2008

 

le lien "Find out more at http://breakingnews.msnbc.com" est faux.

Il renvoie vers un autre site qui est piègé (comme : http:// ajinmo.com/msnlive.html)

 

2/ en provenance de ... @ microsoft.com ou de Microsoft XP

 

le lien "Download the latest version Internet Explorer 7.0! " est piègé.

Exemple : http:// 89.187.49.18/IE-7.0.exe (Vadim Karai, Moldova) = virus.

http://safeweb.norton.com/report/show?url=http%3A%2F%2F89.187.49.18&x=6&y=7

 

Free Update Windows XP,Vista = http:// 89.187.49.18/install.exe

89.187.49.18

REPUBLIC OF MOLDOVA

MONITORING

28/08/2008 : http:// 89.187.49.18/install.exe -> a variant of Win32/Kryptik.E trojan

Référence Secuser 27/08/2008 : http://www.secuser.com/alertes/2008/frauderbi.htm

Tente de télécharger et d'installer d'autres programmes douteux ou malicieux, dont le faux logiciel de sécurité Antivirus XP 2008

Notre conseil : mettre à jour Adobe Flash Player (08/2008 = v.9.0.124.0)
 

3/ Jessica Alba ... Angelina Jolie ... Kameron Dias ... Jennifer Lopez ...  Britney Spears ... Paris Hilton ... -> virus

 

 

 

 

 

-> (exemple) ->

= trojan

idem avec

= trojan

idem avec : Flash Player ... flashcodecinstall....exe.

= worm

 

4/ CNN Alerts : My Custom Alert

 

= worm

 

5/ CNN "Daily Top 10"

 

Tous les liens pointent vers :

qui sont entâchés de :

ou de :

ISTANBUL TURK TELEKOM : http:// 79.135.167.18/antivir/check/scaner.exe : a variant of Win32/Agent.ETH trojan

122.252.5.36, AUSTRALIE : http:// hotelnoorla.com.au/install.exe : a variant of Win32/Agent.ETH trojan
 

SOYEZ TRES PRUDENTS !

Juillet - Août 2008 : machine contaminée dont le seul symptôme directement visible est l'apparition de popup's spontanés indésirés.

Il suffit d'ouvrir la page d'acceuil d'Internet Explorer (ou Avant Browser) du PC de notre Cliente (Catherine) et d'attendre quelques minutes ... ... voici les écrans qui apparaissent spontanément :

 

Popup 1 :

 

www.simplybymobistar.be (85.255.196.39) : 9080 Lochristi, BE

Est-il possible que Mobistar passe par des popup's indésirés pour envoyer de la publicité ?

Cela nous paraît peu vraisemblable.

 

On en parle peu sur Internet :

http://forum.judgehype.com/judgehype/Discussionsgenerales/alternative-released-mozilla-sujet_239125_83.htm

 

Popup 2 :

http://www.terminala.be/htm/213/AboutUs.htm (209.67.222.228, USA)

http://web11.terminala.com (64.92.169.190, USA)

 

Popup's 3 :

Note : le service "Centre de Sécurité" de Windows XP est désactivé dans cet ordinateur.

En cliquant sur n'importe quel bouton de la fenêtre active (distillant une fausse information), on obtient le téléchargement d'un programme "Fake Anti-Malware"

 

Juillet 2008 : analyse de l'état sanitaire du PC : Spybot donne la liste des spywares suivante :

AntiSpywareShield: [SBI $F3BABACD] Réglages (Clé du registre)
VirusProtectPro: [SBI $21D7A104] Interface (nombreuses Clés du registre)
Win32.BHO.je: [SBI $F64870AB] Root class (Clé du registre)
Smitfraud-C.gp: [SBI $9E48F452] Class ID (Clé du registre)
Zlob.Downloader.oid: [SBI $DC66B3C8] Browser helper object (Clé du registre)

 

Win32.BHO.je

- espionne votre intimité (vos informations personnelles)

- vous importune avec des publicités.

