Prvention & Scurit sur internet (version courte)

Aout 2011

Dossier

Prvention et Scurit (version courte)

v 201108

page 1/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Sommaire
1- Pourquoi des infections ? 2- Infection travers les sites WEB : simplement en surfant 3- Les Rogues/Scareware : Faux Antivirus 4- Les infections par disques amovibles (Clef USB/Disque dur externe) 5- Mail : Infections / Hoax / Scam / Phishing 6- Cracks Keygens et P2P 7- Vers et arnaques sur MSN 8- Conclusion

page 2/32

Prvention & Scurit sur internet (version courte)

Aout 2011

1- Pourquoi des infections ?

Les infections sont devenues en quelques annes avec l'expansion d'internet, une vritable machine faire de l'argent. Les moyens pour faire de l'argent sont diverses, Ce ne sont pas seulement les groupes qui mettent en ligne les infections qui touchent de l'argent, Certains groupes dveloppent et vendent les trojans avec un service aprs vente. D'autres groupes vendent des WebMalware Kit etc. il existe donc tout un cosystme autour des infections.

Voici quelques exemples utiliss pour faire l'argent via des infections :

Transformer votre machine en PC Zombis / botnet. Les pirates constituent un rseau de PC infects qu'ils contrlent et peuvent louer pour une somme d'argent pour effectuer divers tches. Vous pouvez lire cette page pour plus d'informations : Botnet BusinessEn gnral, ces tches sont :

Utiliser les ordinateurs infects pour effectuer des attaques vers des sites PC zombies sa disposition pour effectuer ses attaques. Imaginez 10 000 PC avec des connexions ADSL effectuant des requtes en continu sur un site WEB ! Utiliser les ordinateurs infects pour relayer des mails de spams pour des produits commerciaux.

Faire de l'argent via la publicit. infecter les ordinateurs des internautes avec des Adwares. Les pirates crent des Adwares qui affichent des popups de publicits ou des infections qui redirections lors des recherches Google. Le pirate gagne alors un certains nombres d'argent par popup de publicits ouverte donc plus le nombre d'ordinateur qui ouvre des popups est grand, plus le pirate se fera d'argent. Tromper les internautes en vendant de faux antispywares que l'on nomme Rogues/Scareware - Notion de PPC/CPC Les rogues gnrent eux seuls des milliers de dollars voir : http://www.secureworks.com/research/threats/rogue-antivirus-part-1/ et http://www.secureworks.com/research/threats/rogue-antivirus-part-2/

Ce sont des coquilles vides.. Une simple interface graphique ressemblant des antispywares classiques mais sans mise jour, sans procdures de nettoyage. Le but est trs simple. Les auteurs de ces faux-antispywares inondent le WEB de publicits via les rgies de pubs (ce sont les socits qui s'occupent d'afficher les publicits sur les sites WEB, concrtement en quelques secondes, plusieurs millions/millions de sites WEB peuvent afficher la mme publicits pour le mme produit), gnralement avec de fausses alertes de scurits indiquant que votre ordinateur est infect proposant de tlcharger, comme solution, ces faux-antispywares. Les pirates crent des infections qui affichent des alertes indiquant que votre ordinateur est infect (fond d'cran modifi avec messages en rouges, icnes en bas droite ct de l'horloge indiquant que votre ordinateur est infect) en proposant de tlcharger,

page 3/32

Prvention & Scurit sur internet (version courte)

Aout 2011

comme solution, ces faux-antispywares. Si l'utilisateur est naf... voyant ces alertes, il va tlcharger et acheter ce faux produit qui ne va rien nettoyer sur son ordinateur.

De faux blogs de scurit pour vendre des antispywares ce sont crs. Ces derniers touchent un % sur les ventes. Imaginez les crateurs de rogues qui en plus crent des blogs avoir des sois disant recette de dsinfection via des antispywares et touche un % au passage...

Promouvoir l'installation de programmes malicieux (inclus rogues et scamwares) - notion de ] PPI - Pay-Per-Install. Un groupe peut se concentrer sur la promotion de programmes malicieux sans l'avoir dvelopper lui mme (Affiliation). Rcuprer des informations tels que les adresses email, numro carte bancaire (carding) etc.. afin de les revendre soit via des infections (Zbot, Banker etc).. soit via du phishing. Rcuprer les identifiants de compte de jeu en ligne pour les revendre : voir fraude jeux en ligne comment prendre les joueurs l'hameon Divers autres arnaques par mail comme les arnaques Scam 419 / Scam nigrian ou le phishing. Etc.

