Annexe - Sécurité

Quelques exemples de virus ou d'avatars dans des messages électroniques ou dans des pages sur la Toile

et quelques alertes de sécurité relevées au deuxième semestre 2008.

Antivirus "En Ligne" : http://www.inoculer.com/webantivirus.php3

Décembre 2008 : comme toutes les années, la période des fêtes et de voeux est une source de spam's piégès - BE CARE

Exemple :

[ayant un ami actuellement en vacances au Brésil] Click ->

-> virus :

29/12/2008 - http://obligationes.pisem.su/explorer.com probably a variant of Win32/Statik application

X-SID-PRA: yahoocard@card-cartao.com.br
Received: from www327.sakura.ne.jp ([202.181.99.47]) by bay0-mc5-f17.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668);
Sun, 28 Dec 2008 03:18:15 -0800
Received: from www327.sakura.ne.jp (localhost.sakura.ne.jp [127.0.0.1]) by www327.sakura.ne.jp (8.13.6/8.13.6) with ESMTP id mBSBIEiv018279  (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO) for <vinosoft@[removed]>; Sun, 28 Dec 2008 20:18:14 +0900 (JST) (envelope-from jst@www327.sakura.ne.jp)
Received: (from jst@localhost) by www327.sakura.ne.jp (8.13.6/8.13.6/Submit) id mBSBIEtL018278; Sun, 28 Dec 2008 20:18:14 +0900 (JST) (envelope-from jst)
Message-Id: <200812281118.mBSBIEtL018278@www327.sakura.ne.jp>
Subject: te adoro
From: yahoocard@card-cartao.com.br
Return-Path: jst@www327.sakura.ne.jp

Expéditeur : www327.sakura.ne.jp (202.181.99.47) : SAKURA Internet Inc. - Osaka - Japan

Hébergeur du virus : obligationes.pisem.su (82.204.219.235) : Pochta.ru network - Moscow, Russia

30 Novembre 2008 : spam "Post Card" avec virus à télécharger

1/ le message :

2/ ses headers :

3/ l'expéditeur :

4/ son effet :

En cas de téléchargement :

Un effet secondaire : 30 fenêtres popup Ruhu en cas d'ouverture de articlesemporium.com (source du virus)

Le site vérolé : articlesemporium.com (62.149.36.46, London, UK - server17.dedicateduk.com)

Novembre 2008 : le super bug d'un antivirus gratuit, cas concret traité en notre atelier le 10/11/2008 :

Explications (ultérieures à notre cas) sur : http://www.01net.com/editorial/395915/l-antivirus-avg-s-attaque-par-erreur-a-windows-xp/

Le support technique de AVG a mis en ligne un mode d'emploi pour les utilisateurs affectés par ce problème.

Un porte-parole de la société déclare : « les utilisateurs concernés ne pouvant pas utiliser leur PC doivent contacter leur revendeur ou demander à un ami de télécharger l'information et le correctif pour eux. »

Octobre 2008 : nous rencontrons de plus en plus de virus dans des fichiers multimédia. - BE CARE

Jusqu'à présent, les fichiers .mp3 et les .mpg vérolés étaient été anecdotiques.

Exemple d'un PC qui présente des dysfonctionnements logiciels [dont : MSN Messenger & Incredimail sont inopérants; Skype refuse la fermeture]. AD2008J27PCT088PA. Le PC nous a été confié plusieurs mois après les premières alertes.

Ces erreurs ont de nombreuses infections pour sources :

 [liste non limitative]

OP.class,Trojan.ByteVerify - Compressed file ...\Application Data\Sun\Java\Deployment\cache\6.0\43\330fa4eb-6104a157
Trojan.Wimad - johnny hallyday ....mp3 ... \Incomplete

Trojan.Wimad - bien venue chez les chtis....mpg ... \Incomplete

Trojan.Wimad - ... carla bruni.mp3 ... \Incomplete

Downloader.Swif.C - ... \Temporary Internet

Bloodhound.Exploit.193 - ... \Temporary Internet

Downloader - ... index[2].htm ... \Temporary Internet

Backdoor.Trojan - ... \System Volume Information\_restore

Downloader - IncrediMail_Install.exe .... C:\Program Files\IncrediMail\bin\,Infected

 
Exemple d'un autre PC P_CORB24/ANA2008J mais qui a pu se défendre grâce à son antivirus et qui a été amené dès la première alerte en notre atelier :

985 lignes du type Bloodhound.Exploit.196 - ... DWH7290.tmp ...\AppData\Local\Temp\,PC_VAN_B - Infected - Heuristics

W32.SillyDC - ... AUTORUN.INF,File,G:\,PC_VAN_B - Infected

a variant of WMA/TrojanDownloader.GetCodec.gen trojan - ... Coldplay - Yes.mp3

Documentation sur Internet :

- Une nouvelle forme de fichiers MP3 et MPEG contenant en fait plusieurs logiciels malveillants se répand actuellement dans les réseaux Peer-to-Peer (P2P), prévient cette semaine la firme de sécurité informatique McAfee. Selon les informations colligées par l'entreprise grâce à son logiciel antivirus, les ordinateurs de plus de 500 000 internautes ont été infectés avec les faux fichiers MP3 et MP(E)G en moins d'une semaine. ... techno.branchez-vous.com 05/2008
- WMA TrojanDownloader GetCodec : http://www.avira.com/fr/threats/section/fulldetails/id_vir/4189/tr_dldr.wma.getcodec.a.html 06/2008

Autre exemple d'infection (sous Vista, en octobre 2008) : "un train peut en cacher un autre"

= un trojan en appelle d'autres

Un faux antivirus se connecte sur des "serveurs de nuisances" ...

