Microsoft Essentials abandonné sur Windows XP. Une opportunité?

Le support Windows XP prendra fin tel qu’annoncé par Microsoft le 8 avril 2014.

Un de ses porte-parole a fait la déclaration suivante à Larry Seltzer de ZDNet :

Microsoft ne garantira plus les mises à jour de ses signatures de virus et de son moteur de protection contre les programmes malveillants après que le support au système XP aura pris fin, le 8 avril 2014.[...]

Qu’est-ce que cela signifie pour les utilisateurs XP ?

Le programme gratuit Microsoft Security Essentials ne fournira plus aux utilisateurs de nouvelles signatures de virus. Personne ne sait encore précisément comment le produit réagira, la seule chose que l’on sait est qu’il restera installé sur la machine.. Et c’est là le pire scénario qui soit dans la mesure où l’utilisateur ne saura pas qu’il utilise un antivirus obsolète.

Quelle est l’alternative ?

La meilleure alternative est, bien sûr Avira Free Antivirus qui continuera à être pris en charge par Avira un an après la fin du support offert par Microsoft pour le système d’exploitation. L’Antivirus gratuit Avira fonctionne sur Windows XP SP3 (32 bits) et Windows XP SP2 (64 bits) pour les ordinateurs d’au moins 1 Go de mémoire vive (2 Go recommandés).

N’oubliez pas que le meilleur moyen d’éviter les problèmes est d’avoir un logiciel et surtout un système d’exploitation à jour. Malheureusement, dans la mesure où Microsoft ne résoudra plus les points faibles de XP, d’autres problèmes se présenteront. Les auteurs de programmes malveillants cibleront de plus en plus ce système d’exploitation en sachant que toutes les vulnérabilités qu’ils y découvriront seront définitives. C’est pourquoi nous vous recommandons fortement de cesser d’utiliser XP dès que possible.

Cependant, tant que vous avez encore XP, vous pouvez compter sur toutes les solutions Avira pour vous protéger.

 

Sorin Mustaca

IT Security Expert

 

L’anatomie de Cryptolocker

Cryptolocker est une nouvelle variante du logiciel malveillant ransomware qui crypte divers fichiers sur l’ordinateur de l’utilisateur et demande au propriétaire de payer une rançon aux auteurs de ce logiciel malveillant en échange du décryptage de ses fichiers. Les fichiers affectés sont des documents, des images, des bases de données et bien d’autres fichiers.

Comment le reconnaître

Les fichiers de CryptoLocker se répandent principalement par le biais de faux emails visant à imiter l’apparence d’entreprises légitimes et à travers de faux avis de suivi provenant de FedEx et UPS.  En outre, des rapports ont signalé que certaines victimes ont vu ce logiciel malveillant se manifester après une infection à partir de l’un des botnets fréquemment exploités dans le monde de la cybercriminalité.

Il est facile de savoir si vous êtes victime de ce logiciel malveillant. Après un certain temps, la fenêtre suivante apparait sur votre écran. La fenêtre affiche la date et l’heure auxquelles la clé privée sera détruite et le temps restant avant sa destruction. Le délai proposé est d’environ 3 jours suivant l’infection (entre 70-80 heures).

cryptolocker

Les cybercriminels prétendent garder la seule copie de la clé de décryptage sur leur(s) serveur(s), insinuant qu’elle n’est pas enregistrée sur votre ordinateur, et que vous ne pourrez pas décrypter vos fichiers sans leur aide – une aide qui coûte 300 EUR / USD ou deux Bitcoin.

cryptolock1

cryptolock2

cryptolock3

cryptolock4

Ce qu’il fait

Ce logiciels malveillants parcourt tous les disques durs, les lecteurs réseau, les lecteurs USB et même les unités de stockage en ligne, et identifie les fichiers qu’il peut chiffrer.

Voici la liste complète des extensions de fichiers que Cryptolocker cherche à chiffrer : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.

Une fois les fichiers cryptés, Cryptolocker contacte les serveurs de commande et y stocke la clé privée asymétrique utilisée pour crypter les fichiers.