Vous trouverez d'autres informations et exemples sur la page : Business malwares : le Pourquoi des infections, Pour infecter les internautes, les auteurs de malwares utilisent divers subterfuges, cela va l'exploitation de la crdulit des internautes ou tirer parti de la mconnaissance de l'outil informatique. Cet article a pour but de vous donner les grandes lignes travers des exemples des moyens utiliss pour infecter les ordinateurs grandes chelles, le but tant travers ces exemples de mieux comprendre comment les infections se propagent pour les viter.

page 4/32

Prvention & Scurit sur internet (version courte)

Aout 2011

2-Infection travers les sites WEB : simplement en surfant

Les auteurs des malwares hack en permanence une multitude de sites WEB afin d'infecter les internautes. Si possible des sites forte audience ou sur des thmes susceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier l'origine de l'infection. C'est d'autant plus facile que crer un site ou un forum est devenu chose aise. Malheureusement ces webmasters en herbe n'ont pas forcment les connaissances informatiques ou de scurit minimales pour ne pas se faire hacker. Les auteurs de malwares ajoutent alors une iframe invisible (ou un bout de code javascript) la page d'accueil du site WEB en question. Les navigateurs WEB des visiteurs vont alors excuter de manire automatique le contenu de l'iframe et tre redirig vers une adresse tiers contenant un ou plusieurs exploits, si une faille est prsente sur le systme d'exploitation ou un logiciels tiers, c'est l'infection (je passe outre le fait que l'antivirus peut dtecter et bloquer la tentative d'infection). Voici un exemple d'exploitation de vulnrabilit sur Acrobat Reader : La visite d'un site avec Internet Explorer 7 qui execute PDF malicieux, IE lance Acrobat Reader (AcroRd32.exe) pour lire ce PDF.

page 5/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Acrobat Reader souhaite ensuite se connecter une adresse (195.242.161.100) afin de tlcharger le code malicieux...

page 6/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Le code malicieux est tlcharg et Acrobat Reader tente de l'excuter sous le nom de fichier ~.exe Si le fichier est excute ce dernier installe l'infection sur le systme.

page 7/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Dans l'exemple ci-dessus, il n'y a qu'un exploit sur Acrobat Reader mais lors de la visite d'un site hack, ce sont des sries d'exploits qui sont tests afin d'avoir une chance que l'un d'eux fonctionne, cela peut aller facilement une vingtaine visant des logiciels diffrents : Quicktime, Winzip, RealPlayer et bien souvent Flash, Java et Adobe Reader via des PDF malicieux. Ce qu'il faut comprendre, c'est que pour avoir plus de chance d'infecter votre ordinateur, c'est une srie d'exploits visant Windows ou des logiciels tiers qui sont tests. Le but tant pour les auteurs de malwares d'augmenter les chances d'infection en tentant d'attaquer un maximum de logiciels diffrents puisque les chances qu'un logiciel non jour sur le systme vis soit prsent sont fortes. Depuis mi-2008, c'est surtout les logiciels tiers et notamment les plugins de votre navigateur WEB qui sont viss, le simple fait de ne pas maintenir jour ces programmes permet l'infection de votre PC. Vous trouverez des exemples et explications supplmentaires sur les pages suivants :

Exploits sur site WEB

page 8/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Flash, Java et Adobe Reader via des PDF malicieux. Le danger des failles de scurit

Il faut donc bien comprendre qu'il est important de maintenir son systme MAIS AUSSI ses logiciels jour, la simple prsence d'un logiciel non jour suffit pour infecter votre ordinateur. Je rpte, c'est la simple prsence du logiciel non jour qui met votre systme en danger, logiciel utilis ou non genre rien, d'ailleurs dans le cas d'un logiciel non utilis, il vaut mieux le dsinstaller, vous gagnez en scurit car vous risquez d'oublier de le mettre jour. Conclusion : au lieu de vous demander quel est le meilleur antivirus, commencez par prendre l'habitude de maintenir votre systme et vos logiciels jour. Pour maintenir son systme jour, faites un Scan de vulnrabilits et mettez vos logiciels jour.

