Académique Documents
Professionnel Documents
Culture Documents
Aout 2011
Dossier
page 1/32
Aout 2011
Sommaire
1- Pourquoi des infections ? 2- Infection travers les sites WEB : simplement en surfant 3- Les Rogues/Scareware : Faux Antivirus 4- Les infections par disques amovibles (Clef USB/Disque dur externe) 5- Mail : Infections / Hoax / Scam / Phishing 6- Cracks Keygens et P2P 7- Vers et arnaques sur MSN 8- Conclusion
page 2/32
Aout 2011
Voici quelques exemples utiliss pour faire l'argent via des infections :
Transformer votre machine en PC Zombis / botnet. Les pirates constituent un rseau de PC infects qu'ils contrlent et peuvent louer pour une somme d'argent pour effectuer divers tches. Vous pouvez lire cette page pour plus d'informations : Botnet BusinessEn gnral, ces tches sont :
Utiliser les ordinateurs infects pour effectuer des attaques vers des sites PC zombies sa disposition pour effectuer ses attaques. Imaginez 10 000 PC avec des connexions ADSL effectuant des requtes en continu sur un site WEB ! Utiliser les ordinateurs infects pour relayer des mails de spams pour des produits commerciaux.
Faire de l'argent via la publicit. infecter les ordinateurs des internautes avec des Adwares. Les pirates crent des Adwares qui affichent des popups de publicits ou des infections qui redirections lors des recherches Google. Le pirate gagne alors un certains nombres d'argent par popup de publicits ouverte donc plus le nombre d'ordinateur qui ouvre des popups est grand, plus le pirate se fera d'argent. Tromper les internautes en vendant de faux antispywares que l'on nomme Rogues/Scareware - Notion de PPC/CPC Les rogues gnrent eux seuls des milliers de dollars voir : http://www.secureworks.com/research/threats/rogue-antivirus-part-1/ et http://www.secureworks.com/research/threats/rogue-antivirus-part-2/
Ce sont des coquilles vides.. Une simple interface graphique ressemblant des antispywares classiques mais sans mise jour, sans procdures de nettoyage. Le but est trs simple. Les auteurs de ces faux-antispywares inondent le WEB de publicits via les rgies de pubs (ce sont les socits qui s'occupent d'afficher les publicits sur les sites WEB, concrtement en quelques secondes, plusieurs millions/millions de sites WEB peuvent afficher la mme publicits pour le mme produit), gnralement avec de fausses alertes de scurits indiquant que votre ordinateur est infect proposant de tlcharger, comme solution, ces faux-antispywares. Les pirates crent des infections qui affichent des alertes indiquant que votre ordinateur est infect (fond d'cran modifi avec messages en rouges, icnes en bas droite ct de l'horloge indiquant que votre ordinateur est infect) en proposant de tlcharger,
page 3/32
Aout 2011
comme solution, ces faux-antispywares. Si l'utilisateur est naf... voyant ces alertes, il va tlcharger et acheter ce faux produit qui ne va rien nettoyer sur son ordinateur.
De faux blogs de scurit pour vendre des antispywares ce sont crs. Ces derniers touchent un % sur les ventes. Imaginez les crateurs de rogues qui en plus crent des blogs avoir des sois disant recette de dsinfection via des antispywares et touche un % au passage...
Promouvoir l'installation de programmes malicieux (inclus rogues et scamwares) - notion de ] PPI - Pay-Per-Install. Un groupe peut se concentrer sur la promotion de programmes malicieux sans l'avoir dvelopper lui mme (Affiliation). Rcuprer des informations tels que les adresses email, numro carte bancaire (carding) etc.. afin de les revendre soit via des infections (Zbot, Banker etc).. soit via du phishing. Rcuprer les identifiants de compte de jeu en ligne pour les revendre : voir fraude jeux en ligne comment prendre les joueurs l'hameon Divers autres arnaques par mail comme les arnaques Scam 419 / Scam nigrian ou le phishing. Etc.