Pour vous connecter à ces serveurs, Cryptolocker utilise un algorithme de génération de domaines qui crée chaque jour des noms de domaines uniques. C’est la raison pour laquelle il est très difficile de voir le logiciel malveillant en action. Il doit d’abord se connecter à un serveur et ce n’est qu’après qu’il commence le cryptage des fichiers.

Les fichiers sont chiffrés en utilisant le chiffrement asymétrique. Le chiffrement asymétrique utilise deux clés différentes pour crypter et décrypter les messages. Le chiffrement asymétrique est une forme plus sécurisée de chiffrement car une seule partie connait la clé privée, alors que les deux parties connaissent la clé publique.

Pour maximiser le taux de réussite, le logiciel malveillant écrit des clés de registre qui permettent à l’ordinateur d’exécuter les fichiers malveillants à chaque redémarrage.

KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “CryptoLocker”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “*CryptoLocker”

KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “CryptoLocker_<version_number>”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “*CryptoLocker_<version_number”

Détection

La bonne nouvelle est que Cryptolocker n’est pas un virus (logiciel malveillant qui s’auto-reproduit); c’est plutôt un cheval de Troie – ce qui signifie qu’il ne peut pas se propager de manière incontrôlable sur votre réseau. Son but est de crypter des fichiers et vous demander une rançon pour les décrypter. Chaque utilisateur doit recevoir et activer le logiciel malveillant de manière individuelle.

La mauvaise nouvelle, c’est qu’il exécute ses actions malveillantes en mode silencieux (chiffre vos fichiers) et ce n’est qu’après qu’il communique sa présence sur la machine infectée.

Tous les produits Avira détectent ce logiciel malveillant en tant que “TR/Fraud.Gen2″.

Techniques de prévention

  • Toujours exécuter un logiciel antivirus à jour. Comme mentionné ci-dessus, tous les produits Avira le détectent et le suppriment. Malheureusement, il n’est pas possible de décrypter les fichiers que le logiciel malveillant a déjà chiffrés.
  • Ne jamais ouvrir des liens Web suspects ou non sollicités.
  • Ne pas ouvrir les e-mails que vous n’avez pas demandés
  • Ne pas exécuter les pièces jointes des e-mails, même si les emails proviennent de personnes connues
  • Gardez une copie de sauvegarde. Si vous avez un logiciel de sauvegarde en temps réel (par exemple: Avira Secure Backup, Dropbox, etc), puis assurez-vous de nettoyer d’abord l’ordinateur avant de restaurer la version non chiffrée des fichiers.

Que faire si votre ordinateur est infecté?

Nous recommandons vivement d’exécuter une analyse du système en utilisant Avira Rescue System  qui empêche les logiciels malveillants d’affecter activement les résultats de l’analyse.

Une dernière chose que nous ne cessons de répéter: Ne jamais, jamais payer de rançon. Vous ne feriez qu’encourager d’autres criminels à suivre cette voie.

Malheureusement, il n’est pas possible de décrypter par vous-même les fichiers que le logiciel malveillant a déjà chiffrés. Le chiffrement asymétrique rend cette tâche quasi impossible. Seule la restauration d’une copie de sauvegarde peut vous aider à récupérer vos fichiers.

 

 

10 astuces pour améliorer la sécurité de votre appareil mobile

Nous avons réunit ici des instructions pour améliorer la sécurité de votre mobile en 10 étapes faciles à réaliser.

Sachant que les appareils mobiles se sont beaucoup mieux vendus que les PCs, il faut garder à l’esprit que la même stratégie s’applique aussi à ces appareils.

Voici quelques étapes rapides qui vous permettent d’améliorer la sécurité de votre appareil mobile.

1. Définissez un mot de passe fiable pour votre appareil mobile.

Vous trouverez ici des astuces à cet effet, et là des astuces générales pour créer un mot de passe fiable.

2. Mettez au point une solution anti-vol.

Les appareils mobiles se perdent ou se font voler plus facilement que des ordinateurs portables ou de bureau. C’est pourquoi il est primordial de configurer un tel outil. Certains appareils mobiles sont équipés d’une solution préinstallée, d’autres pas (l’iPhone dispose de « Localiser mon iPhone », Android les services Google). Si vous ne les appréciez pas ou si vous souhaitez simplement essayer une nouveauté, vous pouvez essayer Avira Free Mobile Security (Android et iOS).