page 9/32

Prvention & Scurit sur internet (version courte)

Aout 2011

3-Les Rogues/Scareware : Faux Antivirus

Les rogues sont de faux antispywares ou programmes dtectant des erreurs dans le registre Windows, disque etc et vous propose de les rparer. Les dtections faites par ces programmes sont imaginaires et crer afin de vous proposer une version payante pour soit disant dsinfecter ou rparer. Ce sont donc des arnaques. A ~ 40 euros le rogue, ces arnaques gnrent plusieurs milliers d'euros par an. Exemple d'un rogue indiquant avoir dtect des menaces :

Les rogues peuvent s'installer automatiquement avec un pack d'infection. Ces infections affichent des alertes constantes afin de faire croire l'internaute qu'il est infect. Ces alertes reprennent certains lments de Windows afin de tromper l'internaute et lui faire croire que ces alertes viennent bien de Windows rendant ces alertes lgitimes. Ces alerte sont sous forme de bulles provenant d'une icne en bas droite ct de l'horloge :

page 10/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Les infections peuvent aussi modifier le fond d'cran avec des couleurs gnralement vives afin de faire peur l'internaute :

Enfin trs souvent ces infections affichent d'innombrables popups d'alertes et redirigent l'internaute vers des pages de tlchargement de rogues :

page 11/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Pour mieux tromper l'internaute certaines fentres reprennent des lments de Windows comme par exemple le centre de scurit. Pour beaucoup d'internautes, il est difficile de faire la diffrence, d'autant que certains noms de rogues prennent des noms comme "Windows Antivirus" et certaines couleurs de Windows/Microsoft (bleu etc). L'internaute dbutant peut alors croire que l'antivirus est tout simplement dit par Microsoft. Fausse page de centre de scurit :

Fausse page alerte Internet Explorer :

page 12/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Enfin certaines infections peuvent aussi effectuer des redirections lors des recherches Google afin toujours d'afficher de fausses pages d'alertes de scan.

page 13/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Ces fausses pages de scans ne sont que des animations mais pour un internaute dbutant, ce dernier peut croire que c'est bien son disque dur qui est scann et que des lments nfastes sont bien dtects. A l'issu de ces faux scans un rogue est propos en tlchargement pour dsinfecter votre PC. Depuis 2008, de nouvelles mthodes sont utiliss par les auteurs de malwares pour toucher plus d'internautes. Les auteurs de malwares :

cr d'innombrables "faux sites" contenant des mots clefs susceptibles d'tre tap dans les moteurs de rechercher par les internautes. En cliquant sur un de ces "faux sites" depuis le moteur de recherche, l'internaute sera redirig vers une fausse page de scan. Principe du SEO poisoning. cr de fausses bannires de publicits (malvertizement), ces dernires peuvent se retrouver sur des sites WEB lgitimes et souvent forte audiance. Un internaute qui visite ces sites peut alors tre redirig vers une fausse page de scan. Exemple avec malvertizement sur jeuxvideo.com

Ces infections utilisent le social engineering outrance pour tromper les internautes.

page 14/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Pour beaucoup d'internautes, la confusion peut tre faite entre savoir si son PC est rellement infect par un malware qui ouvre de fausses popups d'alertes ou redirige lors des recherches Google. Au del cela, un internaute dbutant qui n'est pas au fait de ces menaces et qui ne maitrise pas l'outil informatique peut avoir du mal faire la diffrence entre vrai et fausses alertes. Encore une fois, informez vous avant de faire l'acquisition d'un programme.

Quelques liens sur le sujet :

Qu'est-ce que les Rogues/Scareware Liste des rogues Rogues et alertes de scurit Les faux codecs vecteurs d'infections rogues

page 15/32

Prvention & Scurit sur internet (version courte)

Aout 2011

4-Les infections par disques amovibles (Clef USB/Disque dur externe)