Vous trouverez d'autres informations et exemples sur la page : Business malwares : le Pourquoi des infections, Pour infecter les internautes, les auteurs de malwares utilisent divers subterfuges, cela va l'exploitation de la crdulit des internautes ou tirer parti de la mconnaissance de l'outil informatique. Cet article a pour but de vous donner les grandes lignes travers des exemples des moyens utiliss pour infecter les ordinateurs grandes chelles, le but tant travers ces exemples de mieux comprendre comment les infections se propagent pour les viter.
page 4/32
Aout 2011
page 5/32
Aout 2011
Acrobat Reader souhaite ensuite se connecter une adresse (195.242.161.100) afin de tlcharger le code malicieux...
page 6/32
Aout 2011
Le code malicieux est tlcharg et Acrobat Reader tente de l'excuter sous le nom de fichier ~.exe Si le fichier est excute ce dernier installe l'infection sur le systme.
page 7/32
Aout 2011
Dans l'exemple ci-dessus, il n'y a qu'un exploit sur Acrobat Reader mais lors de la visite d'un site hack, ce sont des sries d'exploits qui sont tests afin d'avoir une chance que l'un d'eux fonctionne, cela peut aller facilement une vingtaine visant des logiciels diffrents : Quicktime, Winzip, RealPlayer et bien souvent Flash, Java et Adobe Reader via des PDF malicieux. Ce qu'il faut comprendre, c'est que pour avoir plus de chance d'infecter votre ordinateur, c'est une srie d'exploits visant Windows ou des logiciels tiers qui sont tests. Le but tant pour les auteurs de malwares d'augmenter les chances d'infection en tentant d'attaquer un maximum de logiciels diffrents puisque les chances qu'un logiciel non jour sur le systme vis soit prsent sont fortes. Depuis mi-2008, c'est surtout les logiciels tiers et notamment les plugins de votre navigateur WEB qui sont viss, le simple fait de ne pas maintenir jour ces programmes permet l'infection de votre PC. Vous trouverez des exemples et explications supplmentaires sur les pages suivants :
page 8/32
Aout 2011
Flash, Java et Adobe Reader via des PDF malicieux. Le danger des failles de scurit
Il faut donc bien comprendre qu'il est important de maintenir son systme MAIS AUSSI ses logiciels jour, la simple prsence d'un logiciel non jour suffit pour infecter votre ordinateur. Je rpte, c'est la simple prsence du logiciel non jour qui met votre systme en danger, logiciel utilis ou non genre rien, d'ailleurs dans le cas d'un logiciel non utilis, il vaut mieux le dsinstaller, vous gagnez en scurit car vous risquez d'oublier de le mettre jour. Conclusion : au lieu de vous demander quel est le meilleur antivirus, commencez par prendre l'habitude de maintenir votre systme et vos logiciels jour. Pour maintenir son systme jour, faites un Scan de vulnrabilits et mettez vos logiciels jour.
page 9/32
Aout 2011
Les rogues peuvent s'installer automatiquement avec un pack d'infection. Ces infections affichent des alertes constantes afin de faire croire l'internaute qu'il est infect. Ces alertes reprennent certains lments de Windows afin de tromper l'internaute et lui faire croire que ces alertes viennent bien de Windows rendant ces alertes lgitimes. Ces alerte sont sous forme de bulles provenant d'une icne en bas droite ct de l'horloge :
page 10/32
Aout 2011
Les infections peuvent aussi modifier le fond d'cran avec des couleurs gnralement vives afin de faire peur l'internaute :
Enfin trs souvent ces infections affichent d'innombrables popups d'alertes et redirigent l'internaute vers des pages de tlchargement de rogues :
page 11/32
Aout 2011
Pour mieux tromper l'internaute certaines fentres reprennent des lments de Windows comme par exemple le centre de scurit. Pour beaucoup d'internautes, il est difficile de faire la diffrence, d'autant que certains noms de rogues prennent des noms comme "Windows Antivirus" et certaines couleurs de Windows/Microsoft (bleu etc). L'internaute dbutant peut alors croire que l'antivirus est tout simplement dit par Microsoft. Fausse page de centre de scurit :
page 12/32
Aout 2011
Enfin certaines infections peuvent aussi effectuer des redirections lors des recherches Google afin toujours d'afficher de fausses pages d'alertes de scan.