Il ne détruit ou ne manipule pas des fichiers sur l'ordinateur.


Le nettoyage de ces saloperies par Spybot ne résout pas le problème des popups.

Une analyse minutieuse par hijackthis a permis de se séparer de ces nuisances : plus d'anomalies du 18/07/2008 au 11/08/2008.

 

Suivi du cas : le 11 août 2008, les popup's sont de retour.

1/ simplybymobistar 2/ terminala et 3/ un "petit nouveau" (ci-dessous) :

 

 

2008H12/Catherine :

D'abord, élimination de : Trojan-Downloader.Win32.Zlob.jbl

Fichiers Internet temporaires\Content.IE5\...\WebSoftCodecSetup[1].exe
 

Test 1 : nous avons remplacé la page de garde be.msn.com par celle de Google et fermé MSN Live Messenger -> plus de popup en dix minutes de navigation.

Test 2 :

- vidange du cache Internet, reboot (MSN Live Messenger running) et ...

- ... nous affichons "be.msn.com" comme seule page ouverte dans Avant Browser -> popup de retour :

 

 

 

Test 3 :

- vidange du cache Internet, reboot (MSN Live Messenger running) et ....

- ... nous démarrons Avant Browser et MSIE sur Google -> popup's de retour !

Ce n'est donc pas la page "be.msn.com" qui est source de la nuisance.

 

Test 4 :

- vidange du cache Internet, reboot (MSN Live Messenger stopped) et ....

- ... nous démarrons Avant Browser et MSIE sur Google -> popup's de retour !

 

 

Autres éléments :

1/ sur le compte du deuxième User (Philippe) : pas de popup.

2/ sur le compte du premier User (Catherine) : nous installons Firefox -> pas de popup.

 

C'est donc (uniquement) le MSIE de Catherine qui est affecté.

 

Solution temporaire d'urgence pour pouvoir rendre le PC à Catherine : exploiter MSIE sur Philippe ou Firefox sur Catherine.

Intervention future programmée : essai de dépistage de la source de cette nuisance en ne s'occupant plus que du paramètrage et des éventuels addons du MSIE de Catherine et si nécessaire : sauvegarde des documents, email, adresses, .... de Catherine; suppression de son compte; création d'un nouveau compte avec réimportation des fichiers sauvegardés.

Archives :

 - Virus archives 2006 : Africnic, Win32/Surila.X & Win32/VB.NEI

 - Virus archives 2006 : Wanadoo, Win32/Bagle.gen.zip worm

 - Virus archives 2006 : Win32/Mydoom.R worm

 

- Spam - Fraude 4-1-9, aussi appelée scam 419, ou arnaque nigériane

 

 - Malwares archives : 2006 - 2007 - janvier 2008 - jusque mi-aôut 2008

 - Malwares 2009C - 2009E - Phishing 2009C - Trojan.Downloader.Agent.aaar sous Se7en Beta

 

Tags : VinoSoft Selection Computers Brussels Bruxelles Europe [atelier@1200 en kine-online.com] Kentucky@1140 - Montana@1140 - Tous nos transports par BMS Delivery - Serrurerie, une seule adresse : Symulak - Opticien-Visagiste : "La Boîte à Lunettes" - Worthington Distributor : Gestimed - Electricien (et câblage réseau) : "Engineering Office Associated - Ces&Co" - Rénovation des bâtiments : Top Renove sprl - Internet : création de sites (cohérence graphique) et présentations Powerpoint (TriPod WebDesign, Christophe Van Wambeke) - Internet : hébergement et stratégies marketing (Boberlin, Benjamin Bobon) - Culture : Café Théatre "des 2 gares" - Artistes Peintres : Michèle Kumps & Jacques Kumps - Auteur Compositeur de musique celtique : Alain Herickx - VinoPlanet - VinoWeb - MiniZoo - ACWeb - Kine-online - Amis des Oiseaux : Charlotte Webmaster - Elevage familial de bergers belges : les loups de la nuit Lillois) - Antivirus en ligne (web-antivirus) - http://safeweb.norton.com - C o n v e n t i o n  E u r o p é e n n e  de  la   C o n s t r u c t i o n  M é t a l l i q u e : ECCS