Les infections par disques amovibles sont les infections qui se propagent par clef USB, appareil photos numriques, disques durs externes etc. Les clefs USB sont devenues des outils indispensables pour changer des fichiers, on les branche chez des amis, l'cole, dans un cyber caf.... oui mais voil les infections utilisent, de plus en plus, ces supports pour se propager. La simple utilisation de ces priphriques sur un ordinateur vrol et votre priphrique est infect et permet l'infection des ordinateurs sur lesquels le priphrique sera branch, de retour chez vous, vous branchez votre priphrique et vous infectez votre PC . A son tour, tout appareil insr sur votre PC nouvellement infect sera vrol, de quoi infecter son tour, tout votre entourage et ainsi de suite. Il convient donc de faire attention sur quels PC vous insrez vos supports USB mais aussi les supports USB utiliss sur votre PC (faites notamment attention lorsque vous laissez vos amis brancher leurs clefs USB). Certains endroits sont plus propices pour rcuprer ces infections notamment les coles, cyber cafs etc.. bref les lieux o beaucoup de clefs USB sont susceptibles d'tre branchs. Il est possible de scuriser son PC et priphrique pour viter ces infections, vous trouverez aussi des explications dtailles sur le fonctionne et les bonnes habitudes prendre. Une fois que vous aurez compris comment ces infections fonctionnent, vous pourrez les viter :

Les infections par disques amovibles Les infections par disques amovibles 2 Scurit : Maitriser ses mdias amovibles

page 16/32

Prvention & Scurit sur internet (version courte)

Aout 2011

5-Mail : Infections / Hoax / Scam / Phishing

Comme beaucoup de gens, vous recevez peut-tre plusieurs emails dont vous ne connaissez pas le destinataire qui vous incite cliquer sur un lien ou ouvrir une pice jointe. La rgle est plutt simple : si vous ne connaissez pas le destinataire, supprimez le message. Mme si le message parat venir de Microsoft ou de votre meilleur ami, vous devez faire attention, car l'adresse peut trs bien avoir t falsifie ou votre meilleur ami peut trs bien tre infect sans le savoir. Notez aussi que par exemple si en plus, l'e-mail est crit en anglais ou en franais mal traduit, cela peut tre un indice quant la dangerosit de l'e-mail. En effet, certains de ces e-mails dont l'expditeur est inconnu ou falsifi peut contenir, dans sa pice jointe ou dans un lien prsent dans le message, une infection. Faites donc preuve d'une grande attention, au moment d'ouvrir une pice jointe ou de cliquer sur un lien prsent dans l'e-mail. Les hoax sont des courriers lectroniques propageant une fausse information.

Ces rumeurs tentent souvent de toucher la susceptibilit du destinataire avec des informations ngatives, afin de le pousser transmettre le mail ces proches. Les sujets abords sont souvent : des alertes virus, disparitions d'enfant, promesse de bonheur, ptition, etc.. A l'inverse, certains hoax tentent faire passer de fausses informations en construisant une forte argumentation, en mlangeant le vrai et le faux, en talant leurs argumentations des vrai chiffres comme des faux... En rgle gnral, ces hoax ne donnent pas la source des chiffres. Les hoax se terminent souvent par une phrase incitant le destinataire propager la rumeur son tour en l'envoyant ses proches : "Passez l'information, a pourrait sauver une vie !"[/list]

Plus d'informations sur les hoax. Le scam ( ruse en anglais), sont des arnaques en gnral envoyes par e-mail. Le Scam 419 / Scam nigerian est l'un des plus actif, d'origine africaine, consistant extorquer des fonds des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage. L'arnaque du scam est issue du Nigeria, ce qui lui vaut galement l'appellation 419 en rfrence l'article du code pnal nigrian rprimant ce type de pratique. Cette arnaque se prsente toujours sous la forme d'un courrier (ou aujourd'hui d'un pourriel), dans lequel, par exemple, un jeune Africain appartenant une riche famille vous explique son besoin de transfrer rapidement de l'argent l'tranger pour une quelconque raison (principalement cause de la guerre civile rgnant dans son pays). Il demande votre aide pour ce transfert d'argent, en change de quoi il vous offre un pourcentage sur la somme transfrer. Une autre variante consiste vous faire croire que vous tes l'heureux gagnant d'une loterie ... laquelle vous n'avez mme pas particip. Ces arnaques promettent une grosse somme d'argent sous divers prtexte (transfert d'argent, loterie) pour au final en extorquer.

Comment dceler un scam ?