3. Installez les dernières mises à jour du système d’exploitation

Peu importe qu’il s’agisse d’iOS, Android, Windows mobile, etc., car ils seront tous mis à jour s’ils sont pris en charge par le fournisseur. Souvent, la dernière version du système d’exploitation n’apporte pas seulement de nouvelles fonctionnalités mais s’accompagne également de mises à jour de sécurité essentielles.

IMG_5671

4. Installez les dernières mises à jour de vos applications.

Comme ci-dessus, non seulement le système d’exploitation est vulnérable, mais ce sont aussi les applications qui posent des problèmes de sécurité la plupart du temps.

5. Installez une solution de sécurité

Même si les logiciels malveillants ne sont pas aussi répandus sur les plateformes mobiles qu’ils le sont sous Windows, les menaces sont bien présentes. Nombreuses sont les applications qui ne sont pas ce qu’elles affichent et, plus important, qui ne font pas toujours ce qu’elles affirment. C’est la raison pour laquelle vous devriez installer une solution de sécurité (avec antivirus) sur votre appareil mobile.

6. N’installez aucune application ne provenant pas des boutiques d’applications officielles

Il existe des milliers de boutiques non officielles d’applications pour Android, et certaines d’entre ellespourraient installer des applications inconnues et non vérifiées mettant en danger votre sécurité.

7. Ne rootez pas votre appareil

Rooter un appareil peut rendre la garantie protégeant votre appareil nulle et non avenue et peut engendrer également d’autres failles de sécurité. Concernant iOS, cela peut permettre  d’installer des applications issues de boutiques non officielles et donc de compromettre la sécurité de votre mobile.

8. Chiffrez le stockage

Certains appareils mobiles, pour ne pas dire tous à l’heure actuelle, autorisent le chiffrement du stockage (externe ou intégré). Ceci est important si vous stockez tous types d’information sur votre appareil mobile (à l’exemple des tablettes).

9. N’utilisez que des connexions de réseau Wi-Fi sécurisées

En vous connectant à des réseaux Wi-Fi non sécurisés, vous envoyez toutes les données en texte brut. Mots de passe compris …

10. Utilisez votre appareil en vous souciant de la sécurité

Même si vous utilisez un système d’exploitation autre que Windows, ceci ne signifie pas que vous êtes à l’abri de toute infection. Faites preuve de précaution quand vous naviguez sur des sites Web suspects, quand vous ouvrez des pièces jointes à des e-mails, quand vous autorisez des applications à accéder à vos données ou quand elles demandent des privilèges spéciaux dont elles n’ont pas besoin pour fonctionner.

Consultez les autres séries « Améliorez votre sécurité ».

 

Sorin Mustaca

Expert en sécurité informatique

 

Quand les transporteurs vous livrent des colis dangereux

Nous sommes en train de surveiller une campagne de spam utilisant le nom des services de livraison tels que FedEx et DHL pour diriger le destinataire vers un site Web qui installe un logiciel malveillant.

Avec des lignes d’objet comme « Livraison impossible » (« Not possible to make delivery ») ou « Service de livraison » (« Shipping service »), les e-mails jouent beaucoup sur l’ingénierie sociale afin de créer un sentiment d’urgence chez le destinataire et l’amener à visiter le site Web. Les e-mails ne contiennent aucune menace, le logiciel malveillant est en effet uniquement hébergé sur la version corrompue de sites Web qui ont généralement une bonne réputation.

dhlfedex

Ce cheval de Troie est un bot classique : A partir du serveur de commande et de contrôle, les cybercriminels gèrent le déploiement du logiciel malvaillant. Tous les produits Avira détectent le logiciel malveillant sous appellation TR/Dldr.Dofoil.qty (consultez le lien pour un complément d’informations).