page 13/32
Aout 2011
Ces fausses pages de scans ne sont que des animations mais pour un internaute dbutant, ce dernier peut croire que c'est bien son disque dur qui est scann et que des lments nfastes sont bien dtects. A l'issu de ces faux scans un rogue est propos en tlchargement pour dsinfecter votre PC. Depuis 2008, de nouvelles mthodes sont utiliss par les auteurs de malwares pour toucher plus d'internautes. Les auteurs de malwares :
cr d'innombrables "faux sites" contenant des mots clefs susceptibles d'tre tap dans les moteurs de rechercher par les internautes. En cliquant sur un de ces "faux sites" depuis le moteur de recherche, l'internaute sera redirig vers une fausse page de scan. Principe du SEO poisoning. cr de fausses bannires de publicits (malvertizement), ces dernires peuvent se retrouver sur des sites WEB lgitimes et souvent forte audiance. Un internaute qui visite ces sites peut alors tre redirig vers une fausse page de scan. Exemple avec malvertizement sur jeuxvideo.com
Ces infections utilisent le social engineering outrance pour tromper les internautes.
page 14/32
Aout 2011
Pour beaucoup d'internautes, la confusion peut tre faite entre savoir si son PC est rellement infect par un malware qui ouvre de fausses popups d'alertes ou redirige lors des recherches Google. Au del cela, un internaute dbutant qui n'est pas au fait de ces menaces et qui ne maitrise pas l'outil informatique peut avoir du mal faire la diffrence entre vrai et fausses alertes. Encore une fois, informez vous avant de faire l'acquisition d'un programme.
Qu'est-ce que les Rogues/Scareware Liste des rogues Rogues et alertes de scurit Les faux codecs vecteurs d'infections rogues
page 15/32
Aout 2011
Les infections par disques amovibles Les infections par disques amovibles 2 Scurit : Maitriser ses mdias amovibles
page 16/32
Aout 2011
Ces rumeurs tentent souvent de toucher la susceptibilit du destinataire avec des informations ngatives, afin de le pousser transmettre le mail ces proches. Les sujets abords sont souvent : des alertes virus, disparitions d'enfant, promesse de bonheur, ptition, etc.. A l'inverse, certains hoax tentent faire passer de fausses informations en construisant une forte argumentation, en mlangeant le vrai et le faux, en talant leurs argumentations des vrai chiffres comme des faux... En rgle gnral, ces hoax ne donnent pas la source des chiffres. Les hoax se terminent souvent par une phrase incitant le destinataire propager la rumeur son tour en l'envoyant ses proches : "Passez l'information, a pourrait sauver une vie !"[/list]
Plus d'informations sur les hoax. Le scam ( ruse en anglais), sont des arnaques en gnral envoyes par e-mail. Le Scam 419 / Scam nigerian est l'un des plus actif, d'origine africaine, consistant extorquer des fonds des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage. L'arnaque du scam est issue du Nigeria, ce qui lui vaut galement l'appellation 419 en rfrence l'article du code pnal nigrian rprimant ce type de pratique. Cette arnaque se prsente toujours sous la forme d'un courrier (ou aujourd'hui d'un pourriel), dans lequel, par exemple, un jeune Africain appartenant une riche famille vous explique son besoin de transfrer rapidement de l'argent l'tranger pour une quelconque raison (principalement cause de la guerre civile rgnant dans son pays). Il demande votre aide pour ce transfert d'argent, en change de quoi il vous offre un pourcentage sur la somme transfrer. Une autre variante consiste vous faire croire que vous tes l'heureux gagnant d'une loterie ... laquelle vous n'avez mme pas particip. Ces arnaques promettent une grosse somme d'argent sous divers prtexte (transfert d'argent, loterie) pour au final en extorquer.
L'e-mail est bourr de fautes d'orthographe ou franais approximatif. (Traducteur automatique) Le domaine de l'adresse de l'expditeur et son extension (@domaine.com) sont souvent incohrents. (Un e-mail d'un prtendu nigrian, avec l'extension en .sk, Slovaquie. Un e-mail d'une certaine loterie de Microsoft avec un domaine en yahoo.com ) etc.
page 17/32
Aout 2011
Enfin depuis peu, ces arnaques se sont diversifies et sont maintenant prsentes sur ebay ou le boncoin sous forme de petites annonces trs allchantes. Vous avez aussi une autre variante sous forme de chantage par webcam : http://www.malekal.com/2011/06/08/scam-419-police-de-linternet/ Via des sites de rencontre, vous entrez en contact avec une femme qui vous demande de vous dshabiller par webcam. Une fois que c'est fait, on vous fait chanter par des mails de la police internet en disant que vous tes pdophiles, le policier rclame de l'argent pour se taire, ou en vous menaant de mettre la vido en ligne ou l'envoyer vos amis contre de l'argent.