L'e-mail est bourr de fautes d'orthographe ou franais approximatif. (Traducteur automatique) Le domaine de l'adresse de l'expditeur et son extension (@domaine.com) sont souvent incohrents. (Un e-mail d'un prtendu nigrian, avec l'extension en .sk, Slovaquie. Un e-mail d'une certaine loterie de Microsoft avec un domaine en yahoo.com ) etc.

page 17/32

Prvention & Scurit sur internet (version courte)

Plus d'informations sur le scam, avec des exemples illustrs.

Aout 2011

Enfin depuis peu, ces arnaques se sont diversifies et sont maintenant prsentes sur ebay ou le boncoin sous forme de petites annonces trs allchantes. Vous avez aussi une autre variante sous forme de chantage par webcam : http://www.malekal.com/2011/06/08/scam-419-police-de-linternet/ Via des sites de rencontre, vous entrez en contact avec une femme qui vous demande de vous dshabiller par webcam. Une fois que c'est fait, on vous fait chanter par des mails de la police internet en disant que vous tes pdophiles, le policier rclame de l'argent pour se taire, ou en vous menaant de mettre la vido en ligne ou l'envoyer vos amis contre de l'argent.

Le Phishing ( Hameonnage en franais) est une technique frauduleuse utilis par des pirates afin d'obtenir des informations personnelles. La plupart du temps, le but de cette technique est d'obtenir des informations bancaires afin de les utiliser mauvais escient. Le Phishing peut s'exercer, le plus souvent, soit par e-mail, soit par le biais de sites web falsifis. La technique est simple, faire croire l'internaute que l'e-mail ou le site web falsifi sur lequel il se trouve, est vritablement celui de sa banque. Heureusement, un dtail peut vous permettre de reconnaitre ce genre d'e-mails ou de sites web : L'adresse n'est jamais la mme, mme si elle y ressemble en gnral. Par ailleurs, vous devez absolument retenir que JAMAIS votre banque ne vous demanderai par e-mail vos informations bancaires, ils connaissent les risques du Phishing. Retenez galement que le Phishing ne s'utilise pas exclusivement pour voler des informations bancaires, cela peut arriver aussi pour voler vos identifiants PayPal, ou encore vos informations de comptes de jeux vidos ... Plus d'informations sur le Phishing.

page 18/32

Prvention & Scurit sur internet (version courte)

Aout 2011

6-Cracks Keygens et P2P

Pas de leon de morale sur le piratage, juste quelques informations pour mesurer les risques... Pour utiliser des logiciels payants sans dbourser le moindre centime, nombreux sont ceux qui enlvent les protections l'aide d'un programme appel communment crack ou inscrivent un numro de srie gnr par un keygen. Toutes ces applications facilitant le piratage ne sont pas forcment contamines, mais les auteurs de malwares profitent de l'intrt pour ce genre de programmes pour faire passer leurs crations malignes. Ainsi, en pensant faire sauter la protection d'un logiciel, l'utilisateur trop confiant excute un programme malveillant avec ses droits d'administrateur, ce qui permettra l'infection du systme. L'infection Bagle qui dsactive les Antivirus et les systmes de nettoyage... Extrait de scan chez Virus Total:
File keygen.exe received on 10.21.2008 12:41:09 (CET) Current status: finished Result: 10/36 (27.78%) Compact Compact AntiVir 7.9.0.5 2008.10.21 Avast 4.8.1248.0 2008.10.15 AVG 8.0.0.161 2008.10.20 Win32/Themida BitDefender 7.2 2008.10.21 CAT-QuickHeal 9.50 2008.10.21 (Suspicious) - DNAScan F-Secure 8.0.14332.0 2008.10.21 Kaspersky 7.0.0.125 2008.10.21 Trojan-Downloader.Win32.Bagle.aed[ McAfee 5409 2008.10.21 Microsoft 1.4005 2008.10.21 NOD32 3541 2008.10.21 Win32/Bagle.QA[ Panda 9.0.0.4 2008.10.21 PCTools 4.4.2.0 2008.10.20 Symantec 10 2008.10.21 TheHacker 6.3.1.0.121 2008.10.21 W32/Behav-Heuristic-064 TrendMicro 8.700.0.1004 2008.10.21 -

On note que beaucoup d'antivirus sont passs ct de l'infection. Dans ce cas, un utilisateur d'avast ou de panda (par exemple) aurait laiss se charger l'infection sans rien voir passer.

