~~ Nos Rappels de securité 4 ~~

Il y a un mois, BitDefender a publié une application Facebook intitulée Safego. Cette dernière s'appuie sur la technologie d'analyse de BitDefender et scrute le mur de l'utilisateur, les messages et commentaires afin de pointer du doigt des liens malveillants. L'éditeur roumain tire un premier bilan des résultats remontés par Safego que 14 000 utilisateurs ont installé ( 17 millions de messages analysés ).

Que ces utilisateurs aient installé Safego démontre qu'ils sont particulièrement sensibles à la notion de sécurité sur Facebook. Il s'avère que pour près de 20 % d'entre eux, leur fil d'actualité a véhiculé un lien malveillant. En cliquant sur un tel lien, le risque est de procéder à l'installation d'un malware sur l'ordinateur.

BitDefender souligne que la majeure partie des infections ( 60 % ) était associée à des applications écrites par des développeurs tiers. Pour pousser à l'installation de telles applications, les liens malveillants font souvent miroiter des récompenses. Ces applications installent alors un malware pour " espionner les utilisateurs ou envoyer des messages contenant des publicités aux contacts de l'utilisateur ".

Facebook assure pour sa part que dès lors qu'un message malveillant est détecté, toutes ses instances sont supprimées sur le réseau social. Un réseau social de plus de 500 millions d'utilisateurs qui est tout de même très vaste et donc pas si simple à surveiller.

Source ==> http://www.generation-nt.com

Faille dans WordPress 3.0.4 et pas de patch pour le moment



Edit : Xavier de WordPress-fr a publié un article expliquant son point de vue sur la non dangerosité de cette faille. Sur le fond il a raison, comme je le dit, la faille s’applique uniquement aux rôles éditeurs, ce qui pour la majorité des blogs n’est pas important car il n’y a qu’un ou quelques éditeurs de confiance qui ne s’amuseront pas à exploiter cette faille. Mais il s’agit quand même bien d’une faille et pas d’une fonctionnalité d’HTML non filtré comme l’explique Xavier. On peut jouer sur les mots mais le fait est que certains plugins permettent aux internautes d’utiliser ce rôle éditeur pour par exemple soumettre des articles. Peut être avez vous aussi une relative confiance en vos éditeurs qui peuvent effectivement mettre des balises HTML non fermées et mettre un peu le basar dans la mise en page de la page (à cause de l’HTML non filtré) mais pas au point de les laisser récupérer vos infos de sessions ou d’obtenir un rôle admin (à cause de la faille XSS). Donc oui, je suis d’accord avec Xavier pour dire que peu de gens sont dans ce cas là car ils n’ont pas ces plugins et ont confiance absolue en leurs éditeurs et loin de moi l’idée de répandre la terreur dans vos chaumières ^^ mais pas d’accord pour dire que cette faille est minime et n’est qu’en fait un genre de fonctionnalité d’HTML non filtré ++. D’ailleurs si c’était le cas, WordPress n’aurait pas corrigé en urgence la faille sur la 3.0.3 et envoyé un mail dans la foulée à tout le monde pour dire de vite mettre à jour. Question de point de vue j’imagine

Ce matin, je vous signalais une mise à jour vers WordPress 3.0.4 suite à une faille XSS accessible aux gens qui ont des permissions « éditeur » sur votre WordPress. La faille était assez importante si vous utilisez un WordPress participatif (avec plusieurs rédacteurs) ou des plugins de soumission d’articles comme TDO Mini Forms…etc car une personne disposant de ces droits aurait pu exploiter une telle faille.

Mais manque de bol, malgré la mise à jour, une faille similaire persiste toujours. Toutes les versions 3.0.3 et 3.04 (et probablement les précédentes) sont faillibles, et le code malicieux peut être inséré directement à partir des commentaires. Pas de patch pour le moment donc je vous recommande de désactiver les accès éditeurs des gens qui ont accès à votre site (sauf si vous avez la confiance comme dirait l’autre) et surtout de désactiver temporairement les plugins qui permettent aux internautes de vous soumettre des données en tant qu’éditeur comme TDOMF. Si vous n’êtes dans aucun de ces 2 cas de figures, pas la peine de paniquer plus que ça.

Attendez vous à une mise à jour de WordPress prochainement !

#Ouin

Merci à Paul pour l’info !