... et vous ramène un vrai "bundle de malwares" :

Serveurs : 78.157.143.198 : UltraNet SIA - vdhost ltd - Riga - Lettonie

& 91.203.92.121 : UATelecom - Ukraine or United Kingdom

This IP is being shared among many domains - Specialists in Telecommunications including Lines, Calls, Telephone Systems and VoIP.

Le pare-feu donne également des alertes "poisonning attack" :

Les faux antivirus ne nomment "Rapid Antivirus" et "Total Secure 2009".

Et ils ont des tendances "gay" manifestes :-)

Malgré les interceptions de Nod32, il est devenu totalement impossible de travailler sur ce PC si il est connecté sur Internet : le nombre de popup's de type (fausse) "alerte de sécurité" est tel que vous ne disposez plus d'une seule seconde pour faire autre chose que de tenter de les fermer.

Mesure corrective : restore "image saine" du "boot disk" après avoir sauvé documents, email, contacts, ... (récents, de moins de 5 jours).

Encore faut-il en avoir une mais c'est le cas dans ce "VinoSoft Secure Workstation" équipé de deux disques durs internes (le second contenant une image du C:\ : mise à jour dynamiquement une fois par semaine).

L'état de la menace informatique dans le monde (août 2008) : journaldunet.com

- "DNSChanger.ech" : trojan en tête du hit-parade des virus

- répartition des codes malveillants : les chevaux de Troie (80%) et les adware (20%)

- phishing : la Roumanie est au sommet

- répartition géographique des attaques : USA - Chine - Roumanie - Russie - Allemagne

- spam : France Télécom est le plus mauvais élève.

"DNSChanger.ech" reconfigure les adresses DNS afin de diriger à son insu un internaute contaminé vers un site de phishing et ainsi dérober des données sensibles

Dans notre messagerie (septembre - octobre 2008) : beaucoup de viagra assaisonné de quelques virus :

Octobre 2008 : PC (de type C2D, sous Millenium-2006) vérolé (par un rogue)

1/ Les écrans suivants s'affichent spontanément;

en cas de fermeture, ils reviennent à une telle cadence qu'il est impossible de travailler :

Il s'agit d'une fausse information de la part d'un faux Antivirus

2/ Deux nouvelles icônes sont apparues sur le bureau :

3/ Les messages du vrai antivirus sont les suivants :

-

Les sites bloqués par le vrai antivirus sont :

- http://scanner.vav-x-scanner.com = 91.208.0.246, Still Trade Ltd, Sergey P., St. Petersburg, Russian Federation

- http://78.157.142.26 = UltraNet SIA, Arturs V., Riga, Lettonie (Latvia)

4/ Les processus malins sont 1.exe, 2.exe, ... 7.exe

5/ Les fichiers de l'infection se trouvent en "Program Files/PCHealthCenter" ...

... et en "System32" et "Program Files/MicroAV"

Désinfection simple :

1/ Stop processus malins

2/ Delete fichiers associés à ces processus

3/ Stop "System Restore"

4/ Nettoyage de la registry

5/ Nettoyage par Spybot :

6/ Reboot et restart "System Restore".

Documentation sur Internet :

- http://www.411-spyware.com/fr/enlever-micro-antivirus-2009

Micro Antivirus 2009 - également connu comme MicroAntivirus2009 - est plus faux anti-logiciels espions. À l’instar d’autres escroquerie anti-logiciels espions, vous pouvez remercier un troyen déguisé en un codec vidéo ou un site Web pour les professionnels malhonnêtes pour l’installation de Micro Antivirus 2009 sur votre PC. Une fois Micro Antivirus 2009 est installé, Micro Antivirus 2009 essaie de vous tromper en achetant l’ensemble “complet” de la version Micro Antivirus 2009 avec de faux avertissements de sécurité.