La palme des infections lies aux cracks revient Virut/Virtob : Extrait de scan chez Virus Total:
Fichier Rising_Star_188846661_svchost.exe reu le 2009.02.13 11:18:51 (CET) Antivirus a-squared Version Dernire mise jour 4.0.0.93 2009.02.13 Rsultat Virus.Win32.Virut.q!IK

page 19/32

Prvention & Scurit sur internet (version courte)

AntiVir 7.9.0.76 Avast AVG 4.8.1335.0 8.0.0.237 7.2 2009.02.13 2009.02.12 2009.02.13 2009.02.13 2009.02.13 2009.02.12 2009.02.13 Virus.Win32.Virut.CF1 Virus.Win32.Virut.ce[ W32/Virut.Genn Win32/Virut Win32.Virut.56

Aout 2011

BitDefender DrWeb GData

4.44.0.09170 19

2009.02.13 7.10.628 7.0.0.125 2009.02.12

K7AntiVirus Kaspersky McAfee 5524 Microsoft NOD32 3850

W32/Virut.n.gen[ Virus:Win32/Virut.BM

1.4306 2009.02.13 2009.02.13

Win32/Virut.NBK W32/Virut.BS Suspicious file

Norman 6.00.02 2009.02.12 Panda 10.0.0.10

2009.02.12

Sophos 4.38.0 2009.02.13 Symantec TrendMicro 10

W32/Scribble-A W32.Virut.CF PE_VIRUX.A-4[/quote]

2009.02.13

8.700.0.1004

2009.02.13

Ce virus est capable d'infecter des centaines de fichiers lgitimes en quelques heures. Pas d'autre solution que le formatage. Il a fait beaucoup de ravages au dbut de l'anne 2009 comme le souligne le Groupe antimalware du Forum Futura dans son article: Virut/Scribble : le retour d'une infection redoutable . Plus d'informations sur Virut/Virtob. Sachez que les auteurs de malwares crent de faux sites de cracks o tous les cracks proposs sont infectieux, d'autres sites contiennent des exploits, si votre navigateur n'est pas jour, c'est l'infection assure. En outre, certaines infections issues de cracks proposs sur les rseaux P2P, une fois installes, mettent disposition des cracks pigs sur le rseau P2P pour que d'autres internautes les tlchargent et s'infectent : exemple avec l'infection Security Toolbar 7.1

Comment viter ce genre de msaventure...

En prfrant les logiciels libres ou les ]freewares/gratuiciels . Pour les accrocs, dans la majorit des cas, un simple scan de fichier chez Virus Total permettrait d'viter la catastrophe. Sauf en cas d'une infection encore inconnue des diteurs antivirus.

Pour aller plus loin:

Cracks/P2P Le danger des cracks !

page 20/32

Prvention & Scurit sur internet (version courte)

Aout 2011

7-PUP/LPI : Logiciels potentiellement indsirables - Adwares, barres d'outils etc

Une nouvelle vague de logiciels potentiellement indsirables est en pleine expansion. Le but est simple proposer des logiciels en y ajoutant des logiciels additionnels : barre d'outils, adwares ou autres. L'diteur du logiciel gagne de l'argent chaque installation du logiciel additionnel russie. Seulement afin de gagner plus d'argent, des diteurs de logiciel ont recours des mthodes plus que discutables. Outre le fait que les procds sont discutables, l'accumulation de ces programmes additionnels non essentiels councourent ralentir condsirablement l'ordinateur (peux aussi faire planter les navigateurs WEB). Certains font aussi du tracking anonymes (rcuprations des thmatiques de sites visits). Ces logiciels sont proposs via des publicits commerciales sur les moteurs de recherche ou via des publicits.

Se reporter la page : Dtection PUP/LPI : Potentially Unwanted Program Sur les forums de dsinfection, on retrouve souvent les mmes programmes qui posent problme, savoir :

page 21/32

Prvention & Scurit sur internet (version courte)

Faux plugins VLC : avec les packs ShoppertsReports, Zango, Hotbar, QuestScan etc Les programmes type Offerbox, SweetIM, FissaSearch Search Settings / Dealio Toolbar / PDFForge Toolbar WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player Les programmes Eorezo / PCTuto FoxTab FLV Player : DealPly / Babylon Toolbar