Nous recommandons à nos lecteurs de ne jamais répondre aux demandes provenant de ce type d’e-mails. Les vrais services de livraison peuvent vous notifier par e-mail du statut de votre colis, mais même si vous souhaitez vérifier l’état de la livraison en temps réel, vous ne devez jamais cliquer sur les liens contenus dans les e-mails. Dans tous les cas, ces services ne vous enverront jamais vos factures ou d’autres fichiers sous la forme de pièces jointes à l’e-mail. Si vous recevez des e-mails contenant des pièces jointes, ne les ouvrez jamais même si le fichier n’est pas un programme. Même des fichiers PDF, DOC ou HTML peuvent contenir des pièges exploitant plusieurs failles de sécurité.

Sorin Mustaca

IT Security Expert

Opera.com piraté, un malware signé avec leur certificat probablement distribué à des milliers d’utilisateurs (Mise à jour)

Selon un message publié sur le Blog Opera Security, la société a été victime le 19 juin d’une « attaque ciblée au niveau de son infrastructure réseau interne ». Les pirates ont réussi à mettre la main sur au moins un ancien certificat de signature de code d’Opera expiré, qu’ils ont utilisé pour signer un malware. Ceci leur a permis de distribuer un logiciel malveillant qui se présente faussement comme étant édité par Opera Software ou comme le navigateur Opera lui-même.

opera_logo

La situation décrite ici par Opera est le cauchemar de toute société comptant à son actif des millions d’utilisateurs :

 

La situation peut-elle s’aggraver ?

Oui.

  • le site a distribué automatiquement des logiciels malveillants signés par Opéra à ses utilisateurs :

Il est possible que plusieurs milliers d’utilisateurs de Windows, ayant utilisé Opera entre 1 h et 1 h 36 UTC le 19 juin, aient reçu et installé automatiquement le logiciel malveillant.

Si vous utilisez ou avez utilisé Opera, voici ce que vous pouvez faire pour vous assurer que votre ordinateur est propre :

  • Désinstaller Opera
  • Installer n’importe quel produit Avira en cliquant ici
  • Lancer « l’analyse système » pour procéder à une analyse complète de votre ordinateur à la demande.

sysscan

  • Si vous repérez une détection de TR/Ransom.GR.1, ou de n’importe quel malware dont le nom figure ci-dessous (voir la Mise à jour), c’est que vous avez été infecté. Laissez le programme supprimer tous les fichiers trouvés.
  • Après avoir nettoyé l’ordinateur, nous vous invitons à réinstaller le navigateur Opera. Notez qu’il existe de nombreuses alternatives, telles que Firefox, Chrome et d’autres encore.

Mise à jour :

Voici des détails supplémentaires concernant ce malware.

Le comportement du fichier inclut le vol d’informations d’identité depuis plusieurs explorateurs de fichiers, navigateurs Internet, clients FTP et clients de messagerie électronique. La liste est vraiment très longue et inclut Opera, Thunderbird, Chrome, Firefox, Total Commander, Far, Filezilla, The Bat !, CuteFTP et bien d’autres encore.

Le programme télécharge également d’autres malwares depuis une URL spéciale dont il se trouve qu’elle est toujours active. Le fichier hébergé à cette adresse change régulièrement. Depuis que nous avons commencé à surveiller l’URL la semaine dernière, nous y avons observé :

  • un ransomware avec verrouillage d’écran se faisant passer pour les autorités locales (détecté en tant que TR/Ransom.GQ.1)
  • un cheval de Troie conçu pour voler des informations (détecté en tant que TR/Kazy.adag)
  • une backdoor communiquant avec plusieurs serveurs distants et permettant à des tiers de prendre le contrôle du système infecté (détecté en tant que BDS/ZAccess.BS)

 

Un grand merci à Andrei Gherman de VLAB à Bucarest pour cette rapide analyse.