Vous vous demanderez comment est-ce que votre ordinateur a été infecté avec Micro Antivirus 2009. En général, si votre ordinateur est infecté par Micro Antivirus 2009, malware ou espiogiciel, c´est parce que les configurations de sécurité de votre système et de votre navigateur web ont été établis dans un niveau bas, probablement vous n´avez pas suivi de pratiques de navigation web et des habits sûrs avec le courrier électronique, et pour cette raison vous avez besoin d’utiliser régulièrement une bonne application anti - espiogiciel. Quelques pratiques incertaines qui peuvent infecter votre ordinateur avec Micro Antivirus 2009 sont :
- Graticiel Ou Partagiel: Avez-vous téléchargé ou avez installé shareware ou freeware ? Les applications de logiciel de prix bas (partagiel) ou gratuites (graticiel) peuvent inclure spyware, adware ou des logiciels comme Micro Antivirus 2009. Dans quelques occasions l’adware vient adjoint au logiciel gratuit comme une forme de “paiement” aux développeurs par le prix de création du logiciel, et fréquemment l’espiogiciel vient adjoint d’une forme secrète et malicieuse au logiciel gratuit afin de nuire.
- Un logiciel Point par point (Peer-to-Peer, P2P): Avez-vous utilisé un programme peer-to-peer ou d’autres applications dans un réseau partagé ? Quand vous utilisez ces applications, votre système cours le risque de décharger des archives infectées, en incluant des applications comme Micro Antivirus 2009.
- Des sites Web douteux: Avez-vous visité un site Web de nature douteuse ? Quand vous visitez les sites malicieux qui sont suspects, ils peuvent automatiquement télécharger et installer sur votre ordinateur des troyens, espiogiciel et adware, et parfois ils peuvent inclure des applications comme Micro Antivirus 2009.

- http://fr.pcthreat.com/parasitebyid-7094fr.html

Micro Antivirus 2009 (ou MicroAntivirus2009, MicroAntivirus 2009) est un programme anti-logiciel espion dévoyé. Micro Antivirus 2009 est un clone de MS Antivirus 2008, MSAntivirus2008,VistaAntivirus2008, VistaAntivirus 2008, Windows Antivirus 2008, SystemAntivirus2008, SystemAntivirus 2008, InternetAntivirus, AntivirusXP2008, XPAntivirus2008. Le parasite Micro Antivirus 2009 peut apparaître dans l'ordinateur de l'utilisateur après l'installation d'un faux codec vidéo. Ce programme peut se déguiser comme une clé de contrôle ActiveX qui peut s'installer dans l'ordinateur de l'utilisateur avec l'avis et le consentement de celui-ci. Micro Antivirus 2009 ralentit la performance informatique de l'utilisateur, envahit sa vie privée et met ses données dans le risque. Micro Antivirus 2009 utilise la tactique d'alarme en montrant des messages d'erreur et des rapports de d'examen faux pour duper l'utilisateur dans l'achat d'une version « complète » de leur programme.

Octobre 2008 : message vérolé (ecard.zip) - méfiez-vous des "greeting cards".

Le virus est (actuellement) peu documenté sur Internet, il serait actif depuis le 29/09/2008 (avant-hier)

http://www.virus-radar.com/stat_01_current/virus_0003_c31d_enu.html

Nous sommes régulièrement les bénéficiaires des nouvelles saloperies de ce genre.

Received: from 203.166.50.149 (HELO ?203.166.50.149?) (203.166.50.149) by mrelay3-g25.free.fr with SMTP; 1 Oct 2008 04:25:52 -0000

IP Address: 203.166.50.149 - Location: Melbourne - Network: BENTLEY-AU

From: "greetingcard.org" <op@contino.com.mx>
User-Agent: Thunderbird 2.0.0.12 (Windows/20080213)
To: "friend" <vinosoft@[removed]>
Subject: [virus Win32/Spy.Goldun.NDM trojan] You have received an Greeting eCard

Septembre 2008 : spam piègé

"CLIQUE AQUI ..." -> http://xrl.us/orfwo

xrl.us (216.52.237.134 - Internap Network Services Corporation, USA)

redirect* and download flash9.0.exe = ?virus? (application incorrecte)

* http://xoomer.alice.it/carregando : Telecom Italia IDC - ISP&VAS MNGT PROVIDER - 62.211.68.16 - Roma

Headers :

X-Message-Delivery: Vj0zLjQuMDt1cz0wO2w9MDthPTA=
X-Message-Status: n:0
X-SID-PRA: Accounts@passaport.com.br
X-Message-Info: JGTYoYF78jHLfQJBFN0MhE/A/dNaH0l1+D3JTCkexqZsisBzoblKGnb79k8o6+x3VKIbZDcX0QkJbCRKvs9i2w==
Received: from cygnus.netpower.no ([212.33.133.160]) by bay0-mc2-f1.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Sat, 27 Sep 2008 07:19:07 -0700

Received: (qmail 30958 invoked by uid 48); 27 Sep 2008 16:19:01 +0200
Date: 27 Sep 2008 16:19:01 +0200
Message-ID: <20080927141901.30947.qmail@cygnus.netpower.no>
To: vinosoft@[removed]
Subject: Cancelamento de seu Titulo Eleitoral.
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <Accounts@passaport.com.br>
Return-Path: anonymous@cygnus.netpower.no
X-OriginalArrivalTime: 27 Sep 2008 14:19:07.0584 (UTC) FILETIME=[00C05C00:01C920AC]

Septembre 2008 : messages piègés

Message 1 :

Si le destinataire n'a pas effectué de commande en ligne pour un billet d'avion, il est tenté de détruire le message.