Aout 2011

Par exemple dans la capture ci-dessous, la popup jaune imite la barre de proposition d'installation de plugin de Firefox ce qui peux tromper les internautes - afin de faire installer un VLC avec des programmes additionnels :

Ce qui donne ceci :

page 22/32

Prvention & Scurit sur internet (version courte)

Aout 2011

page 23/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Des diteurs prennent donc des logiciels libres, dvelopps par des personnes passionnes et les redistribuent en y ajoutant des logiciels additionnels afin de gagner de l'argent : http://www.malekal.com/2011/07/24/kreaffiliation-aedge-performance-faux-vlc-compagnies/

Ces programmes se dsinstallent bien en gnral, voir la page : http://www.malekal.com/2011/08/15/desinstaller-un-programme-et-extensions-firefox/ Attention donc aux sources de tlchargements et privilgiez, les sites sr comme Clubic par exemple.

page 24/32

Prvention & Scurit sur internet (version courte)

Aout 2011

8-Vers et arnaques sur MSN/Facebook

Les vers MI ( messagerie instantane ) se propagent via les logiciels correspondant cela ( MSN , Yahoo Messenger , ICQ etc ) et se prsentent sous la forme d'un message prtendument envoy par un contact (Cela peut aussi se produire mme quand le contact est Hors-Ligne). Il existe exactement la mme chose sur Facebook via des messages de commentaires avec des liens. Quelques exemples de message :

dfaut de la reproduction sonore ! regard cette vieille image que j'ai trouv : mes photos chaudes :D haha vous devriez rendre ceci votre dfaut pic sur le myspace ou quelque chose :D j'ai fais pour toi ce photo album tu dois le voire :p h veux tu voir mes image de vacance?? le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci h je vais mettre cette image de nous sur mon myspace :> Check out my nice photo album. :D wanna see the pics from my vacation? :> OMG YOU HAVE TO SEE THIS PICTURE!!!! :D IS THIS REALLY YOU ??? i cant remember who sent it to me... My friend took nice photos of me.you Should see em loL! I found these old school pictures... LOL :) Here are my private pictures for you [/list]

Voici le rapport de VirusTotal* de l'un des fichiers tlchargs :

Fichier viewimage.php reu le 2009.02.08 21:57:53 (CET) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse termin NON TROUVE ARRETE Rsultat: 17/39 (43.59%)

Antivirus Version Dernire mise jour Rsultat a-squared 4.0.0.93 2009.02.08 Backdoor.Rbot!IK AhnLab-V3 5.0.0.2 2009.02.07 AntiVir 7.9.0.76 2009.02.08 DR/Agent2.dfj Authentium 5.1.0.4 2009.02.08 Avast 4.8.1335.0 2009.02.08 AVG 8.0.0.229 2009.02.08 BitDefender 7.2 2009.02.08 MemScan:Backdoor.RBot.YBJ CAT-QuickHeal 10.00 2009.02.07 TrojanDropper.Agent.yyg ClamAV 0.94.1 2009.02.08 Comodo 971 2009.02.08 -

page 25/32

Prvention & Scurit sur internet (version courte)

DrWeb 4.44.0.09170 2009.02.08 BackDoor.IRC.Sdbot.3762 eSafe 7.0.17.0 2009.02.08 Win32.VirToolCeeInje eTrust-Vet 31.6.6346 2009.02.07 F-Prot 4.4.4.56 2009.02.08 F-Secure 8.0.14470.0 2009.02.08 Fortinet 3.117.0.0 2009.02.08 GData 19 2009.02.08 MemScan:Backdoor.RBot.YBJ Ikarus T3.1.1.45.0 2009.02.08 Backdoor.Rbot K7AntiVirus 7.10.623 2009.02.07 Kaspersky 7.0.0.125 2009.02.08 Trojan.Win32.Agent2.dfj McAfee 5520 2009.02.08 McAfee+Artemis 5520 2009.02.08 Generic!Artemis Microsoft 1.4306 2009.02.08 VirTool:Win32/CeeInject.gen!J NOD32 3836 2009.02.07 Norman 6.00.02 2009.02.06 Ircbot.AMAM.dropper nProtect 2009.1.8.0 2009.02.08 MemScan:Backdoor.RBot.YBJ Panda 9.5.1.2 2009.02.08 PCTools 4.4.2.0 2009.02.08 Prevx1 V2 2009.02.08 Rising 21.15.50.00 2009.02.07 SecureWeb-Gateway 6.7.6 2009.02.08 Trojan.Dropper.Agent2.dfj Sophos 4.38.0 2009.02.08 Mal/Behav-243 Sunbelt 3.2.1847.2 2009.02.07 Symantec 10 2009.02.08 Backdoor.IRC.Bot TheHacker 6.3.1.5.249 2009.02.08 TrendMicro 8.700.0.1004 2009.02.06 VBA32 3.12.8.12 2009.02.08 ViRobot 2009.2.6.1594 2009.02.06 VirusBuster 4.5.11.0 2009.02.08 Trojan.DR.Agent.Gen.15 Information additionnelle File size: 102913 bytes MD5...: 891accd8bec7b745a893e140857b642b SHA1..: e3607a8c2e4609dcd7659f4dcd1d8c31147739bd