Le Phishing ( Hameonnage en franais) est une technique frauduleuse utilis par des pirates afin d'obtenir des informations personnelles. La plupart du temps, le but de cette technique est d'obtenir des informations bancaires afin de les utiliser mauvais escient. Le Phishing peut s'exercer, le plus souvent, soit par e-mail, soit par le biais de sites web falsifis. La technique est simple, faire croire l'internaute que l'e-mail ou le site web falsifi sur lequel il se trouve, est vritablement celui de sa banque. Heureusement, un dtail peut vous permettre de reconnaitre ce genre d'e-mails ou de sites web : L'adresse n'est jamais la mme, mme si elle y ressemble en gnral. Par ailleurs, vous devez absolument retenir que JAMAIS votre banque ne vous demanderai par e-mail vos informations bancaires, ils connaissent les risques du Phishing. Retenez galement que le Phishing ne s'utilise pas exclusivement pour voler des informations bancaires, cela peut arriver aussi pour voler vos identifiants PayPal, ou encore vos informations de comptes de jeux vidos ... Plus d'informations sur le Phishing.
page 18/32
Aout 2011
On note que beaucoup d'antivirus sont passs ct de l'infection. Dans ce cas, un utilisateur d'avast ou de panda (par exemple) aurait laiss se charger l'infection sans rien voir passer.
La palme des infections lies aux cracks revient Virut/Virtob : Extrait de scan chez Virus Total:
Fichier Rising_Star_188846661_svchost.exe reu le 2009.02.13 11:18:51 (CET) Antivirus a-squared Version Dernire mise jour 4.0.0.93 2009.02.13 Rsultat Virus.Win32.Virut.q!IK
page 19/32
Aout 2011
4.44.0.09170 19
W32/Virut.n.gen[ Virus:Win32/Virut.BM
2009.02.12
2009.02.13
8.700.0.1004
2009.02.13
Ce virus est capable d'infecter des centaines de fichiers lgitimes en quelques heures. Pas d'autre solution que le formatage. Il a fait beaucoup de ravages au dbut de l'anne 2009 comme le souligne le Groupe antimalware du Forum Futura dans son article: Virut/Scribble : le retour d'une infection redoutable . Plus d'informations sur Virut/Virtob. Sachez que les auteurs de malwares crent de faux sites de cracks o tous les cracks proposs sont infectieux, d'autres sites contiennent des exploits, si votre navigateur n'est pas jour, c'est l'infection assure. En outre, certaines infections issues de cracks proposs sur les rseaux P2P, une fois installes, mettent disposition des cracks pigs sur le rseau P2P pour que d'autres internautes les tlchargent et s'infectent : exemple avec l'infection Security Toolbar 7.1
En prfrant les logiciels libres ou les ]freewares/gratuiciels . Pour les accrocs, dans la majorit des cas, un simple scan de fichier chez Virus Total permettrait d'viter la catastrophe. Sauf en cas d'une infection encore inconnue des diteurs antivirus.
page 20/32
Aout 2011
Se reporter la page : Dtection PUP/LPI : Potentially Unwanted Program Sur les forums de dsinfection, on retrouve souvent les mmes programmes qui posent problme, savoir :
page 21/32
Aout 2011
Par exemple dans la capture ci-dessous, la popup jaune imite la barre de proposition d'installation de plugin de Firefox ce qui peux tromper les internautes - afin de faire installer un VLC avec des programmes additionnels :
page 22/32
Aout 2011
page 23/32
Aout 2011
Des diteurs prennent donc des logiciels libres, dvelopps par des personnes passionnes et les redistribuent en y ajoutant des logiciels additionnels afin de gagner de l'argent : http://www.malekal.com/2011/07/24/kreaffiliation-aedge-performance-faux-vlc-compagnies/
Ces programmes se dsinstallent bien en gnral, voir la page : http://www.malekal.com/2011/08/15/desinstaller-un-programme-et-extensions-firefox/ Attention donc aux sources de tlchargements et privilgiez, les sites sr comme Clubic par exemple.