Mais ce qui pourrait l'inciter à ouvrir la pièce jointe est l'information "votre carte de crédit a été lestée de 633.92 dollars"

Il y a donc bien piège qui se termine (si le destinataire a un bon antivirus à jour) par :

Message 2 :

Le contenu est susceptible d'inciter le destinataire à ouvrir le fichier attaché surtout que (même si vous êtes 100% clean) le "Service Provider" pourrait avoir commis une erreur d'identification de votre abonnement en recherchant l'auteur d'une activité illégale. Le risque de suspension de l'accès internet est motivant pour en savoir plus; le message signalant que le rapport des activités de l'abonnement est disponible en annexe ... dont la consultation donne :

Soyez prudents.

Ils insistent, les Bougres :

20/09/2008 06:35:13 IMON email message from:

"Eugene Davis" <durrucinku@blinco.com> to: <vinny@[removed]> with subject Your credit card account statement dated Fri, 19 Sep 2008 13:36:21 +0000

downloaded from server 212.88.238.1:110 Win32/AutoRun.AAO worm contained infected files

20/09/2008 06:34:17 IMON email message from:

"tefanis" <tefanis@alphaquad.com> to: <vinosoft@[removed]> with subject Best episodes of Beach Sex Hotel! dated Thu, 18 Sep Central Daylight Time

downloaded from server 212.88.238.1:110 Win32/TrojanDownloader.FakeAlert.HK trojan contained infected files

20/09/2008 06:33:30 IMON email message from:

"Genevieve Mccauley" <jgblbraauqd@bpai.com> to: <vinny@[removed]> with subject Credit card account statement dated Thu, 18 Sep 2008 12:01:11 +0000

downloaded from server 212.88.238.1:110 a variant of Win32/Adware.Antivirus2008 application contained infected files

Septembre 2008 : un avatar devenu rare dans notre messagerie

Cela fait très longtemps (plusieurs années) que nous n'avons plus rencontré un virus qui soit détecté sur le simple fait de recevoir un message électronique; la tendance actuelle en matière de nuisance liée au courrier éléctronique est (chez nous) : messages référencant un site piègé.

Le simple fait de relever notre courrier (en tâche de fond pendant que nous travaillons dans un autre logiciel)

et (comme NOD32 décompresse les fichiers ZIP ou RAR) ->

4/09/2008 6:41:51 IMON email message from: "Ethan Shepard" <orrj@bouldercreekgc.com> to: vinosoft@[removed] with subject Open an account dated Wed, 3 Sep 2008 17:22:15 +0800 downloaded from server 212.88.238.1:110 Win32/AutoRun.XZ worm contained infected files.

When executed, this type of Trojan searches for its DLL component, UP.DLL. Once found, it connects to a specific web site to download and execute files on the infected system.

Le message contient contract_n2.zip - Win32/AutoRun.XZ worm - renamed by NOD32 to contract_n2.vzip
  contract_n2.zip > ZIP > contract_n2.doc.exe - Win32/AutoRun.XZ worm - is a part of the renamed object

Extrait des HEADERS :

Received: from cm170.sigma208.maxonline.com.sg ([218.212.208.170]) by [POP-REMOVED] ; Wed, 03 Sep 2008 11:22:15 +0200
Received: from [218.212.208.170] by bouldercreekgc.com; Wed, 3 Sep 2008 17:22:15 +0800
From: "Ethan Shepard" <orrj@bouldercreekgc.com>
X-Mailer: The Bat! (v2.00.8) Business
Reply-To: orrj@bouldercreekgc.com

bouldercreekgc.com est un club de golf aux USA

X-Priority: 3 (Normal) - Message-ID: <291960838.23172989501133@bouldercreekgc.com>
To: vinosoft@[REMOVED]
Subject: [virus Win32/AutoRun.XZ worm] Open an account
MIME-Version: 1.0 - Content-Type: multipart/mixed; boundary="----------674B8059EFD36E"
Return-Path: <orrj@bouldercreekgc.com>
X-DPOP: Version number supressed - X-UIDL: 1220503231.13477 - Status: U
X-NOD32Result: Infected, Win32/AutoRun.XZ worm

Expéditeur du message vérolé : cm170.sigma208.maxonline.com.sg

Même type d'alerte, 06/09/2008 (dès la réception du message, Outlook Express en tâche de fond) :

6/09/2008 7:11:54 IMON email message from: "Freda Newsome" <tequilla57@hotmail.com> to: <vinosoft@[removed]> with subject Statement of fees 2008/09 dated Thu, 4 Sep 2008 15:10:48 +0100 - a variant of Win32/TrojanDownloader.FakeAlert.GP trojan

Fees_2007-2008.zip > ZIP > Fees_2007-2008.doc.exe - a variant of Win32/TrojanDownloader.FakeAlert.GP trojan

&

6/09/2008 7:13:23 IMON email message from: "tegagg" <tegagg@quelpenis.com> to: <vinosoft@[removed]> with subject Big Boobs dated Sat, 06 Sep GMT - Win32/TrojanDownloader.FakeAlert.HK trojan

movie.rar > RAR > movie.avi.exe - Win32/TrojanDownloader.FakeAlert.HK trojan - is a part of the renamed object.