Source =>>Korben.info

La faille, découverte mercredi dernier par Microsoft, permet d'exécuter un script Shell distant, lors de l'ouverture d'une pièce jointe au format .rtf (rich-text format). Ce faisant, le fichier pourrait alors être infecté par un cheval de Troie. Un correctif pour pallier à cette vulnérabilité avait déjà été proposé par Microsoft, lors d'une mise à jour en novembre dernier. Pourtant, Microsoft a constaté que l'exploitation de cette faille était en recrudescence depuis la semaine dernière et a émis un nouveau bulletin d'alerte.
Les versions Microsoft Office 2002, 2003, 2007 et 2010 pour Windows et 2008 et 2011 pour les OS Mac sont touchés par cette faille. Aussi, Microsoft invite les détenteurs de ces versions à mettre à jour leurs logiciels, s'ils n'ont pas installé la mise à jour du 9 novembre 2010, qui corrigeait cette faille.

La mise à jour est toujours disponible sur le service Microsoft Update et peut également être installée depuis Windows Server Update.

Source ==> http://commentcamarche.net

Dans un récent bulletin de sécurité, Microsoft a annoncé la découverte d’une faille de sécurité au sein de ses systèmes d’exploitation Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008, Windows 7 et Windows Server 2008 R2 n'étant pas concernés.

Selon le numéro un mondial des logiciels, cette brèche affectant plus précisemment le moteur de rendu graphique pourrait permettre aux personnes malintentionnées d'exécuter du code arbitraire à distance et de nuire ainsi au bon fonctionnement du système.

Toujours d’après la firme de Remond, aucune exploitation de ladite faille n’est à déplorer pour le moment. Pour autant, les ingénieurs sont déjà sur le coup, afin de livrer un correctif dans les plus brefs délais.

Bulletin de Sécurité => http://www.microsoft.com/technet/security/advisory/2490606.mspx#EZG

Source => http://www.generation-nt.com/

Twitter contaminé par un faux anti-virus
24 janvier 2011

Un hacker s’est servi de Twitter pour répandre un faux anti-virus sur la toile. Résultat : des milliers de comptes infectés.

Le site de micro-blogging vient d’être victime d’un logiciel malveillant, qui utilisait une URL réduite par « goo.gl » pour se propager. Au total plusieurs milliers de comptes Twitter seraient concernés. La véritable URL, dont le nom de domaine était basé en Ukraine, se terminait par « m28sx.html ».

Concrètement, en allant sur cette page, les internautes sont directement redirigés vers un site qui déclenche immédiatement un message d’alerte prévenant de la présence d’un virus sur le système. Il demande ainsi l’installation du faux anti-virus « Security Shield » avant de réclamer à l’utilisateur le paiement de la solution. Un leurre souvent utilisé sur la toile. Il faut se montrer très prudent vis-à-vis de ces pop-up et tâcher d’éviter de cliquer dessus. Trop de personnes ne sont pas assez méfiantes.

Face à ce constat, Twitter est intervenu et a supprimé les liens infectés et a réinitialisé les mots de passe des comptes concernés avant de rappeler les règles de prudence

Source : Malware City

Un malware Java se fait passer pour un plugin de YouTube™

28.02.2011
Une fausse page YouTube et Stuxnet utilisent le même exploit, CVE-2010-3338, pour diffuser des malwares.

Les sites de partage de vidéos sont ce qu’il y a de mieux pour les personnes cherchant à se divertir, mais ils sont également très appréciés des cybercriminels. Les choses peuvent vraiment mal tourner si votre site de partage de vidéos s’avère être un clone conçu pour vous demander avec insistance d’installer une application ou un codec supplémentaire. L’arnaque que nous présentons aujourd’hui consiste en une page YouTube « spoofée », une copie plutôt minutieuse de l’original, et qui réserve de bien vilaines surprises.

Une fois la victime sur la « fausse » page, un applet Java non signé apparaît et demande à l’utilisateur de l’exécuter pour voir la vidéo. Il s’agit d’une ruse, ne vous faites pas avoir. La dernière fois que nous avons vérifié cela, la plupart des sites de partage de vidéos requéraient un plugin Adobe® Flash® pour lire les vidéos, et non Java.



Fig.1. Le piège : un applet Java qui s’avère être le malware « Trojan.Downloader.Java.C »

Si l’utilisateur clique sur le bouton « Exécuter », un code malveillant (identifié par BitDefender sous le nom de« Trojan.Generic.KDV.128306 ») est immédiatement téléchargé sur le système de la victime et copié dans le dossier temporaire sous le nom de « services.exe » pour permettre un accès à Internet.

