docComment les infections s`installent-t-elles dans un système
download 
Plainte Transcription
Comment les infections s`installent-t-elles dans un système
Prévention & Sécurité sur internet (version courte) Aout 2011 Dossier Prévention et Sécurité (version courte) v 201108 page 1/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Sommaire 1- Pourquoi des infections ? 2- Infection à travers les sites WEB : simplement en surfant 3- Les Rogues/Scareware : Faux Antivirus 4- Les infections par disques amovibles (Clef USB/Disque dur externe) 5- Mail : Infections / Hoax / Scam / Phishing 6- Cracks Keygens et P2P 7- Vers et arnaques sur MSN 8- Conclusion page 2/32 Prévention & Sécurité sur internet (version courte) Aout 2011 1- Pourquoi des infections ? Les infections sont devenues en quelques années avec l'expansion d'internet, une véritable machine à faire de l'argent. Les moyens pour faire de l'argent sont diverses, Ce ne sont pas seulement les groupes qui mettent en ligne les infections qui touchent de l'argent, Certains groupes développent et vendent les trojans avec un service après vente. D'autres groupes vendent des WebMalware Kit etc. il existe donc tout un écosystème autour des infections. Voici quelques exemples utilisés pour faire l'argent via des infections : • Transformer votre machine en PC Zombis / botnet. • Les pirates constituent un réseau de PC infectés qu'ils contrôlent et peuvent louer pour une somme d'argent pour effectuer divers tâches. Vous pouvez lire cette page pour plus d'informations : Botnet BusinessEn général, ces tâches sont : ◦ Utiliser les ordinateurs infectés pour effectuer des attaques vers des sites PC zombies à sa disposition pour effectuer ses attaques. Imaginez 10 000 PC avec des connexions ADSL effectuant des requêtes en continu sur un site WEB ! ◦ Utiliser les ordinateurs infectés pour relayer des mails de spams pour des produits commerciaux. • Faire de l'argent via la publicité. infecter les ordinateurs des internautes avec des Adwares. Les pirates créent des Adwares qui affichent des popups de publicités ou des infections qui redirections lors des recherches Google. Le pirate gagne alors un certains nombres d'argent par popup de publicités ouverte donc plus le nombre d'ordinateur qui ouvre des popups est grand, plus le pirate se fera d'argent. • Tromper les internautes en vendant de faux antispywares que l'on nomme Rogues/Scareware - Notion de PPC/CPC • Les rogues génèrent à eux seuls des milliers de dollars voir : http://www.secureworks.com/research/threats/rogue-antivirus-part-1/ et http://www.secureworks.com/research/threats/rogue-antivirus-part-2/ ◦ Ce sont des coquilles vides.. Une simple interface graphique ressemblant à des antispywares classiques mais sans mise à jour, sans procédures de nettoyage. Le but est très simple. Les auteurs de ces faux-antispywares inondent le WEB de publicités via les régies de pubs (ce sont les sociétés qui s'occupent d'afficher les publicités sur les sites WEB, concrètement en quelques secondes, plusieurs millions/millions de sites WEB peuvent afficher la même publicités pour le même produit), généralement avec de fausses alertes de sécurités indiquant que votre ordinateur est infecté proposant de télécharger, comme solution, ces faux-antispywares. ◦ Les pirates créent des infections qui affichent des alertes indiquant que votre ordinateur est infecté (fond d'écran modifié avec messages en rouges, icônes en bas à droite à côté de l'horloge indiquant que votre ordinateur est infecté) en proposant de télécharger, page 3/32 Prévention & Sécurité sur internet (version courte) Aout 2011 comme solution, ces faux-antispywares. Si l'utilisateur est naïf... voyant ces alertes, il va télécharger et acheter ce faux produit qui ne va rien nettoyer sur son ordinateur. ◦ De faux blogs de sécurité pour vendre des antispywares ce sont créés. Ces derniers touchent un % sur les ventes. Imaginez les créateurs de rogues qui en plus créent des blogs avoir des sois disant recette de désinfection via des antispywares et touche un % au passage... • Promouvoir l'installation de programmes malicieux (inclus