Headers d'un de ces messages :

Received: from [77.109.115.44] ([77.109.115.44]); Sat, 06 Sep 2008 07:25:16 +0200

77.109.115.44.adsl.dyn.edpnet.net (77.109.115.44) - EDPnet_xDSL_Belgium - 9100 SINT-NIKLAAS

Received: from [77.109.115.44] by mail.bonnet-narbonne.com; Sat, 06 Sep Paris, Madrid (heure d'été)
Message-ID: <5605ac0b$16cf2d9f$466b8cd7@cprfpcjnlqh>
From: "cprfpcjnlqh" <cprfpcjnlqh@bonnet-narbonne.com>
To: <vinosoft@[removed]>
Subject: [virus Win32/TrojanDownloader.FakeAlert.HK trojan] Huge boobs
X-DPOP: Version number supressed
X-UIDL: 1220775480.10230
X-NOD32Result: Infected, Win32/TrojanDownloader.FakeAlert.HK trojan

Headers d'un de ces messages :

Received: from 81-174-13-71.static.ngi.it ([81.174.13.71]); Tue, 09 Sep 2008 13:03:14 +0200
Received: from [81.174.13.71] by mx1.biz.mail.yahoo.com; Tue, 9 Sep 2008 12:03:14 +0100

81-174-13-71.static.ngi.it (81.174.13.71) - NGI S.p.A. Italy

From: AirTran Airways <qegbr@blueskyresumes.com>
To: <vinnie@[removed]>
Subject: [virus a variant of Win32/Injector.CP trojan] Your Online Flight Ticket N 29994
X-NOD32Result: Infected, a variant of Win32/Injector.CP trojan

14.09.2008

Received: from [60.220.171.14] by mail2.newfashionproducts.com : changzhi xyju dail ip pool - China

Win32/TrojanDownloader.FakeAlert.JK trojan

Popup's indésirés : à une telle fréquence qu'il est devenu impossible de travailler sur ce PC lorsqu'il est connecté à Internet.

Qu'en pense Spybot :

Win32.BHO.je: [SBI $90A69837] Interface (Clé du registre) HKEY_CLASSES_ROOT\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}
Win32.BHO.je: [SBI $8AA4E23B] Type library (Clé du registre) HKEY_CLASSES_ROOT\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}
 

FakeAlert: [SBI $AB319566] Barre d'outils IE (Valeur du registre)

HKEY_USERS\S-1-5-21-2959008633-2915903831-1203752577-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{EFAF6EA3-615D-4F83-8748-2F7A576FCEA6}

Smitfraud-C.: [SBI $FB78B7CB] Lien (Fichier) C:\Documents and Settings\All Users\Menu Démarrer\Security Troubleshooting.url

Smitfraud-C.: [SBI $8F50CD0C] Lien (Fichier) C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.url
Smitfraud-C.gp: [SBI $6D5DF07B] Réglages désinstallation (Clé du registre) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Information Center
Smitfraud-C.gp: [SBI $9B23788C] Class ID (Clé du registre) HKEY_CLASSES_ROOT\CLSID\{8b87dcc7-9b89-4205-aa82-076b2a1edfe0}
Smitfraud-C.gp: [SBI $3CA356D5] Réglages (Clé du registre)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}
Smitfraud-C.gp: [SBI $B56BAC82] Lien (Fichier) C:\Documents and Settings\User\Favoris\Online Security Test.url

Zlob.Downloader.vdt: [SBI $80ABF6EA] Réglages (Valeur du registre)

HKEY_USERS\S-1-5-21-2959008633-2915903831-1203752577-1005\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com
Zlob.Downloader.vdt: [SBI $CE7553EC] Réglages (Valeur du registre)

HKEY_USERS\S-1-5-21-2959008633-2915903831-1203752577-1005\Software\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com

Exemples (non limitatifs) de ces saloperies de popup's (2008i06 Aspire 1500 PC114HB1) :

On commence par retrouver de la publicité pour Mobistar : cfr plus bas dans cette page

Nous allons finir par croire que Mobistar utilise réellement les infections pour faire de la publicité ?

Mobistar tente de piéger ses clients ... jeudi 21 août 2008 : http://www.easy-concept.com/blog/?Securite
 

On enchaîne par de la publicité pour un site de VOYANCE :

Viennent ensuite de la publicité pour un site de CASINO :

Reste le pire de tous : un faux antivirus et ... il est là toutes les minutes :

Publicité pour www. antispyware-review.info

www. antispyware-review.info/?wmid=4663&pwebmid=uWfLn0pimL&a=

Note : sur ce site, notre browser [bien éduqué] refuse les téléchargements :

Nous n'avons donc pas pu les tester pour savoir si ce sont des faux anti-malware's ?

