03 décembre 2008
Un ver infecte des hôpitaux britanniques
Mytob, un ancien et célèbre ver fait encore des siennes. Il vient de contaminer pas moins de 5.000 postes des hôpitaux britanniques de St Barthelemy, du Royal hospital de Londres et du London Chest Hospital.
Les compétences du ver sont pour le moins gênantes pour ses utilisateurs puisque depuis la mi-novembre le ver se diffuse à chaque envoi d’e-mails. Selon un rapport interne, les contre-mesures auraient déjà été adoptées par les services des hôpitaux puisque 97 % des postes auraient été soignés. Les derniers ordinateurs infectés sont situés dans des zones classées non-médicales et ne sont plus en ligne.
Par précaution, dès la découverte du malware, tous les PC ont été éteints afin de prévenir d’une nouvelle menace. Une mesure plus que nécessaire puisque les postes infectés étaient utilisés pour l’admission des patients et pour l’orientation des patients urgents vers d’autres services.
Les hôpitaux, équipés en solution McAfee ont alors envoyé un extrait du virus à l’éditeur pour qu’il puisse trouver une solution, une mise à jour en l’occurrence. Malgré ce remède de cheval, rien ne dit encore comment l’infection a commencé. Mytob a vu le jour en 2005, désormais la plupart des solutions de sécurité le détectent aisément.
Une enquête est d’ores et déjà en cours pour en connaître la source. Mais un premier constat s’impose, même les médecins ne sont pas prémunis contre tous les virus. Alors protégez-vous.
(Source: silicon.fr)
27 novembre 2008
Un ver pour Microsoft !
Comme c'est rarement le cas, Microsoft avait fait exception notable à
son traditionnel Patch Tuesday pour publier en urgence à la fin du mois
d'octobre, un correctif de sécurité présenté dans un bulletin MS08-67. Ce dernier avait donné l'alerte au sujet d'une vulnérabilité affectant Windows à des degrés de dangerosité divers (moins critique sous Vista) et relative à un problème au niveau du service Serveur utilisé pour connecter différentes ressources réseau.
Dans ce bulletin, on pouvait notamment lire : " Sur
les systèmes Windows 2000, XP et Server 2003, un attaquant pourrait
exploiter cette vulnérabilité pour exécuter du code arbitraire sans
nécessiter d'authentification. Il serait possible d'utiliser cette
vulnérabilité dans la création d'un ver ". Et le ver fut.
Le centre de protection contre les malwares de Microsoft
a en effet indiqué mardi que plusieurs rapports d'infection étaient
remontés à ses oreilles, émanant de divers pays parmi lesquels les USA
(majoritairement) mais aussi l'Allemagne, l'Argentine, le Brésil, le
Canada, le Chili, la Chine, l'Espagne, l'Italie, le Japaon, le Mexique,
Taïwan, la Turquie et... la France.
Un ver Windows égoïste se propage
Baptisé Win32/Conficker.A
par Microsoft, le malware se propage principalement dans les réseaux
d'entreprise mais quelques centaines de cas ont déjà été signalés sur
des réseaux domestiques. Ce ver ouvre un port de communication
aléatoire (entre 1024 et 10000) et agit comme un serveur web. " Il
se propage sur des machines du réseau en exploitant la vulnérabilité
Windows. Une fois l'ordinateur distant exploité, cet ordinateur va
télécharger une copie du ver via HTTP en utilisant le port aléatoire
ouvert par le ver ", indique Microsoft.
Particularité notable de Conficker,
une fois qu'il a effectué ses basses oeuvres, il prend la peine de
combler le trou de sécurité qu'il a exploité, ce afin d'éviter que
d'autres attaques, dès lors concurrentes, ne l'exploitent à leur tour.
Il est comme ça Conficker, n'aimant pas partager les ressources
chèrement acquises. Autre spécificité qui laisse supposer l'origine des
attaques, Conficker évite soigneusement les réseaux ukrainiens.