rogues et scamwares) - notion de ] PPI - Pay-Per-Install. Un groupe peut se concentrer sur la promotion de programmes malicieux sans l'avoir développer lui même (Affiliation). • Récupérer des informations tels que les adresses email, numéro carte bancaire (carding) etc.. afin de les revendre soit via des infections (Zbot, Banker etc).. soit via du phishing. • Récupérer les identifiants de compte de jeu en ligne pour les revendre : voir fraude jeux en ligne comment prendre les joueurs à l'hameçon • Divers autres arnaques par mail comme les arnaques Scam 419 / Scam nigérian ou le phishing. • Etc. Vous trouverez d'autres informations et exemples sur la page : Business malwares : le Pourquoi des infections, Pour infecter les internautes, les auteurs de malwares utilisent divers subterfuges, cela va à l'exploitation de la crédulité des internautes ou tirer parti de la méconnaissance de l'outil informatique. Cet article a pour but de vous donner les grandes lignes à travers des exemples des moyens utilisés pour infecter les ordinateurs à grandes échelles, le but étant à travers ces exemples de mieux comprendre comment les infections se propagent pour les éviter. page 4/32 Prévention & Sécurité sur internet (version courte) Aout 2011 2-Infection à travers les sites WEB : simplement en surfant Les auteurs des malwares hack en permanence une multitude de sites WEB afin d'infecter les internautes. Si possible des sites à forte audience ou sur des thèmes susceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier à l'origine de l'infection. C'est d'autant plus facile que créer un site ou un forum est devenu chose aisée. Malheureusement ces webmasters en herbe n'ont pas forcément les connaissances informatiques ou de sécurité minimales pour ne pas se faire hacker. Les auteurs de malwares ajoutent alors une iframe invisible (ou un bout de code javascript) à la page d'accueil du site WEB en question. Les navigateurs WEB des visiteurs vont alors exécuter de manière automatique le contenu de l'iframe et être redirigé vers une adresse tiers contenant un ou plusieurs exploits, si une faille est présente sur le système d'exploitation ou un logiciels tiers, c'est l'infection (je passe outre le fait que l'antivirus peut détecter et bloquer la tentative d'infection). Voici un exemple d'exploitation de vulnérabilité sur Acrobat Reader : La visite d'un site avec Internet Explorer 7 qui execute PDF malicieux, IE lance Acrobat Reader (AcroRd32.exe) pour lire ce PDF. page 5/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Acrobat Reader souhaite ensuite se connecter à une adresse (195.242.161.100) afin de télécharger le code malicieux... page 6/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Le code malicieux est téléchargé et Acrobat Reader tente de l'exécuter sous le nom de fichier ~.exe Si le fichier est exécute ce dernier installe l'infection sur le système. page 7/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Dans l'exemple ci-dessus, il n'y a qu'un exploit sur Acrobat Reader mais lors de la visite d'un site hacké, ce sont des séries d'exploits qui sont testés afin d'avoir une chance que l'un d'eux fonctionne, cela peut aller facilement à une vingtaine visant des logiciels différents : Quicktime, Winzip, RealPlayer et bien souvent Flash, Java et Adobe Reader via des PDF malicieux. Ce qu'il faut comprendre, c'est que pour avoir plus de chance d'infecter votre ordinateur, c'est une série d'exploits visant Windows ou des logiciels tiers qui sont testés. Le but étant pour les auteurs de malwares d'augmenter les chances d'infection en tentant d'attaquer un maximum de logiciels différents puisque les chances qu'un logiciel non à jour sur le système visé soit présent sont fortes. Depuis mi-2008, c'est surtout les logiciels tiers et notamment les plugins de votre navigateur WEB qui sont visés, le simple fait de ne pas maintenir à jour ces programmes permet l'infection de votre PC. Vous trouverez des exemples et explications supplémentaires sur les pages suivants : • Exploits sur site WEB page 8/32 Prévention & Sécurité sur internet (version courte) • Flash, Java et Adobe