Trojan.Generic.KDV.128306 entre immédiatement en communication avec son Centre de commande et de contrôle en se connectant à un canal IRC sous un pseudonyme respectant la structure suivante : [%Langage%][%Système d’exploitation%]%nrAléatoire%, avec le nom d’utilisateur Virus et le « véritable nom » : My_Name_iS_PIG_and_Iam_A_GaY%randomNumber%.

Le cheval de Troie se connecte ensuite au canal avec la commande JOIN: ##Turb0-XXX##, où un botmaster lui indique les actions à appliquer sur le PC infecté. Ces instructions lui demandent de télécharger certains fichiers, de les enregistrer sous différents noms et, bien sûr, de les exécuter.

Les fichiers que le cheval de Troie installe sur l’ordinateur compromis ont diverses « capacités » malveillantes :

· micro1.exe peut envoyer des messages via le chat de Facebook® lorsque l’utilisateur est connecté au réseau social, mais est également capable d’enregistrer des conversations sur des clients de messagerie instantanée tels que Pidgin, MSN®, Yahoo® et ICQ®.

· fsaf24.exe dispose d’une fonctionnalité DDoS ; il contient également du code permettant au malware de se diffuser via des clés USB.

· afasfa4.exe est capable de détourner les résultats de recherches sur effectuées sur Google™ et Bing™ avec des navigateurs tels que Firefox®, Internet Explorer®, et Chrome®.

Notons que ce cheval de Troie utilise la vulnérabilité du Planificateur de tâches connue sous le nom de « CVE-2010-3338 ». C’est l’un des moyens employés par le ver Stuxnet pour effectuer une élévation de privilèges et exécuter son code en tant qu’administrateur sur les systèmes protégés par le Contrôle de comptes d’utilisateur.

Source : Malware City

Vidéo sexy sur Facebook... gare au piège

6.03.2011
Exclusif - Un lien Facebook vous annonce une vidéo sexy ? Prudence, l´un de vos amis vient de se faire piéger ! Depuis quelques jours, un lien proposant de visionner une vidéo sexy fait son petit bonhomme de chemin sur le portail communautaire Facebook. A première vue, une vidéo sympa, envoyée par un de vos amis. Seulement, derrière cette proposition se cache un piège aux multiples facettes. La première de ces facettes, un vulgaire phishing. Le site ClicBomb, un espace numérique italien, vous invite a vous connecter à votre compte Facebook pour visionner le petit film.



Ici, vos identifiants de connexion partiront dans les mains du spammeur. Un spam Facebook car une fois devant la dite vidéo, il est impossible de la regarder. Le Faceriel (Pourriel en language Faebookien) vous propose de cliquer sur des liens qui dirigent l'internaute vers des espaces commerciaux italiens de rencontres (MyMatch.it, Friendscourt24.it), de ventes privées (Privateoutlet.it) ou encore de voyages (voyage-prive.it). (Pitch)

Source : Zataz

De fausses photos intimes de sa fille

15 mars 2011
Inquiet de ce que peut être en train de faire votre fille ? Préoccupez-vous plutôt de votre carte de crédit.

Une nouvelle et « intéressante » campagne de spams vise actuellement les utilisateurs brésiliens. Déguisées en tant que pièces jointes dans un e-mail, des images à priori inoffensives conduisent en fait l’utilisateur vers un bel assortiment de chevaux de Troie, ayant pour but de récupérer vos informations bancaires.



Les images suspectes, pointent vers des liens malveillants

Voici une traduction du texte de l’email :

Bonjour, en ce moment, un père est fier de sa fille. Eh bien, je ne crois pas qu’il le sera encore après avoir vu ces photos. Je ne fais que les transférer.

Une jeune fille a trompé son petit copain et a posté des photos intimes sur Internet.

(huit photos ci-joint)

Commentaire : le père est le propriétaire d’un réseau de boulangeries.

Afin que le stratagème fonctionne, le pirate compte sur la curiosité de l’utilisateur. Le message semble contenir 8 photos, dont les noms n’ont rien d’évocateur. Pour ajouter de la crédibilité au message, le pirate a inclut quelques habiles détails, comme l’affichage de la taille de l’ « image » après le nom. Si la victime clique sur l’une des « photos », elle est redirigée automatiquement vers un réseau de sites web infectés, puis vers un fichier .cpl.



La photo est en fait l’extension d’un panneau de contrôle

Détecté comme Trojan. Downloader.JNXT, ce panneau de contrôle, une fois ouvert, va chercher de nombreux malwares sur divers sites web. Le downloader crée un dossier appelé “systeam”, à la racine de la partition du système d’exploitation, le remplit avec de nombreux codes malveillants puis exécute un batch de fichiers afin de lancer tous les binaires malicieux.