[http:// pc-antispy.com/demo.php?wmid=4663&pwebmid=uWfLn0pimL&a= & http:// pc-cleanpro.com/demo.php?wmid=4663&pwebmid=uWfLn0pimL&a= ]

[http:// pc-antispy.com/download/4663/uWfLn0pimL/PCAntispy_Installer_eng.exe & http:// pc-cleanpro.com/download/4364/PCCleanPro_Installer_eng.exe]

Mais la documentation sur Internet signale que ce sont de belles merdes :

- http://www.2-viruses.com/remove-pcantispy

- http://www.2-viruses.com/remove-pccleanpro

Note : en faisant des recherches sur "Zlob.Downloader.vdt" nous tombons sur un forum :

http://www.commentcamarche.net/forum/affich-4085962-help-j-ai-choppe-une-chose-et-besoin-d-info

Le conseil de boulepate62, le lundi 19 novembre 2007 à 19:23:47 :

"Télécharge SmitfraudFix et enregistre le sur le bureau. Si ton anti-virus t'alerte d'un virus, désactive-le. http:// siri.urz.free.fr/Fix/SmitfraudFix.zip ..."
Nous l'avons téléchargé et nous comprenons pourquoi il est demandé de désactiver sont antivirus :

NAV signale : IEDefender,Access Denied,1,IEDFix.C.exe,Security Risk (On) & IEDefender,Access Denied,1,404Fix.exe,Security Risk (On)
Contenu du SmitfraudFix.zip :

False positive detection ? "Faux positif" selon http:// siri.urz.free.fr/Fix/SmitfraudFix.php

Méfiance quand-même.

Sur  http:// siri.geekstogo.com/SmitfraudFix_Fr.php :

Même alerte de l'antivirus.

03/09/2008, nouveau look de spam piègé :

READ FULL STORY = www. thewebleaders.com/index97.html = virus

69.42.69.69 : Webair Internet Development Inc, Jericho, NY, USA

Scan type: Auto-Protect Scan - Event: Security Risk Found! - Risk: Bloodhound.Exploit.196
File: ...\Temporary Internet Files\...\index[1].pdf - Date found: mercredi 3 septembre 2008

Bloodhound.Exploit.196 is a heuristic detection for files attempting to exploit the Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities.

Des virus peuvent-ils entraîner l'obligation d'une réinstallation complète de Windows ?

Cas concret du 27/08/2008 : XP ne démarre plus, sous aucune option du F8

La réinstalllation/réparation de XP à partir du CD Microsoft Windows sans formatage du disque système se solde par un échec.

Le disque dur est placé comme esclave d'un de nos PC's de tests; voici un extrait des résultats de l'antivirus :

Downloader.Trojan,Cleaned by deletion,1,Setup.exe,File Compressed file,G:\Documents and Settings\...\Mes documents\

Packed.Generic.180,Cleaned by deletion,1,kb767887[1],Heuristics,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Trojan.Vundo,Cleaned by deletion,3,kb767887[1],File,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Trojan.Vundo,Cleaned by deletion,3,kb456456[1],File,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Packed.Generic.180,Cleaned by deletion,1,kb456456[1],Heuristics,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Packed.Generic.180,Cleaned by deletion,1,kb671231[1],Heuristics,G:\Documents and Settings\...\Local Settings\Temporary Internet Files\

Trojan.Kibik!inf,Quarantined,1,Explorer.exe,File Compressed file,G:\WINDOWS\

Trojan Horse,Quarantined,1,FixCamera.exe,File,G:\WINDOWS\

Packed.Generic.180,Cleaned by deletion,1,ebfmai.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,oliedksl.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,tyhjxu.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,kunjgtrr.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,tdybdhbm.dll,Heuristics,G:\WINDOWS\system32\,

Packed.Generic.180,Cleaned by deletion,1,apjbbrqu.dll,Heuristics,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,alwvtiid.dll,File,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,oacgrwjh.dll,Heuristics,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,kpnegjmd.dll,Heuristics,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,akrach.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,ysktrwtg.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,bvjete.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,hekpgjjy.dll,File,G:\WINDOWS\system32\

Packed.Generic.180,Cleaned by deletion,1,igeurruc.dll,Heuristics,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,hbbfcvlu.dll,File,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,ydzrgi.dll,File,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,mdrpjmtu.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,ayqjtv.dll,File,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,cfqtjoax.dll,File,G:\WINDOWS\system32\

Trojan.Skintrim,Cleaned by deletion,1,dnseiswcf.exe.ren,File,G:\WINDOWS\system32\

Trojan.Vundo,Cleaned by deletion,3,lpdpjo.dll,File,G:\WINDOWS\system32\

Trojan.Vundo,Reboot Required - Cleaned by deletion,115,tygcqglr.dll,File,G:\WINDOWS\system32\

Trojan.Metajuan,Cleaned by deletion,1,euegxxeb.dll,File,G:\WINDOWS\system32\

...

??????,Quarantined,1,tram pararam xxx simpsons guy.zip,Compressed file,

...\Documents and Settings\Gre...\Mes documents\My Music\Shared\, Still contains 1 infected items,Manual scan,28/08/2008 13:26:06

...
Adware.Superiorads,Quarantined,1,setup.exe,File Compressed file Adware, ...:\Documents and Settings\Gre...\Mes documents\My Music\Shared\

tram pararam xxx simpsons guy.zip, Leave alone (log only),Manual scan,28/08/2008 13:26:06

...
Adware.NewWeb,Quarantined,1,setup.exe,File Compressed file Adware,...:\Documents and Settings\Gre...\Mes documents\My Music\Shared\

tram pararam xxx simpsons guy wet and wild.zip,Leave alone (log only),Manual scan,28/08/2008 13:26:06
...