Reader via des PDF malicieux. • Le danger des failles de sécurité Aout 2011 Il faut donc bien comprendre qu'il est important de maintenir son système MAIS AUSSI ses logiciels à jour, la simple présence d'un logiciel non à jour suffit pour infecter votre ordinateur. Je répète, c'est la simple présence du logiciel non à jour qui met votre système en danger, logiciel utilisé ou non genre rien, d'ailleurs dans le cas d'un logiciel non utilisé, il vaut mieux le désinstaller, vous gagnez en sécurité car vous risquez d'oublier de le mettre à jour. Conclusion : au lieu de vous demander quel est le meilleur antivirus, commencez par prendre l'habitude de maintenir votre système et vos logiciels à jour. Pour maintenir son système à jour, faites un Scan de vulnérabilités et mettez vos logiciels à jour. page 9/32 Prévention & Sécurité sur internet (version courte) Aout 2011 3-Les Rogues/Scareware : Faux Antivirus Les rogues sont de faux antispywares ou programmes détectant des erreurs dans le registre Windows, disque etc et vous propose de les réparer. Les détections faites par ces programmes sont imaginaires et créer afin de vous proposer une version payante pour soit disant désinfecter ou réparer. Ce sont donc des arnaques. A ~ 40 euros le rogue, ces arnaques génèrent plusieurs milliers d'euros par an. Exemple d'un rogue indiquant avoir détecté des menaces : Les rogues peuvent s'installer automatiquement avec un pack d'infection. Ces infections affichent des alertes constantes afin de faire croire à l'internaute qu'il est infecté. Ces alertes reprennent certains éléments de Windows afin de tromper l'internaute et lui faire croire que ces alertes viennent bien de Windows rendant ces alertes légitimes. Ces alerte sont sous forme de bulles provenant d'une icône en bas à droite à côté de l'horloge : page 10/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Les infections peuvent aussi modifier le fond d'écran avec des couleurs généralement vives afin de faire peur à l'internaute : Enfin très souvent ces infections affichent d'innombrables popups d'alertes et redirigent l'internaute vers des pages de téléchargement de rogues : page 11/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Pour mieux tromper l'internaute certaines fenêtres reprennent des éléments de Windows comme par exemple le centre de sécurité. Pour beaucoup d'internautes, il est difficile de faire la différence, d'autant que certains noms de rogues prennent des noms comme "Windows Antivirus" et certaines couleurs de Windows/Microsoft (bleu etc). L'internaute débutant peut alors croire que l'antivirus est tout simplement édité par Microsoft. Fausse page de centre de sécurité : Fausse page alerte Internet Explorer : page 12/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Enfin certaines infections peuvent aussi effectuer des redirections lors des recherches Google afin toujours d'afficher de fausses pages d'alertes de scan. page 13/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Ces fausses pages de scans ne sont que des animations mais pour un internaute débutant, ce dernier peut croire que c'est bien son disque dur qui est scanné et que des éléments néfastes sont bien détectés. A l'issu de ces faux scans un rogue est proposé en téléchargement pour désinfecter votre PC. Depuis 2008, de nouvelles méthodes sont utilisés par les auteurs de malwares pour toucher plus d'internautes. Les auteurs de malwares : • créé d'innombrables "faux sites" contenant des mots clefs susceptibles d'être tapé dans les moteurs de rechercher par les internautes. En cliquant sur un de ces "faux sites" depuis le moteur de recherche, l'internaute sera redirigé vers une fausse page de scan. Principe du SEO poisoning. • créé de fausses bannières de publicités (malvertizement), ces dernières peuvent se retrouver sur des sites WEB légitimes et souvent à forte audiance. Un internaute qui visite ces sites peut alors être redirigé vers une fausse page de scan. Exemple avec malvertizement sur jeuxvideo.com Ces infections utilisent le social engineering à outrance pour tromper les internautes. page 14/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Pour