Ce
n'est donc pas pour rien que Microsoft a publié son correctif en
urgence, et ceux qui l'ont appliqué peuvent rester sereins, du moins
pour la menace incarnée par Conficker. A noter aussi que plusieurs bots
exploitent également la vulnérabilité pour véhiculer un cheval de Troie de type backdoor qui se connecte à un serveur IRC pour recevoir des commandes.
(Source: generation-nt.com)
25 novembre 2008
Une bestiolle contamine Facebook et MySpace
PandaLabs, le laboratoire anti-malwares de l'éditeur de solutions de
sécurité Panda Security, a récemment détecté un vers baptisé Boface.G
qui se propage sur les plates-formes Facebook et MySpace.
Boface.G poste ainsi un lien vers une fausse vidéo Youtube sur le "wall", le mur, d'un utilisateur Facebook ou sur son profil MySpace. Mais ce n'est pas tout : le lien est aussi expédié à toute la liste des amis et contacts via un message privé directement signé de l'utilisateur.
Si l'internaute à qui a été envoyé ce lien choisi de cliquer dessus, il est automatiquement redirigé vers une fausse page Web ressemblant fortement au site YouTube. Un texte lui demande alors de mettre en jour sonlecteur Flash pour pouvoir visionner la vidéo. Mais une fois cette procédure lancée, une copie du vers s'installe à l'insu de l'internaute sur son ordinateur, qui peut à son tour contaminer les contacts Facebook ou MySpace de celui qui a accepté de lire la fausse vidéo.
Selon PandaLabs, des mesures ont commencé à être prises pour protéger ses utilisateurs contre ce ver.
(Source: vnunet.fr)
19 novembre 2008
Un chaval de troie pour la pomme
En début de semaine, Trend Micro puis Intego ont émis une alerte au sujet d'une rare pièce de malware à destination du système d'exploitation d'Apple. Symantec les avaient précédé de quelques jours pour ce qui est en l'occurrence un cheval de Troie.
Lamzev pour les uns ou RSplug pour les autres, la présence de ce troyen a été décelée sur des sites pornographiques. Les cybercriminels estiment donc que certains utilisateurs Mac partagent cette " faiblesse " avec leur homologues PC, et le reste est finalement assez classique. Lorsqu'un utilisateur visite un tel site, un message d'erreur l'avertit de la nécessité d'installer un codec vidéo afin de pouvoir visualiser quelques clips. L'utilisateur peut refuser mais le message le harcèlera alors.
Si l'utilisateur décide finalement d'obtempérer, c'est une image disque dénommée cleanlive.dmg
qu'il téléchargera, et en fonction de la configuration du navigateur,
cette dernière pourra être montée et l'installation débutera
automatiquement. Le cheval de Troie qui est de type downloader pourra
alors commencer son oeuvre en contactant un serveur distant pour
rapatrier d'autres nuisibles.
Plus
que sa dangerosité réelle avec un piège tendu auquel il faut être
presque consentant pour tomber dedans, ce qui est notable c'est que ce
troyen vient compléter la liste finalement très courte des agents
infectieux s'en prenant exclusivement à Mac OS X. Pourtant, les gourous
commerciaux de la sécurité informatique promettent depuis de nombreux
mois un déferlement de malwares à destination de l'OS d'Apple.
On
peut cependant encore compter sur les doigts d'une main les malicieux
qui ont ciblé Mac OS X en 2008 avec un faux anti-spyware, un troyen
ayant la capacité de modifier la configuration DNS ou un autre troyen
qui a pour dire vrai, servi de base à celui aujourd'hui révélé.
(Source: generation-nt.com)
17 novembre 2008
AVG: Un nouveau problème pour Flash Player 10
Loi des séries oblige ou vérification du jamais deux sans trois, The Register informe que vendredi, des utilisateurs d'AVG se sont plaints sur les forums officiels qu'Adobe Flash
avait été identifié par l'antivirus comme un malware.