 

 

Profil Facebook de Jacques Doumont

 

 

Configurations analysées/rapportées et/ou testées en 2009 :

 

- testés en 2009 : des ordinateurs récents : 2008-2009

- testés en 2009 : des PC's de deux à trois ans de cave : machines de 2006 et de 2007

- testés en 2009 : des PC's de quatre à cinq ans de cave : machines de 2004 et de 2005

 

- testés en 2009 : des PC's de six à sept ans de cave : machines de 2002 et de 2003

- testés en 2009 : des PC's de huit à neuf ans de cave : machines de 2000 et de 2001

 

- une machine "multi-OS", représentative de nos montages du début du Vintage 2008

- un PC de test (sous XP et Seven Beta) "Blue AMD-2001 on ASUS-2003"

- notre premier PC était un 8086 (XT) : 0,029 million de transistors

 

- résumé de nos tests 2007-2008 sur les disques durs, les processeurs, et les mémoires

- divers : tests complémentaires (disques externes, USB - USB7beta) - ATTO - HARDINFO

- référence : après 5 ans de service, la probabilité de défaillir augmente de manière très significative

 

 Configurations analysées/rapportées et/ou testées en 2007-2008 :

 

 - testés en 2007-2008 : des PC's de moins de deux ans d'âge (jusque 582 millions de transistors, Q6600) :

 ordinateurs construits en 2006 et 2007 ou au cours du premier semestre 2008 ou au cours du deuxième semestre 2008

 

- testés en 2007-2008 : des PC's de deux à quatre ans de cave : machines de 2005 et de 2004 (jusque 230 millions de transistors, D 830)

- testés en 2007-2008 : des PC's de quatre à six ans de cave : machines de 2003 et de 2002 (jusque 55 millions de transistors, P4 2.6)

- testés en 2007-2008 : des PC's de six à huit ans de cave : bécanes de 2001 et de 2000 (jusque 42 millions de transistors, P4 1.5)

 

- testés en 2007-2008 : des ancêtres, du millénaire passé

- testés en 2007-2008 : deux PC's représentatifs de la génération VinoSoft Computers 2002 : 1 - 2 (devenus "machines de test, "CT" & "RIMM")

- Apple MacMini,  MacMini 2.1, MacBook 2.1 & MacPro 3.1 (Windows) : 2006-2008 (jusque 820 millions de transistors, E5462)

 

 

- un essai "Peux-t-on se fier à un indice pour comparer la convivialité des PC's ?"

- un test "PassMark Performance" : passage du P4 au Quad

- récapitulatifs des tests 3DMark06 - 3DMark03 - PCMark05

- Microsoft indices : WEI59 de Vista - WEI79 de Seven RC & Beta

- Microsoft Se7en, nos premiers tests : 7Beta - 7RC1

- Terminator sous Seven RC - Seven RC on Mac Mini

 

- "Gamer's Station" : 2008 (Atem)

- "Gamer's Station" : 2006 (Kentucky - sous Seven-RC)

 

- Divers : Laptop 2002 XE3 - HP Certified Vista Capable Notebook 2006 Pavilion - Medion - E2160 overclock

- Divers : un P4 en Vintage 2002 (http://www.kine-online.com/barcelone.htm - http://www.kine-online.com/vista-sp1barcelone.htm)

- Divers : PeaceKeeper - ADSL 1 - 2 - 3

 

- Exemples de configurations : du premier semestre 2006 - du deuxième semestre 2006 (FSX) - de la mi-2007 (bureautique) - de fin 2007

- P5B-MX, août-septembre 2008 : http://www.kine-online.com/mco/p5b-mx-2008h.htm - http://www.kine-online.com/p5b-mx-soziale.htm

- Archives : pilotes d'un portable ... http://www.kine-online.com/easynote3705.htm - mémoires http://www.kine-online.com/LD-Technology.htm