beaucoup d'internautes, la confusion peut être faite entre savoir si son PC est réellement infecté par un malware qui ouvre de fausses popups d'alertes ou redirige lors des recherches Google. Au delà cela, un internaute débutant qui n'est pas au fait de ces menaces et qui ne maitrise pas l'outil informatique peut avoir du mal à faire la différence entre vrai et fausses alertes. Encore une fois, informez vous avant de faire l'acquisition d'un programme. Quelques liens sur le sujet : • Qu'est-ce que les Rogues/Scareware • Liste des rogues • Rogues et alertes de sécurité • Les faux codecs vecteurs d'infections rogues page 15/32 Prévention & Sécurité sur internet (version courte) Aout 2011 4-Les infections par disques amovibles (Clef USB/Disque dur externe) Les infections par disques amovibles sont les infections qui se propagent par clef USB, appareil photos numériques, disques durs externes etc. Les clefs USB sont devenues des outils indispensables pour échanger des fichiers, on les branche chez des amis, à l'école, dans un cyber café.... oui mais voilà les infections utilisent, de plus en plus, ces supports pour se propager. La simple utilisation de ces périphériques sur un ordinateur vérolé et votre périphérique est infecté et permet l'infection des ordinateurs sur lesquels le périphérique sera branché, de retour chez vous, vous branchez votre périphérique et vous infectez votre PC . A son tour, tout appareil inséré sur votre PC nouvellement infecté sera vérolé, de quoi infecter à son tour, tout votre entourage et ainsi de suite. Il convient donc de faire attention sur quels PC vous insérez vos supports USB mais aussi les supports USB utilisés sur votre PC (faites notamment attention lorsque vous laissez vos amis brancher leurs clefs USB). Certains endroits sont plus propices pour récupérer ces infections notamment les écoles, cyber cafés etc.. bref les lieux où beaucoup de clefs USB sont susceptibles d'être branchés. Il est possible de sécuriser son PC et périphérique pour éviter ces infections, vous trouverez aussi des explications détaillées sur le fonctionne et les bonnes habitudes à prendre. Une fois que vous aurez compris comment ces infections fonctionnent, vous pourrez les éviter : • Les infections par disques amovibles • Les infections par disques amovibles 2 • Sécurité : Maitriser ses médias amovibles page 16/32 Prévention & Sécurité sur internet (version courte) Aout 2011 5-Mail : Infections / Hoax / Scam / Phishing Comme beaucoup de gens, vous recevez peut-être plusieurs emails dont vous ne connaissez pas le destinataire qui vous incite à cliquer sur un lien ou à ouvrir une pièce jointe. La règle est plutôt simple : si vous ne connaissez pas le destinataire, supprimez le message. Même si le message paraît venir de Microsoft ou de votre meilleur ami, vous devez faire attention, car l'adresse peut très bien avoir été falsifiée ou votre meilleur ami peut très bien être infecté sans le savoir. Notez aussi que par exemple si en plus, l'e-mail est écrit en anglais ou en français mal traduit, cela peut être un indice quant à la dangerosité de l'e-mail. En effet, certains de ces e-mails dont l'expéditeur est inconnu ou falsifié peut contenir, dans sa pièce jointe ou dans un lien présent dans le message, une infection. Faites donc preuve d'une grande attention, au moment d'ouvrir une pièce jointe ou de cliquer sur un lien présent dans l'e-mail. Les hoax sont des courriers électroniques propageant une fausse information. • Ces rumeurs tentent souvent de toucher la susceptibilité du destinataire avec des informations négatives, afin de le pousser à transmettre le mail à ces proches. Les sujets abordés sont souvent : des alertes virus, disparitions d'enfant, promesse de bonheur, pétition, etc.. • A l'inverse, certains hoax tentent à faire passer de fausses informations en construisant une forte argumentation, en mélangeant le vrai et le faux, en étalant leurs argumentations des vrai chiffres comme des faux... En règle général, ces hoax ne donnent pas la source des chiffres. • Les hoax se terminent souvent par une phrase incitant le destinataire à propager la rumeur à son tour en l'envoyant à ses proches : "Passez l'information, ça pourrait sauver une vie !"