Aout 2011

* VirusTotal est un site o on upload un fichier pour le faire analyser par un grand nombre d'antivirus. Ceci permet de mieux juger un fichier sur lequel on a des doutes.

Conclusion : Ne tlcharger jamais un fichier provenant d'un lien envoy par vos contacts surtout si le contact est hors ligne.

page 26/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Pour plus d'informations sur les vers MSN, lire la page Virus MSN : explications, fonctionnement et parade

Il existe aussi maintenant la mme chose au niveau des rseaux sociaux, via des commentaires avec des liens qui redirigent vers de fausses pages de vidos : Exemple avec Net-Worm.Win32.Koobface sur FaceBook et MySpace

page 27/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Depuis un an, une autre forme d'arnaque est apparu. Des sites proposent de vrifier si vos contacts vous ont bloqu.. Pour cela, vous devez saisir les informations de connexion MSN (nom d'utilisateur et mot de passe)... Ces services, une fois en possession de ces identifiants vont se connecter avec votre compte et envoyer des messages pour faire de la publicit pour ces services.

page 28/32

Prvention & Scurit sur internet (version courte)

Aout 2011

En gnral, les conditions d'utilisation (souvent en anglais) expliquent clairement que le service va utiliser le compte pour faire de la publicit.

page 29/32

Prvention & Scurit sur internet (version courte)

Aout 2011

Conclusion :

Ne donner jamais vos informations de connexion surtout lorsqu'il s'agit de votre mot de passe Lisez les conditions d'utilisation et en cas de doute, n'utilisez pas le service.

page 30/32

Prvention & Scurit sur internet (version courte)

Aout 2011

9-Conclusion
En esprant que cet article vous ouvrira les yeux sur les menaces sur Internet. Si vos logiciels de protection sont des allis, ils ne font pas tout... un minimum de connaissance informatique et sur les propagations des menaces, de bonnes habitudes vous permettront de ne plus infecter votre PC. Vous trouverez de plus amples informations sur la propagation des menaces sur la page : Scuriser son ordinateur et connatre les menaces. La scurit de votre PC ne se rsume pas aux logiciels installs, lire : La scurit de son PC, c'est quoi ?

Si vous souhaitez participer la lutte AntiMalware, vous pouvez diffuser ce document sur votre site, forum, envoyer la version PDF par mail vos amis ou simplement mettre la bannire en lien.

Le code html :
<a href="http://www.malekal.com/ProjetAntiMalwares.php"><img style="border: 0px solid ; width: 262px; height: 150px;" alt="Projet AntiMalware" src="http://www.malekal.com/fichiers/projetantimalwares/campagne_fightantimalware.gif"></a> <br>

Le code html :
<a href="http://www.malekal.com/ProjetAntiMalwares.php"><img alt="Projet AntiMalware" src="http://www.malekal.com/fichiers/projetantimalwares/campagne_fightantimalware2.gif" width="453" height="144"></a> <br>

Si vous tes simple membre d'un forum, vous pouvez mettre cette bannire en signature!

page 31/32

Prvention & Scurit sur internet (version courte)

code bbcode pour signature :

Aout 2011

[url=http://www.malekal.com/ProjetAntiMalwares.php] [img]http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif[/img][/url]

Plus d'informations : http://www.malekal.com/ProjetAntiMalwares.php

Remerciements Sham-Rock, BlackTig3r, Soni93200, tetar159 et Shimik_Root

page 32/32