La plupart des fichiers téléchargés sont des chevaux de Troie dits « bancaires », développés en langage Delphi, et capables d’interférer lors de transactions bancaires. Il existe aussi deux autres variantes de ce cheval de Troie ldPinch, qui recueille des informations sensibles à partir sur l’ordinateur infecté, comme des informations sur le système d’exploitation, la configuration du PC et les mots de passe de nombreuses applications, dont les clients e-mail, les programmes FTP, les clients de messageries instantanées et du RAS (Remote Access Service).



La plupart des malwares lancés sur la machine seront détectés par une analyse QuickScan, en 60 secondes.

Si vous avez déjà reçu ce type de message, et ne l’avez pas supprimé, vous devriez lancer une analyse rapide sur votre PC, grâce à QuickScan, juste pour vérifier que votre ordinateur n’est pas contaminé. Si vous êtes un utilisateur de BitDefender, alors vous n’avez pas à vous inquiéter, ce type de menaces est détecté par les moteurs de BitDefender. Rappelez-vous que la sécurité prime sur la curiosité : si vous tombez par hasard sur des liens ou pièces jointes dans un message provenant d’un expéditeur inconnu, redoublez d’attention.


Source : Malware City

Retour de Gpcode? : Tous vos fichiers personnels ont été cryptés par un chiffre très forte RSA-1024

25 mars 2011

Ce dernier fait penser à GPCode qui est un ransomware. Ce dernier encode les documents, un message est donné où vous devez envoyer de l’argent pour obtenir la clef pour débloquer vos documents (rien ne garanti qu’elle soit donnée en retour).

Le fond d’écran est modifié :

Modifié le CEST Fond d'écran:

En plus des documents, les raccourcis sont encodés.


Un fichier HOW TO DECRYPT FILES.txt est créé sur le bureau et ouvert, ce dernier contient ce texte :

Spoiler:

---> TRADUCTION : Attention!
Tous vos fichiers personnels (photos, documents, textes, bases de données, certificats, vidéos) ont été cryptés par un chiffre très forte RSA-1024. Les fichiers d'origine ont été supprimés Vous pouvez vérifier -. Il suffit de rechercher des fichiers dans tous les dossiers.
Il n'est pas possible de déchiffrer ces fichiers sans un programme spécial déchiffrer! Personne ne peut vous aider - même ne pas essayer de trouver une autre méthode ou rien dire à personne. Aussi, après n jours tous les fichiers chiffrés sera complètement effacé et vous n'avez aucune chance de le récupérer.
Nous pouvons vous aider à résoudre cette tâche pour 125 $ via Ukash / psc cartes pré-payées. Et n'oubliez pas: un des mots dangereux ou mauvais de notre côté sera une raison pour ingoring votre message et rien ne sera fait.
Pour plus de détails, vous devez envoyer votre demande sur ce e-mail (joindre au message une clé de série complet ci-dessous dans ce «comment .." fichier sur le bureau): filemaker@safe-mail.net

44505212A536CB6D189E23A4EA80A97E0735285AAA3A8A3D41443A6DCB60C8C65E8DC58FE9697291436D7097D092C2E2E13DECB51B314612A117F0D3B93F5068
99EB792633D7552B428A7F5568154E597650D5459D2802C6DB66C8B1D31E3476B7378E1C4BCD932B739C53C91C9D



Le malware a des fonctionnalités de Backdoor IRC et se propage par MSN – ce qui fait penser aux Les Virus MSN
Xx p@symtec.us nn THEME:. Ms | moi les dernières nouvelles, un tsunami et, éventuellement, tremblement de terre est de revenir en Thaïlande.. Sa devrait atteindre en moins de 24 heures. Si vous ne pas croire ce message, s'il vous plaît. Voir nos images en direct: http://rapidshare.com/files/454292304/picture935-2011.JPG-thailand.com =?

L'utilisation de rapishare n'étant Pas Nouvelle:
https: / / forum.malekal.com/post238930.html Hilit = # p238930 rapidshare?
https: / / forum.malekal.com/post237285.html Hilit = # p237285 rapidshare?
https: / / forum.malekal.com/post237075.html Hilit = # p237075 rapidshare?
https: / / forum.malekal.com/post234409.html Hilit = # p234409 rapidshare?
etc

L'utilisation de la clef Run Windows UDP Control Center
Le mot de passe: letmein
CELA FAIT Penser aux Groupes ASC: # p215236 ici



Dans le passé Kaspersky avait réussi à casser une des clefs et proposer un removal tools qui redonnait la main aux documents.
Reste à voir si cela est encore possible, si l’infection est bien faite, sachant que casser une clef 1024 est casi impossible, la récupération des documents peut s’avérer difficile.