[/list] Plus d'informations sur les hoax. Le « scam » (« ruse » en anglais), sont des arnaques en général envoyées par e-mail. Le Scam 419 / Scam nigerian est l'un des plus actif, d'origine africaine, consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage. L'arnaque du scam est issue du Nigeria, ce qui lui vaut également l'appellation « 419 » en référence à l'article du code pénal nigérian réprimant ce type de pratique. Cette arnaque se présente toujours sous la forme d'un courrier (ou aujourd'hui d'un pourriel), dans lequel, par exemple, un jeune Africain appartenant à une riche famille vous explique son besoin de transférer rapidement de l'argent à l'étranger pour une quelconque raison (principalement à cause de la guerre civile régnant dans son pays). Il demande votre aide pour ce transfert d'argent, en échange de quoi il vous offre un pourcentage sur la somme à transférer. Une autre variante consiste à vous faire croire que vous êtes l'heureux gagnant d'une loterie ... à laquelle vous n'avez même pas participé. Ces arnaques promettent une grosse somme d'argent sous divers prétexte (transfert d'argent, loterie) pour au final en extorquer. Comment déceler un scam ? • L'e-mail est bourré de fautes d'orthographe ou français approximatif. (Traducteur automatique) • Le domaine de l'adresse de l'expéditeur et son extension (@domaine.com) sont souvent incohérents. (Un e-mail d'un prétendu nigérian, avec l'extension en .sk, Slovaquie. Un e-mail d'une certaine loterie de Microsoft avec un domaine en yahoo.com …) • etc. page 17/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Plus d'informations sur le scam, avec des exemples illustrés. Enfin depuis peu, ces arnaques se sont diversifiées et sont maintenant présentes sur ebay ou le boncoin sous forme de petites annonces très alléchantes. Vous avez aussi une autre variante sous forme de chantage par webcam : http://www.malekal.com/2011/06/08/scam-419-police-de-linternet/ Via des sites de rencontre, vous entrez en contact avec une femme qui vous demande de vous déshabiller par webcam. Une fois que c'est fait, on vous fait chanter par des mails de la « police internet » en disant que vous êtes pédophiles, le policier réclame de l'argent pour se taire, ou en vous menaçant de mettre la vidéo en ligne ou à l'envoyer à vos amis contre de l'argent. Le « Phishing » (« Hameçonnage » en français) est une technique frauduleuse utilisé par des pirates afin d'obtenir des informations personnelles. La plupart du temps, le but de cette technique est d'obtenir des informations bancaires afin de les utiliser à mauvais escient. Le Phishing peut s'exercer, le plus souvent, soit par e-mail, soit par le biais de sites web falsifiés. La technique est simple, faire croire à l'internaute que l'e-mail ou le site web falsifié sur lequel il se trouve, est véritablement celui de sa banque. Heureusement, un détail peut vous permettre de reconnaitre ce genre d'e-mails ou de sites web : L'adresse n'est jamais la même, même si elle y ressemble en général. Par ailleurs, vous devez absolument retenir que JAMAIS votre banque ne vous demanderai par e-mail vos informations bancaires, ils connaissent les risques du Phishing. Retenez également que le Phishing ne s'utilise pas exclusivement pour voler des informations bancaires, cela peut arriver aussi pour voler vos identifiants PayPal, ou encore vos informations de comptes de jeux vidéos ... Plus d'informations sur le Phishing. page 18/32 Prévention & Sécurité sur internet (version courte) Aout 2011 6-Cracks Keygens et P2P Pas de leçon de morale sur le piratage, juste quelques informations pour mesurer les risques... Pour utiliser des logiciels payants sans débourser le moindre centime, nombreux sont ceux qui enlèvent les protections à l'aide d'un programme appelé communément crack ou inscrivent un numéro de série généré par un keygen. Toutes ces applications facilitant le piratage ne sont pas forcément contaminées, mais les auteurs de malwares profitent de l'intérêt