Plus précisément,
c'est le fichier flashUtil10a.exe qui a été identifié en tant que tel,
eu égard à une prétendue infection par un cheval de Troie. Ce fichier
est un utilitaire d'Adobe Flash Player 10, utilisé pour vérifier
automatiquement les mises à jour et également vérifier que le player a
été correctement installé. Encore un faux positif donc pour AVG 7.5 et
8.0.
C'est une nouvelle fois très rapidement qu'AVG Technologies a résolu le problème, et dans les trois heures, une nouvelle mise à jour de signatures
en bonne et due forme a été publiée.
Un évènement sans réelle gravité
et il convient de rappeler que de tels faux positifs sont loin d'être
une rareté dans le domaine des antivirus. Le plus embêtant est bien sûr
lorsqu'ils touchent des éléments presque vitaux au bon fonctionnement
d'un système d'exploitation.
AVG Technologies a ainsi pris ses
responsabilités, puisque toutes les victimes du faux positif portant
sur user32.dll dans Windows XP, peuvent bénéficier d'une licence gratuite d'un an.
Gageons tout de même qu'avec trois incidents en un mois, l'éditeur
tchèque a pris conscience qu'une certaine limite a été atteinte et
qu'un sérieux changement s'impose dans sa politique d'assurance qualité.
(Source: generation-nt.com)
15 novembre 2008
AVG dédommage ces clients
Suite à la récente boulette commise par son Anti-Virus, l’éditeur AVG Technologies n’en finit plus de présenter ses excuses.
Pour rappel, une récente mise à jour avait conduit celui-ci à considérer le fichier user32.dll comme un cheval de Troie.
Conscient que le préjudice a pu être relativement important pour
certains de ses clients, AVG vient donc d’annoncer que les utilisateurs
touchés par la mise à jour défectueuse allaient se voir offrir
gratuitement une licence d’AVG 8.0 (pour les utilisateurs de la version
7.5 ou ceux de la version gratuite), ou une prolongation d’un an de
leur licence d’AVG 8.0 (pour les clients utilisant déjà cette version
de l’antivirus).
(Source: presence-pc.com)
12 novembre 2008
Une vidéo porno, euuuu, un trojan de Barack Obama
L'alerte a été donnée il y a peu par la société de sécurité informatique Sophos. Un courrier intitulé " Barak Obama sex scandal " circule en ce moment dans les boîtes électroniques. Dans le corps du message, l'auteur invite l'internaute à télécharger l'archive " zelande-01.zip " qui est proposée en pièce jointe. Celle-ci contiendrait une vidéo à caractère pornographique mettant en scène Barack Obama, récemment élu président des États-Unis.
L'archive en question ne contient aucune vidéo porno, mais juste un cheval de Troie connu en tant que Troj/Agent-IDO
chez Sophos. Une fois exécuté, il se chargera à son tour d'installer
d'autres malwares, mettant ainsi votre ordinateur en proie au spam et au vol de données. Bref, un e-mail à supprimer sans la moindre hésitation.
(Source: generation-nt.com)
AVG Anti-Virus pète les plombs ?
AVG a publié un message expliquant le pourquoi des problèmes survenus
chez certains utilisateurs de l’antivirus. Des problèmes très sérieux
car visant le fichier User32.dll de Windows XP, essentiel au fonctionnement du système. Or, AVG y reconnaissait un Cheval de
Troie depuis sa dernière mise à jour, incitant l’utilisateur à se
débarrasser du fichier infecté.
Des problèmes de faux positifs, tous les antivirus en ont déjà connu,
mais d'aussi sérieux, cela reste rarissime. Et pourtant, les versions
7.5 et 8.0 de l’antivirus AVG, dans leurs éditions gratuites et
payantes, sont touchées par ce grave problème qui identifie un malware
dans un rouage primordial du système d’exploitation Windows XP. Le
problème a provoqué du coup le retour en magasins d'ordinateurs par des
clients mécontents...
L’éditeur explique : « Les utilisateurs touchés incapables de se
servir de leur PC devraient contacter leur revendeur AVG ou demander à
un ami de télécharger l'information et l'outil de réparation pour eux.