page 24/32
Aout 2011
dfaut de la reproduction sonore ! regard cette vieille image que j'ai trouv : mes photos chaudes :D haha vous devriez rendre ceci votre dfaut pic sur le myspace ou quelque chose :D j'ai fais pour toi ce photo album tu dois le voire :p h veux tu voir mes image de vacance?? le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci h je vais mettre cette image de nous sur mon myspace :> Check out my nice photo album. :D wanna see the pics from my vacation? :> OMG YOU HAVE TO SEE THIS PICTURE!!!! :D IS THIS REALLY YOU ??? i cant remember who sent it to me... My friend took nice photos of me.you Should see em loL! I found these old school pictures... LOL :) Here are my private pictures for you [/list]
Antivirus Version Dernire mise jour Rsultat a-squared 4.0.0.93 2009.02.08 Backdoor.Rbot!IK AhnLab-V3 5.0.0.2 2009.02.07 AntiVir 7.9.0.76 2009.02.08 DR/Agent2.dfj Authentium 5.1.0.4 2009.02.08 Avast 4.8.1335.0 2009.02.08 AVG 8.0.0.229 2009.02.08 BitDefender 7.2 2009.02.08 MemScan:Backdoor.RBot.YBJ CAT-QuickHeal 10.00 2009.02.07 TrojanDropper.Agent.yyg ClamAV 0.94.1 2009.02.08 Comodo 971 2009.02.08 -
page 25/32
Aout 2011
* VirusTotal est un site o on upload un fichier pour le faire analyser par un grand nombre d'antivirus. Ceci permet de mieux juger un fichier sur lequel on a des doutes.
Conclusion : Ne tlcharger jamais un fichier provenant d'un lien envoy par vos contacts surtout si le contact est hors ligne.
page 26/32
Aout 2011
Pour plus d'informations sur les vers MSN, lire la page Virus MSN : explications, fonctionnement et parade
Il existe aussi maintenant la mme chose au niveau des rseaux sociaux, via des commentaires avec des liens qui redirigent vers de fausses pages de vidos : Exemple avec Net-Worm.Win32.Koobface sur FaceBook et MySpace
page 27/32
Aout 2011
Depuis un an, une autre forme d'arnaque est apparu. Des sites proposent de vrifier si vos contacts vous ont bloqu.. Pour cela, vous devez saisir les informations de connexion MSN (nom d'utilisateur et mot de passe)... Ces services, une fois en possession de ces identifiants vont se connecter avec votre compte et envoyer des messages pour faire de la publicit pour ces services.
page 28/32
Aout 2011
En gnral, les conditions d'utilisation (souvent en anglais) expliquent clairement que le service va utiliser le compte pour faire de la publicit.
page 29/32
Aout 2011
Conclusion :
Ne donner jamais vos informations de connexion surtout lorsqu'il s'agit de votre mot de passe Lisez les conditions d'utilisation et en cas de doute, n'utilisez pas le service.
page 30/32
Aout 2011
9-Conclusion
En esprant que cet article vous ouvrira les yeux sur les menaces sur Internet. Si vos logiciels de protection sont des allis, ils ne font pas tout... un minimum de connaissance informatique et sur les propagations des menaces, de bonnes habitudes vous permettront de ne plus infecter votre PC. Vous trouverez de plus amples informations sur la propagation des menaces sur la page : Scuriser son ordinateur et connatre les menaces. La scurit de votre PC ne se rsume pas aux logiciels installs, lire : La scurit de son PC, c'est quoi ?
Si vous souhaitez participer la lutte AntiMalware, vous pouvez diffuser ce document sur votre site, forum, envoyer la version PDF par mail vos amis ou simplement mettre la bannire en lien.
Le code html :
<a href="http://www.malekal.com/ProjetAntiMalwares.php"><img style="border: 0px solid ; width: 262px; height: 150px;" alt="Projet AntiMalware" src="http://www.malekal.com/fichiers/projetantimalwares/campagne_fightantimalware.gif"></a> <br>
Le code html :
<a href="http://www.malekal.com/ProjetAntiMalwares.php"><img alt="Projet AntiMalware" src="http://www.malekal.com/fichiers/projetantimalwares/campagne_fightantimalware2.gif" width="453" height="144"></a> <br>
Si vous tes simple membre d'un forum, vous pouvez mettre cette bannire en signature!
page 31/32
Aout 2011
[url=http://www.malekal.com/ProjetAntiMalwares.php] [img]http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif[/img][/url]
page 32/32