pour ce genre de programmes pour faire passer leurs créations malignes. Ainsi, en pensant faire sauter la protection d'un logiciel, l'utilisateur trop confiant exécute un programme malveillant avec ses droits d'administrateur, ce qui permettra l'infection du système. L'infection Bagle qui désactive les Antivirus et les systèmes de nettoyage... Extrait de scan chez Virus Total: File keygen.exe received on 10.21.2008 12:41:09 (CET) Current status: finished Result: 10/36 (27.78%) Compact Compact AntiVir 7.9.0.5 2008.10.21 Avast 4.8.1248.0 2008.10.15 AVG 8.0.0.161 2008.10.20 Win32/Themida BitDefender 7.2 2008.10.21 CAT-QuickHeal 9.50 2008.10.21 (Suspicious) - DNAScan F-Secure 8.0.14332.0 2008.10.21 Kaspersky 7.0.0.125 2008.10.21 Trojan-Downloader.Win32.Bagle.aed[ McAfee 5409 2008.10.21 Microsoft 1.4005 2008.10.21 NOD32 3541 2008.10.21 Win32/Bagle.QA[ Panda 9.0.0.4 2008.10.21 PCTools 4.4.2.0 2008.10.20 Symantec 10 2008.10.21 TheHacker 6.3.1.0.121 2008.10.21 W32/Behav-Heuristic-064 TrendMicro 8.700.0.1004 2008.10.21 - On note que beaucoup d'antivirus sont passés à côté de l'infection. Dans ce cas, un utilisateur d'avast ou de panda (par exemple) aurait laissé se charger l'infection sans rien voir passer. La palme des infections liées aux cracks revient à Virut/Virtob : Extrait de scan chez Virus Total: Fichier Rising_Star_188846661_svchost.exe reçu le 2009.02.13 11:18:51 (CET) Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.93 Virus.Win32.Virut.q!IK 2009.02.13 page 19/32 Prévention & Sécurité sur internet (version courte) AntiVir 7.9.0.76 2009.02.13 W32/Virut.Genn Avast 4.8.1335.0 2009.02.12 - AVG 8.0.0.237 2009.02.13 Win32/Virut 2009.02.13 - 2009.02.13 Win32.Virut.56 BitDefender 7.2 DrWeb 4.44.0.09170 GData 19 2009.02.13 - K7AntiVirus 7.10.628 2009.02.12 Virus.Win32.Virut.CF1 Kaspersky 7.0.0.125 2009.02.13 Virus.Win32.Virut.ce[ McAfee 5524 2009.02.12 W32/Virut.n.gen[ Microsoft 1.4306 2009.02.13 NOD32 2009.02.13 3850 Norman 6.00.02 2009.02.12 Panda 10.0.0.10 Symantec 10 TrendMicro 8.700.0.1004 Virus:Win32/Virut.BM Win32/Virut.NBK W32/Virut.BS 2009.02.12 Sophos 4.38.0 2009.02.13 Aout 2011 Suspicious file W32/Scribble-A 2009.02.13 W32.Virut.CF 2009.02.13 PE_VIRUX.A-4[/quote] Ce virus est capable d'infecter des centaines de fichiers légitimes en quelques heures. Pas d'autre solution que le formatage. Il a fait beaucoup de ravages au début de l'année 2009 comme le souligne le Groupe antimalware du Forum Futura dans son article: Virut/Scribble : le retour d'une infection redoutable . Plus d'informations sur Virut/Virtob. Sachez que les auteurs de malwares créent de faux sites de cracks où tous les cracks proposés sont infectieux, d'autres sites contiennent des exploits, si votre navigateur n'est pas à jour, c'est l'infection assurée. En outre, certaines infections issues de cracks proposés sur les réseaux P2P, une fois installées, mettent à disposition des cracks piégés sur le réseau P2P pour que d'autres internautes les téléchargent et s'infectent : exemple avec l'infection Security Toolbar 7.1 Comment éviter ce genre de mésaventure... • En préférant les logiciels libres ou les ]freewares/gratuiciels . • Pour les accrocs, dans la majorité des cas, un simple scan de fichier chez Virus Total permettrait d'éviter la catastrophe. Sauf en cas d'une infection encore inconnue des éditeurs antivirus. Pour aller plus loin: • Cracks/P2P • Le danger des cracks ! page 20/32 Prévention & Sécurité sur internet (version courte) Aout 2011 7-PUP/LPI : Logiciels potentiellement indésirables - Adwares, barres d'outils etc Une nouvelle vague de logiciels potentiellement indésirables est en pleine expansion. Le but est simple proposer des logiciels en y ajoutant des logiciels additionnels : barre d'outils, adwares ou autres. L'éditeur du logiciel gagne de l'argent à chaque installation du logiciel additionnel réussie. Seulement afin de gagner plus d'argent, des éditeurs de logiciel ont recours à des méthodes plus que discutables. Outre le fait que les procédés sont discutables, l'accumulation de ces programmes additionnels non essentiels councourent à ralentir condésirablement