La détection du dropper au moment où ces lignes sont écrites : ici

Spoiler:

La détection du malware qui encrypte :

Spoiler:

La Backdoor IRC ici

Spoiler:

EDIT :

La Backdoor IRC se nomme ngrBot :

Spoiler:

Possible détection : Worm:Win32/Dorkbot.gen!A Chez Microsoft et IM-Worm.Win32.Ckbface chez Kaspersky :

http://redir.ec/images739131?=
http://urlcut.me/pictures7331?
http://redir.ec/photoalbum2011
http://urlcut.me/images2011
http://ibe.am/pictures37571?=
etc.

EDIT : Poste chez Kaspersky : http://www.securelist.com/en/blog/6165/Ransomware_GPCode_strikes_back

Source : Malekal's site

Un test de QI teste votre naïveté sur Yahoo! ®

14.04.2011
... Ou comment un système non protégé peut exposer vos contacts à du contenu dangereux.

Les quiz et les sondages représentent une grosse partie des revenus générés par les cybercriminels, aux dépens d’utilisateurs naïfs. Depuis environ un an, de fausses applications Facebook™ contribuent à générer un trafic important sur les sites web de sondages et elles commencent désormais à exploiter les utilisateurs de services de messagerie. Nous présentons aujourd’hui un « spam bot » qui tente de convaincre des contacts de répondre à un quiz « à des fins de recherche », une arnaque qui pourrait faire augmenter votre facture téléphonique de plusieurs centaines d’euros.

Le mode opératoire est simple : un contact infecté engage la conversation avec la victime. La copie d’écran ci-dessous est issue d’une conversation avec l’un de mes amis roumains qui ne parle quasiment pas anglais. Ses réponses n’ont pas déstabilisé le robot qui a continué à détailler l’objectif de la conversation.

C’est dans le besoin qu’on reconnaît ses amis (robots).

Si vous cliquez sur le lien, vous serez dirigé vers un site web où un script vérifiera que vous êtes bien une victime et non une personne s’intéressant au système. C’est pourquoi votre agent utilisateur, adresse IP et votre identifiant « code d’invitation » seront vérifiés. Si vous ne passez pas cette étape de vérification, vous serez redirigé vers google.com ou l’on vous présentera une page vide plutôt que du contenu malveillant.

Si vous passez l’étape de la vérification, vous serez redirigé vers une page d’études où l’on vous posera 11 questions et où l’on vous lancera le défi d’obtenir un QI supérieur à 144. Ce que vous obtiendrez est en fait un score aléatoire compris entre 110 et 138 accompagné d’un cadeau : une sonnerie de téléphone, que vous pouvez réclamer en envoyant votre numéro de téléphone et en confirmant le mot de passe que vous recevrez.

Une offre difficile à refuser : puisque vous avez obtenu un meilleur score que votre rival imaginaire, vous êtes donc autorisé à nous verser 10 dollars en échange d’une sonnerie de téléphone.

Une fois que vous aurez confirmé votre numéro de téléphone, attendez-vous à recevoir des MMS surtaxés qui affecteront sérieusement votre budget.

Ce n’est qu’un exemple sur un système non protégé et exposant des contacts à une escroquerie. Veillez à minimiser les risques en installant une solution de sécurité à jour comme celles proposées par BitDefender. De plus, si vous recevez un message suspect de la part d’un contact, ne cliquez sur aucun lien sans vous être assuré que cette personne vous l’ait bien envoyé volontairement.

Gardez en tête le fait que les robots de messagerie instantanée peuvent avoir des conversations élaborées, puisque les réponses qu’ils fournissent dépendent de mots-clés. Ils peuvent par exemple réagir à des mots-clés tels qu’ « arnaque », « robot », « virus » et « malware » en renvoyant des réponses rassurantes quant au caractère légitime de leur message. D’autres réagissent aux gros mots, ce qui rend leur activité illicite moins suspecte pour la victime.


Source : Malware City

Un faux site aux couleurs de la banque postale tente de soutirer de l´argent aux clients de la filiale de La Poste. Un pirate informatique a reproduit le site Internet de la Banque Postale pour tenter de faire main basse sur les économies des clients Français de la filiale bancaire de La Poste. Prudence car l'url diffusé par l'escroc pourrait piéger les moins avertis des internautes : mandats-banquepostale .fr .cx.

Source
Zataz