 

Sorin Mustaca

IT Security Expert

Améliorez votre sécurité #16 : Cryptez vos données

La meilleure manière de protéger vos données est d’utiliser le chiffrement (ou cryptage). Le cryptage consiste à encoder des messages (ou des informations) de façon à empêcher leur lecture par des lecteurs indiscrets ou des pirates, tout en les laissant accessibles à des tiers autorisés [voir Wikipedia pour en savoir plus]. Appliqué à des fichiers, cela signifie que chaque fichier est crypté de manière à ce que seul le propriétaire de la clé de chiffrement soit en mesure de crypter le fichier. Ceci doit normalement suffire pour mettre le contenu du fichier à l’abri des regards indiscrets. Toutefois, lorsque les fichiers sont nombreux, crypter et décrypter ceux-ci un par un peut s’avérer fastidieux, voire quasi impossible. C’est la raison pour laquelle l’on trouve aujourd’hui de nombreuses solutions proposant des méthodes tout-en-un pour crypter des informations :

  • chiffrement intégral du disque dur

Le disque dur est chiffré dans son intégralité, y compris l’espace du système d’exploitation, avec nécessité pour l’utilisateur de s’authentifier pour démarrer celui-ci.

  • chiffrement partiel (partitions non bootables uniquement)

Une partition entière, autre que celle accueillant le système d’exploitation, est encodée. Pour permettre le montage de la partition, l’utilisateur doit d’abord s’authentifier.

  • Disque virtuel encrypté

Comme l’indique son nom, un fichier volumineux est créé et monté en tant que partition sur le disque dur.

Toutes ces méthodes permettent à l’utilisateur de protéger une grande quantité de fichiers à la fois sans avoir à crypter/décrypter manuellement chaque fichier un par un. Il existe plusieurs solutions disponibles sur le marché qui proposent certaines de ces méthodes ou les trois. Certains de ces produits sont gratuits (True Crypt), d’autres sont disponibles uniquement en bundle avec du matériel(HP, DELL, et d’autres), ou enfin  sont payants (trop nombreux pour être mentionnés ici). Je parlerai ici de TrueCrypt, qui est gratuit et constitue l’une des meilleures solutions de cryptage disponibles. Dans l’article « Améliorez votre sécurité #2 : Sécuriser votre notebook », j’ai décrit la procédure pour créer un disque virtuel encrypté.

Dans cet article, j’expliquerai comment créer une partition entièrement cryptée.

 

1. Ouvrez le Gestionnaire de disque dans le Panneau de Configuration -> Gestion de l’ordinateur. Sélectionnez le disque que vous souhaitez crypter et rappelez-vous son nom. Dans le cas présent, il s’agit de Disk 1. Assurez-vous de ne pas oublier le nom de ce disque, faute de quoi vous pourriez vous retrouver à sélectionner le mauvais disque et à perdre les fichiers qui s’y trouvent.

 

1

 

2. Ouvrez TrueCrypt et vérifiez que vous voyez le disque ainsi que la partition choisie lors de l’étape précédente (\device\harddisk1\Partition1). Vous devez cliquer sur le bouton « Select Device » pour afficher la liste des partitions.

2_1

 

3. Choisissez la lettre du lecteur pour la future partition cryptée (T:) puis sélectionnez le disque et la partition qui seront utilisés.

3

4. Sélectionnez depuis le menu Volume -> Create new volume (Créer un nouveau volume). Vous verrez la fenêtre suivante s’afficher :

4

 

Sélectionnez la seconde option.

5. Sélectionnez la première option – Standard TrueCrypt volume

 

5

 

6. Sélectionnez une nouvelle fois le lecteur et la partition à formater

6

 

7. Choisissez la première option si cette partition ne contient aucune donnée. Pour éviter tout problème, même si vous sélectionnez l’option 2, je vous invite vivement à effectuer une sauvegarde complète de votre partition. Notez également que la procédure prendra dans ce cas bien plus de temps.

7

 

8. Laissez tout par défaut. La configuration par défaut offre un niveau décent de confidentialité. Si toutefois vous êtes plus futé que moi en matière de sécurité, choisissez Hash Algorithm SHA-256.

8

 

9. Cliquez tout simplement sur Next (Suivant)

9

 

10. Saisissez ici un mot de passe difficile à deviner. Vous trouverez ici des conseils pour apprendre à créer un bon de mot de passe.

10

 

Créer un mot de passe de 20 caractères n’est pas réaliste. Vous vous retrouverez à faire des choses risquées telles que mentionné ici. Ignorez donc l’avertissement et cliquez sur « Yes » (Oui).