l'ordinateur (peux aussi faire planter les navigateurs WEB). Certains font aussi du tracking anonymes (récupérations des thématiques de sites visités). Ces logiciels sont proposés via des publicités commerciales sur les moteurs de recherche ou via des publicités. Se reporter à la page : Détection PUP/LPI : Potentially Unwanted Program Sur les forums de désinfection, on retrouve souvent les mêmes programmes qui posent problème, à savoir : page 21/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Faux plugins VLC : avec les packs ShoppertsReports, Zango, Hotbar, QuestScan etc Les programmes type Offerbox, SweetIM, FissaSearch Search Settings / Dealio Toolbar / PDFForge Toolbar WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player Les programmes Eorezo / PCTuto FoxTab FLV Player : DealPly / Babylon Toolbar Par exemple dans la capture ci-dessous, la popup jaune imite la barre de proposition d'installation de plugin de Firefox – ce qui peux tromper les internautes - afin de faire installer un VLC avec des programmes additionnels : Ce qui donne ceci : page 22/32 Prévention & Sécurité sur internet (version courte) Aout 2011 page 23/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Des éditeurs prennent donc des logiciels libres, développés par des personnes passionnées et les redistribuent en y ajoutant des logiciels additionnels afin de gagner de l'argent : http://www.malekal.com/2011/07/24/kreaffiliation-aedge-performance-faux-vlc-compagnies/ Ces programmes se désinstallent bien en général, voir la page : http://www.malekal.com/2011/08/15/desinstaller-un-programme-et-extensions-firefox/ Attention donc aux sources de téléchargements et privilégiez, les sites sûr comme Clubic par exemple. page 24/32 Prévention & Sécurité sur internet (version courte) Aout 2011 8-Vers et arnaques sur MSN/Facebook Les vers MI ( messagerie instantanée ) se propagent via les logiciels correspondant à cela ( MSN , Yahoo Messenger , ICQ etc ) et se présentent sous la forme d'un message prétendument envoyé par un contact (Cela peut aussi se produire même quand le contact est Hors-Ligne). Il existe exactement la même chose sur Facebook via des messages de commentaires avec des liens. Quelques exemples de message : • défaut de la reproduction sonore ! regard à cette vieille image que j'ai trouvé : • mes photos chaudes :D • haha vous devriez rendre ceci votre défaut pic sur le myspace ou quelque chose :D • j'ai fais pour toi ce photo album tu dois le voire :p • hé veux tu voir mes image de vacance?? • le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci • hé je vais mettre cette image de nous sur mon myspace :> • Check out my nice photo album. :D • wanna see the pics from my vacation? :> • OMG YOU HAVE TO SEE THIS PICTURE!!!! :D • IS THIS REALLY YOU ??? i cant remember who sent it to me... • My friend took nice photos of me.you Should see em loL! • I found these old school pictures... LOL :) • Here are my private pictures for you [/list] Voici le rapport de VirusTotal* de l'un des fichiers téléchargés : Fichier viewimage.php reçu le 2009.02.08 21:57:53 (CET) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 17/39 (43.59%) Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.93 2009.02.08 Backdoor.Rbot!IK AhnLab-V3 5.0.0.2 2009.02.07 AntiVir 7.9.0.76 2009.02.08 DR/Agent2.dfj Authentium 5.1.0.4 2009.02.08 Avast 4.8.1335.0 2009.02.08 AVG 8.0.0.229 2009.02.08 BitDefender 7.2 2009.02.08 MemScan:Backdoor.RBot.YBJ CAT-QuickHeal 10.00 2009.02.07 TrojanDropper.Agent.yyg ClamAV 0.94.1 2009.02.08 Comodo 971 2009.02.08 - page 25/32 Prévention & Sécurité sur internet (version courte) Aout 2011 DrWeb 4.44.0.09170 2009.02.08 BackDoor.IRC.Sdbot.3762 eSafe 7.0.17.0 2009.02.08 Win32.VirToolCeeInje eTrust-Vet 31.6.6346 2009.02.07 F-Prot 4.4.4.56 2009.02.08 F-Secure 8.0.14470.0 2009.02.08 Fortinet 3.117.0.0 2009.02.08 GData 19 2009.02.08 MemScan:Backdoor.RBot.YBJ Ikarus T3.1.1.45.0 2009.02.08 Backdoor.Rbot K7AntiVirus 7.10.623 2009.02.07 Kaspersky 7.0.0.125 2009.02.08 Trojan.Win32.Agent2.dfj McAfee 5520 2009.02.08 McAfee+Artemis 5520 2009.02.08 Generic!Artemis Microsoft 1.4306 2009.02.08 