Après l'exécution de l'outil de réparation, les utilisateurs devraient
exécuter le programme de mise à jour d'AVG afin de télécharger et
d'installer la mise à jour AVG appropriée. »
Ainsi, si les dégâts n’ont pas encore été faits, il faut relancer
immédiatement une nouvelle recherche de mise à jour. Sinon, des
méthodes pour contourner le problème, en utilisant le CD de Windows XP,
sont données sur cette page. Les numéros de sujets sont les :
Le problème ne touche "que" les éditions hollandaise, française,
italienne, portugaise et espagnole de Windows XP. Ceux qui ont par
exemple un système anglais ne sont donc pas concernés.
(Source: pcinpact.com)
07 novembre 2008
Une alerte aux malwares par Facebook
Une nouvelle campagne de messages non-sollicités sévissent sur Facebook. Une méthode éculée mais qui fonctionne en général très bien.
Cette fois, il s’agit d’un contact qui souhaiterait devenir votre nouvel ami. L’internaute reçoit alors un message lui demandant de confirmer cette toute nouvelle amitié naissante. Dès lors, le message joue sur sa ressemblance frappante avec une véritable page Facebook. De plus l’adresse affichée ressemble de près à celle du site.
Les pirates s’attaquent décidément régulièrement au site. On connaissait les spams incluant un fichier zip censés contenir une photographie. Une fois ouvert, le fichier ne comprenait alors qu’un simple virus… Il y eut aussi le temps des applications vérolées de Facebook, bref tout un bestiaire rien que pour ce site.
Dès lors, afin de maintenir leur niveau d’attaques réussies, les pirates ont décidé de changer leur fusil d’épaule. Ils sont donc passés des fichiers joints aux simples faux-liens afin d’induire les internautes en erreur. "Une pratique plus difficile à détecter par les Antivirus car tous n’ont pas la capacité de scanner et détecter les liens contenus dans les e-mails" constate Websense.
Selon les laboratoires de l'éditeur, qui affirment traiter 350 millions de courriels par semaine, cette méthode est en très nette augmentation chez les spammeurs. De même, les sites de réseaux sociaux sont, disent-ils, des cibles parfaites pour ce type d’attaques. Vu leur popularité, les sites de Web 2.0 permettent alors de mener des offensives très larges.
L’éditeur de sécurité recommande aux internautes la plus grande prudence et de se doter d’une gamme de sécurité mise à jour.(Source: silicon.fr)
06 novembre 2008
Une bestiolle dans Windows
Une faille Windows récemment corrigée fait actuellement l'objet de
nombreuses attaques, d'après certains experts. Un ver ciblerait en
effet une faille du Windows Server Service. Cette
vulnérabilité a été dévoilée et corrigée la semaine dernière par
Microsoft au cours d'une mise à jour d'urgence "hors-cycle".
Cette faille est particulièrement dangereuse pour les utilisateurs de Windows 2000, XP et Server 2003, parce qu'elle peut être exploitée de façon automatique. La faille a également été corrigée sur les systèmes Windows Vista et Server 2007, mais pour ces systèmes, cette vulnérabilité n'est pas considérée comme hautement risquée, puisqu'elle nécessite une authentification de l'utilisateur pour l'exécution du code d'attaque.
Cette vulnérabilité s'installe dans le composant Server Service de Windows, et peut être ciblée par des pirates pour l'exécution d'une attaque distante via un programme de type "ver" automatisé. D'après les experts en sécurité, la gravité de cette faille rappelle les fameuses attaques des vers "Code Red" et "Nimda" apparus il y a quelques années.
Il est vivement conseillé aux utilisateurs et aux administrateurs d'installer le correctif Microsoft si ce n'est pas déjà fait. L'US CERT recommande que les utilisateurs s'assurent de bien disposer de la dernière version de leur anti-virus afin de bien se protéger contre ces attaques.
(Source: vnunet.fr)