Nombreux autres essais de décontamination sans succès -> format c:\

Un simple spam, un moment d'inattention d'une Utilisatrice ...

- ... juste de retour de ses congés annuels (un paquet de messages dont des dizaines de spam's)

- ... qui n'a pas d'expérience vis-à-vis de ce type de nuisance :

Symptôme-1 : le fond d'écran est modifié par une image "alerte de sécurité"

Le fond d'écran ne peut plus être modifié par l'Utilisatrice : l'option "bureau" des propriétés d'affichage est disparue.

Symptôme-2 : la homepage du navigateur internet est devenue :

http://www.antivirusxp-2008.net/buy/7ce97dc8fe24b48513cf5696b406a33e

et des quantités de popups apparaissent :

Symptôme-3 : une nouvelle icône est apparue sur le bureau : Antivirus XP 2008

avec une cible peu conventionnelle : C:\Program Files\rhc3kgj0eldp

Parmi les "tâches en utilisation" :

Localisation des nuisances-1 : Program Files

Registry : "C:\\Program Files\\rhc3kgj0eldp\\rhc3kgj0eldp.exe"="rhc3kgj0eldp"

Localisation des nuisances-2 : Windows\system32

Registry : "C:\\WINDOWS\\system32\\lphc7kgj0eldp.exe"="lphc7kgj0eldp"

Remarque : le "Uninstall" du logiciel "Antivirus XP 2008" est vérolé.

Il a été détruit par l'antivirus -> aucune désinstallation possible.

20/08/2008 09:28:58,Uninstall.exe,Packed.Generic.180,C:\Program Files\rhc3kgj0eldp\,Infected

http://www.symantec.com/security_response/writeup.jsp?docid=2008-080816-2234-99&tabid=2 (Discovered: August 8, 2008)
 

Packed.Generic.180 is a generic detection to identify files that were compressed or encrycpted to conceal itself from antivirus and security program. A packer is a tool that compresses, encrypts or obfuscates executable files. Malware authors often use packers to conceal threats from detection by antivirus software. Packed.Generic.180 detects a packer that is not known to be used for legitimate purposes. Files that are detected as Packed.Generic.180 are considered malicious.

Note : le site www .antivirusxp-2008.net existe sous une forme paraissant "correcte" :

Buy and download ->

stat.antivirusxp-2008.net (218.106.90.227)

donnant :

22/08/2008 8:43:26 AMON ...\Temporary Internet Files\...I\AntivirusXP2008Installer[1].exe Win32/Adware.XPAntivirus application
Le site hégergeant ce faux antivirus est olympique :-) : 218.106.90.227, Xicheng District, Beijing, China.

Solution utilisée en urgence sur site : arrêt des processus malsains par le gestionnaire des tâches, suppression des fichiers, restore un backup de la registry effectué quelques jours avant l'infection. Le PC sera revu en notre atelier à notre retour de congés annuels.

Note : le "spam originel" du 19/08/2008 n'a pas été identifié : le message a été détruit par l'Utilisatrice et Outlook Express vide le répertoire des "éléments supprimés" lors de sa fermeture. Sur le Webmail de notre Cliente, les messages des 19-20/08/2008 ne sont plus disponibles. Parmi les spam's des 21 et 22/08/2008, on trouve les Paris Hilton (cfr. ci-dessous) :

Download player to watch full movie ->

22/08/2008 8:11:36 IMON file http://www.thejonwebgroup.com/player.exe probably a variant of Win32/Nuwar worm

Note : dans notre mailbox, on retrouve ce type de messages :

Tous ces messages référencent un site piègé; exemples :

- lien direct sur un fichier exécutable : Be the first to watch the video = http:// team-focus.org/video_4.exe

PUSH TO WATCH = http:// dmisystems.ro/video_1.exe

PLAY NOW = http:// bcm.org.my/player.exe

= trojan, worm

- lien sur une page piègée comme : http:// tecland.cl/vend/tops.php ou http:// classic.scicube.net/index_6.html

http:// www. okurasushi.cl/vsbhksv/bhjvdsksdv.php ou http:// www. photogm.ch/lfk/sgsg.php

[connexion au site 79.135.167.49, ISTANBUL TELEKOM]

News - août 2008

La police néerlandaise vient de réussir un joli coup, aidée en cela par le FBI : son unité spécialisée dans la lutte contre le crime high-tech a démantelé un réseau de PC zombies, baptisé "botnet Shadow". Le réseau contenait environ 100 000 PC, infectés par un programme malveillant et contrôlés par des pirates à l'insu de leurs propriétaires ... ZDNet.

Spam's dangereux du mois d'août 2008, méfiez-vous :

Saloperies relevées :

- Trojan.Fakeavalert - Win32/TrojanDownloader.FakeAlert.FO trojan

- variant of Win32/Statik application

- variant of Win32/TrojanDropper.Small.NHU trojan

- variant of Win32/Nuwar worm

1/ msnbc.com: BREAKING NEWS

Références : http://www.secuser.com/alertes/2008/exchangernb.htm du 13/08/2008

le lien "Find out more at http://breakingnews.msnbc.com" est faux.