11

11. Formatez la partition. Je vous invite à cocher la case « Quick format » (Formatage rapide) parce que cela diminue de façon considérable le temps nécessaire.

12

Cliquez sur « Format » puis sur « Yes ».

13

 

12. Le formatage prendra plus ou moins de temps selon la taille de la partition.

14

13. Une fois le formatage terminé, je vous invite à sélectionner une nouvelle fois le disque assigné à la partition.

 

À la fin de la procédure, vous devez pouvoir accéder à la partition en utilisant la lettre de lecteur choisie à l’étape 3 (t:\).

Pour „monter” automatiquement le(s) lecteur(s) crypté(s) au démarrage de l’ordinateur (t: -> disque\partition) , vous devez les enregistrer dans « Favorites -> Add mounted volumes to favorites » (Favoris -> Ajouter les volumes montés aux favoris).

 

15

 

Dorénavant, vous devrez vous authentifier au redémarrage (ou à la connexion) pour accéder à la partition cryptée et enregistrer vos fichiers de façon sécurisée.

16

 

Si vous souhaitez améliorer votre sécurité générale, veuillez consulter notre série « Améliorez votre sécurité ».

 

 

Sorin Mustaca

IT Security Expert

 

Botnet attaque WordPress

Ces deux dernières semaines, nous avons suivi une inquiétante série d’attaques brutales de découverte de mot de passe contre les sites Web supportés par WordPress – le système de gestion de contenu le plus populaire de nos jours (Avira Techblog tourne aussi sur WordPress).

wordpress

Vous pouvez voir ci-dessous comment plusieurs adresses IP (dans mon exemple de Chine) essaient de se connecter aux fichiers connus dans l’installation WordPress qui gèrent la connexion et l’inscription.

china-attack

WordPress a un administrateur par défaut nommé « admin » qui peut être modifié par n’importe quel utilisateur après l’installation. Selon plusieurs sources, l’attaque devine jusqu’à 1 000 mots de passe fréquemment utilisés (voir les exemples ici).

Brian Krebs a rapporté que les sites infectés se voyaient implantés une backdoor qui permet aux pirates de contrôler le site à distance (les backdoors persistent même si le propriétaire légitime du site modifie par la suite son mot de passe). Les sites infectés sont ensuite considérés comme conscrits dans le serveur d’attaque botnet et forcés à lancer des attaques de découverte de mots de passe contre les autres sites exécutant WordPress.

Vous pouvez prendre des mesures pour éviter d’être piraté :

- Changez le mot de passe par défaut que vous avez reçu à l’installation de WordPress.

- Changez le nom du compte de l’administrateur par défaut de votre installation WordPress.

- Choisissez un mot de passe complexe pour le compte administrateur. Apprenez ici comment faire.

- Activez l’authentification à deux facteurs pour WordPress. Apprenez ici comment faire.

 

Bon blogging !

 

Sorin Mustaca

IT Security Expert

Des e-mails contenant des URL malveillantes utilisent la tragédie de Boston pour exploiter des installations Java vulnérables

Hier, les États-Unis ont été victime d’une attaque à la bombe pendant le marathon de Boston. Cette attaque a été décrite par le Président des États-Unis comme « une attaque terroriste », car elle visait des civils.

A peine 24 heures plus tard, nous avons commencé à voir arriver de grandes quantités de spam avec comme objets « Explosion at Boston Marathon », « Boston Explosion caught on Video ». Cette technique d’ingénierie sociale n’est pas nouvelle. Nous avons pu constater ce phénomène dès que quelque chose se passe dans le monde (guerre, catastrophe naturelle, événement social), qui pourrait potentiellement intéressé les gens. Cette vieille technique nommé ingénierie sociale est connue, mais ne cesse de faire de nouvelles victimes.

2

1

De même, certaines publications sur Facebook contenant des liens vers plusieurs sites Web sont encore catégorisées. On est en droit de penser qu’une grande partie de ces sites Web contiennent des logiciels malveillants.

Les e-mails contiennent une seule ligne qui est une URL composée d’une adresse IP et d’une page HTML nommée « news.html » ou « boston.html ».