VirTool:Win32/CeeInject.gen!J NOD32 3836 2009.02.07 Norman 6.00.02 2009.02.06 Ircbot.AMAM.dropper nProtect 2009.1.8.0 2009.02.08 MemScan:Backdoor.RBot.YBJ Panda 9.5.1.2 2009.02.08 PCTools 4.4.2.0 2009.02.08 Prevx1 V2 2009.02.08 Rising 21.15.50.00 2009.02.07 SecureWeb-Gateway 6.7.6 2009.02.08 Trojan.Dropper.Agent2.dfj Sophos 4.38.0 2009.02.08 Mal/Behav-243 Sunbelt 3.2.1847.2 2009.02.07 Symantec 10 2009.02.08 Backdoor.IRC.Bot TheHacker 6.3.1.5.249 2009.02.08 TrendMicro 8.700.0.1004 2009.02.06 VBA32 3.12.8.12 2009.02.08 ViRobot 2009.2.6.1594 2009.02.06 VirusBuster 4.5.11.0 2009.02.08 Trojan.DR.Agent.Gen.15 Information additionnelle File size: 102913 bytes MD5...: 891accd8bec7b745a893e140857b642b SHA1..: e3607a8c2e4609dcd7659f4dcd1d8c31147739bd * VirusTotal est un site où on upload un fichier pour le faire analyser par un grand nombre d'antivirus. Ceci permet de mieux juger un fichier sur lequel on a des doutes. Conclusion : Ne télécharger jamais un fichier provenant d'un lien envoyé par vos contacts surtout si le contact est hors ligne. page 26/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Pour plus d'informations sur les vers MSN, lire la page Virus MSN : explications, fonctionnement et parade Il existe aussi maintenant la même chose au niveau des réseaux sociaux, via des commentaires avec des liens qui redirigent vers de fausses pages de vidéos : Exemple avec Net-Worm.Win32.Koobface sur FaceBook et MySpace page 27/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Depuis un an, une autre forme d'arnaque est apparu. Des sites proposent de vérifier si vos contacts vous ont bloqué.. Pour cela, vous devez saisir les informations de connexion MSN (nom d'utilisateur et mot de passe)... Ces services, une fois en possession de ces identifiants vont se connecter avec votre compte et envoyer des messages pour faire de la publicité pour ces services. page 28/32 Prévention & Sécurité sur internet (version courte) Aout 2011 En général, les conditions d'utilisation (souvent en anglais) expliquent clairement que le service va utiliser le compte pour faire de la publicité. page 29/32 Prévention & Sécurité sur internet (version courte) Aout 2011 Conclusion : • Ne donner jamais vos informations de connexion surtout lorsqu'il s'agit de votre mot de passe • Lisez les conditions d'utilisation et en cas de doute, n'utilisez pas le service. page 30/32 Prévention & Sécurité sur internet (version courte) Aout 2011 9-Conclusion En espérant que cet article vous ouvrira les yeux sur les menaces sur Internet. Si vos logiciels de protection sont des alliés, ils ne font pas tout... un minimum de connaissance informatique et sur les propagations des menaces, de bonnes habitudes vous permettront de ne plus infecter votre PC. Vous trouverez de plus amples informations sur la propagation des menaces sur la page : Sécuriser son ordinateur et connaître les menaces. La sécurité de votre PC ne se résume pas aux logiciels installés, lire : La sécurité de son PC, c'est quoi ? Si vous souhaitez participer à la lutte AntiMalware, vous pouvez diffuser ce document sur votre site, forum, envoyer la version PDF par mail à vos amis ou simplement mettre la bannière en lien. Le code html : <a href="http://www.malekal.com/ProjetAntiMalwares.php"><img style="border: 0px solid ; width: 262px; height: 150px;" alt="Projet AntiMalware" src="http://www.malekal.com/fichiers/projetantimalwares/campagne_fightantimalware.gif"></a> <br> Le code html : <a href="http://www.malekal.com/ProjetAntiMalwares.php"><img alt="Projet AntiMalware" src="http://www.malekal.com/fichiers/projetantimalwares/campagne_fightantimalware2.gif" width="453" height="144"></a> <br> Si vous êtes simple membre d'un forum, vous pouvez mettre cette bannière en signature! page 31/32 Prévention & Sécurité sur internet (version courte) Aout 2011 code bbcode pour signature : [url=http://www.malekal.com/ProjetAntiMalwares.php] [img]http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif[/img][/url] Plus d'informations : http://www.malekal.com/ProjetAntiMalwares.php Remerciements à Sham-Rock, BlackTig3r, Soni93200, tetar159 et Shimik_Root page 32/32