Il renvoie vers un autre site qui est piègé (comme : http:// ajinmo.com/msnlive.html)

2/ en provenance de ... @ microsoft.com ou de Microsoft XP

le lien "Download the latest version Internet Explorer 7.0! " est piègé.

Exemple : http:// 89.187.49.18/IE-7.0.exe (Vadim Karai, Moldova) = virus.

Free Update Windows XP,Vista = http:// 89.187.49.18/install.exe

3/ Jessica Alba ... Angelina Jolie ... Kameron Dias ... Jennifer Lopez ...  Britney Spears ... Paris Hilton ... -> virus

-> (exemple) ->

= trojan

idem avec

= trojan

idem avec : Flash Player ... flashcodecinstall....exe.

= worm

4/ CNN Alerts : My Custom Alert

= worm

5/ CNN "Daily Top 10"

Tous les liens pointent vers :

qui sont entâchés de :

ou

ISTANBUL TURK TELEKOM : http:// 79.135.167.18/antivir/check/scaner.exe : a variant of Win32/Agent.ETH trojan

122.252.5.36, AUSTRALIE : http:// hotelnoorla.com.au/install.exe : a variant of Win32/Agent.ETH trojan
 

SOYEZ TRES PRUDENTS !

Juillet - Août 2008 : machine contaminée dont le seul symptôme directement visible est l'apparition de popup's spontanés indésirés.

Il suffit d'ouvrir la page d'acceuil d'Internet Explorer (ou Avant Browser) du PC de notre Cliente (Catherine) et d'attendre quelques minutes ... ... voici les écrans qui apparaissent spontanément :

Popup 1 :

www.simplybymobistar.be (85.255.196.39) : 9080 Lochristi, BE

Est-il possible que Mobistar passe par des popup's indésirés pour envoyer de la publicité ?

Cela nous paraît peu vraisemblable.

On en parle peu sur Internet :

http://forum.judgehype.com/judgehype/Discussionsgenerales/alternative-released-mozilla-sujet_239125_83.htm

Popup 2 :

http://www.terminala.be/htm/213/AboutUs.htm (209.67.222.228, USA)

http://web11.terminala.com (64.92.169.190, USA)

Popup's 3 :

Note : le service "Centre de Sécurité" de Windows XP est désactivé dans cet ordinateur.

Juillet 2008 : analyse de l'état sanitaire du PC : Spybot donne la liste des spywares suivante :

AntiSpywareShield: [SBI $F3BABACD] Réglages (Clé du registre)
VirusProtectPro: [SBI $21D7A104] Interface (nombreuses Clés du registre)
Win32.BHO.je: [SBI $F64870AB] Root class (Clé du registre)
Smitfraud-C.gp: [SBI $9E48F452] Class ID (Clé du registre)
Zlob.Downloader.oid: [SBI $DC66B3C8] Browser helper object (Clé du registre)

Win32.BHO.je

- espionne votre intimité (vos informations personnelles)

- vous importune avec des publicités.

Il ne détruit ou ne manipule pas des fichiers sur l'ordinateur.

Le nettoyage de ces saloperies par Spybot ne résout pas le problème des popups.

Une analyse minutieuse par hijackthis a permis de se séparer de ces nuisances : plus d'anomalies du 18/07/2008 au 11/08/2008.

Suivi du cas : le 11 août 2008, les popup's sont de retour.

1/ simplybymobistar 2/ terminala et 3/ un "petit nouveau" (ci-dessous) :

2008H12/Catherine :

D'abord, élimination de : Trojan-Downloader.Win32.Zlob.jbl

Fichiers Internet temporaires\Content.IE5\...\WebSoftCodecSetup[1].exe
 

Test 1 : nous avons remplacé la page de garde be.msn.com par celle de Google et fermé MSN Live Messenger -> plus de popup en dix minutes de navigation.

Test 2 :

- vidange du cache Internet, reboot (MSN Live Messenger running) et ...

- ... nous affichons "be.msn.com" comme seule page ouverte dans Avant Browser -> popup de retour :

Test 3 :

- vidange du cache Internet, reboot (MSN Live Messenger running) et ....

- ... nous démarrons Avant Browser et MSIE sur Google -> popup's de retour !

Ce n'est donc pas la page "be.msn.com" qui est source de la nuisance.

Test 4 :

- vidange du cache Internet, reboot (MSN Live Messenger stopped) et ....

- ... nous démarrons Avant Browser et MSIE sur Google -> popup's de retour !

Autres éléments :

1/ sur le compte du deuxième User (Philippe) : pas de popup.

2/ sur le compte du premier User (Catherine) : nous installons Firefox -> pas de popup.

C'est donc (uniquement) le MSIE de Catherine qui est affecté.

Solution temporaire d'urgence pour pouvoir rendre le PC à Catherine : exploiter MSIE sur Philippe ou Firefox sur Catherine.

Intervention future programmée : essai de dépistage de la source de cette nuisance en ne s'occupant plus que du paramètrage et des éventuels addons du MSIE de Catherine et si nécessaire : sauvegarde des documents, email, adresses, .... de Catherine; suppression de son compte; création d'un nouveau compte avec réimportation des fichiers sauvegardés.

... à suivre ...