Une fois visitée, la page redirige vers trois autre URL qui essaient de déposer un fichier JAR sur votre système, s’ils détectent que l’ordinateur a une installation JAVA vulnérable.

Boston Marathon Malware 2

Mis à jour : nous disposons aussi d’une capture d’écran d’un site Web qui montre une courte vidéo tout en essayant d’exécuter le fichier JAR qui exploite la vulnérabilité JAVA.

Nous avons écrit plusieurs fois que Java était dangereux de part ses failles et que vous n’en avez probablement pas vraiment besoin sur votre système. Découvrez ici comment désactiver ou désinstaller Java.

Le fichier sera téléchargé depuis une URL générée au hasard, différente pour chaque utilisateur :

urls

 

Le fichier malveillant est enregistré dans le répertoire TEMP du compte connecté et nommé « alifna.exe ».  De plus, il semble que le fichier est aussi généré au hasard, car chaque visiteur reçoit une version légèrement différente. Heureusement, les fichiers ne sont pas si différents (non polymorphes) car nos produits les détectent déjà de manière générique sous « TR/Crypt.ZPACK.Gen ».

Aucune inquiétude donc, tous les utilisateurs d’Avira sont déjà protégés.

Un grand merci à Eric Burk du VLAB d’Allemagne pour cette analyse.

 

Sorin Mustaca

IT Security Expert

Des e-mails contenant des liens malveillants exploitent l’explosion à Waco, Texas

Le jourmême où une campagne de spam utilisait la tragédie de Boston pour diffuser un logiciel malveillant, nous avons repérer une deuxième vague similaire de spam.

Cette seconde campagne utilise l’explosion qui a eu lieu dans une usine d’engrais à Waco, Texas, U.S.A.

Les e-mails utilisent le même modèle que précédemment avec comme object : « Waco explosion HD », « Raw: Texas Explosion Injures Dozens » … Ils contiennent le même type d’URL composé d’une adresse IP et d’un fichier.

1

Le lien redirige vers des sites Web cibles qui  montrent des vidéos de l’explosion et plusieurs interviews collectées sur YouTube.

La charge malveillante est diffusée de la même manière que la précédente attaque :

  • Faille Java (dans la photo ci-dessous qui par ailleurs n’est plus disponible sur le site qui l’hébergeait)
    • 47dc82e5b451bce5f40fa8dc890310d5 *Anau.class
    • 69333fdd3aaab29ed4bcdfaa42ed8e28 *barks.class
    • 5b84ea75fb42a1953a4c5bef516f873e *Code.class
    • 00954374c3a4e6cfc2823850c02a83c8 *Doitfore.class
    • 763ff5e1a1ad65dc8c1e21a13c484154 *Hluiak.class
    • 975bc1f970f661d6da16c26fb27f8c3c *Hujter.class
    • 254d4b4a61a5ab90192994a7f9a79491 *Kivib.class
    • dccfc30208ef0d4a6a4ade01666355b8 *Monoa.class
    • 4a3c45a062fe7a88a2e4ecdb52678542 *Nespeho.class
    • f67c5de1b1691ed989921db0d8ba8fe3 *OItyep.class
    • b82e7b290e5c0c3f0c9251d0c8a4bc17 *Senna.class
    • 90d24d49c3d8188690a3c03262f8a55a *Szux.class
    • (and many others)
  • fichiers exécutables déposés
  • 58971f985efb7ae05fc01d334719f427 *fuwqj.exe
  • 3ef06bae42ba35e0a1a1da4a587b87da *lrwtv.exe
  • 77b46f1e9c23632e8fe093e877df7523 *temp86.exe
  • (et bien d’autres)

ps3

Tous les logiciels d’Avira détectent ces fichiers comme TR/Motsob.*, et tous les sites Web intermédiaires sont aussi détectés comme HTML/Blacole.* et HTML/iFrame.* (‘*’ signifie qu’il existe plusieurs variantes du même logiciel malveillant).

Un grand merci à Jason Soo du VLAB de Kuala Lumpur pour cette analyse rapide.

 

Sorin Mustaca

IT Security Expert