Un nouveau virus sous Windows 7, Réactions à la publication du 20/07/2010

[Lionel]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll". Pourtant, nous considérons qu'il est important de relater ces informations non seulement parce qu'elles concernent une bonne partie de la population, mais aussi parce que les mécanismes d'infection pourraient demain être d'une manière plus ou moins proche transposées sous OS X.


Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.
Une fois de plus, ce virus vise les informations personnelles comme des identifiants ou mots de passe ou encore des numéros de cartes bancaires. 


Pour sa propagation, comme vous l'aurez compris, elle se fera de clés ou disques en machine et ainsi de suite.
Par Lionel

[OSX-Siby]

une histoire sans fin...

Je conseille à tous les utilisateurs de OSX de créer, via l'utilitaire de disque, un fichier encryté AES 256 bits avec un mot de passe suffisamment
robuste.
Mettre tous les doc vraiment important dans ce disque et le démonter systématiquement après usage.

NE JAMAIS ENREGISTRER LE MOT DE PASSE DE CE DISQUE DANS LE TROUSSEAU DE OSX !!

Voila, c'est le minimum de sécu qu'on peut faire simplement en évitant de passer par filevault ( un peu lourd à mon goût )

De plus si on est vraiment parano, on peut répéter l'opération et créer ainsi un fichier encryté d'un fichier encrypté...

ça n'arrêtera pas les virus ou autres cheval de troie sur nos OS ( MAC, LINUX ou PC ), disons que ça pérennise mieux nos données personnelles importantes

Ce message a été modifié par OSX-Siby - 20 Jul 2010, 05:14.

[debians]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll". Pourtant, nous considérons qu'il est important de relater ces informations non seulement parce qu'elles concernent une bonne partie de la population, mais aussi parce que les mécanismes d'infection pourraient demain être d'une manière plus ou moins proche transposées sous OS X.


Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.
Une fois de plus, ce virus vise les informations personnelles comme des identifiants ou mots de passe ou encore des numéros de cartes bancaires. 


Pour sa propagation, comme vous l'aurez compris, elle se fera de clés ou disques en machine et ainsi de suite.
Par Lionel

Whaou de clé en clé, ca va faire de sacrés dégats!
Et vu le nombre d'antivirus gratuit, tout le monde est équipé et à jour, ça ne fera rien d'autre qu'un pétard mouillé ce virus.
Sachant qu'en plus l'exécution automatique d'executable est désactivée par défaut...
Et il se fera fumer par l'antivirus dès l'insertion de la clé.

[Lionel]

une histoire sans fin...

Je conseille à tous les utilisateurs de OSX de créer, via l'utilitaire de disque, un fichier encryté AES 256 bits avec un mot de passe suffisamment
robuste.
Mettre tous les doc vraiment important dans ce disque et le démonter systématiquement après usage.

NE JAMAIS ENREGISTRER LE MOT DE PASSE DE CE DISQUE DANS LE TROUSSEAU DE OSX !!

Voila, c'est le minimum de sécu qu'on peut faire simplement en évitant de passer par filevault ( un peu lourd à mon goût )

De plus si on est vraiment parano, on peut répéter l'opération et créer ainsi un fichier encryté d'un fichier encrypté...

ça n'arrêtera pas les virus ou autres cheval de troie sur nos OS ( MAC, LINUX ou PC ), disons que ça pérennise mieux nos données personnelles importantes

Je ne suis pas d'accord, un virus ou un cheval de Troie peut fort bien attendre que tu débloques ton image disque pour y faire des dégâts.

[ricchy]

Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.

Je n'arrive pas à comprendre comment un virus peut se propager via une clé usb ou un disque monté ?

Admettons que j'achète une clé usb (donc vierge, nous sommes bien d'accord), que je la plugg à mon ordinateur et que j'y transfert juste une série de photos.

Comment puis je être infecté ou comment puis je infecter une machine dans ce cas là ?

J'ai vraiment de la peine à comprendre le cheminement. 

Quelqu'un pourrait m'expliquer, à moins que la réponse est dans le sujet, mais je n'y ai rien compris. 

[Lionel]

Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.

Je n'arrive pas à comprendre comment un virus peut se propager via une clé usb ou un disque monté ?

Admettons que j'achète une clé usb (donc vierge, nous sommes bien d'accord), que je la plugg à mon ordinateur et que j'y transfert juste une série de photos.

Comment puis je être infecté ou comment puis je infecter une machine dans ce cas là ?

J'ai vraiment de la peine à comprendre le cheminement. 

Quelqu'un pourrait m'expliquer, à moins que la réponse est dans le sujet, mais je n'y ai rien compris. 

Il faut une primo infection, par exemple que tu aies branché la clé USB infectée d'un copain, qui aura infecté ta machine. Ensuite, le virus se répliquera sur toute clé montée puis sur tout PC banché à ces clés...

[Marco-Polo]

C'est ultra courant sur windows. Et c'ets du à un petit fichier autorun.inf. Quand l'exécution automatique est activée dès que tu branches un périphérique windows va chercher ce fichier et exécute le programme indiqué, avec les droits de l'utilisateur c'est qu'est le danger. L'utilisateur n'a rien eu a faire ou à valider.

Au final si tu mets ta clef dans un ordi infecté, il va se répliquer sur la clef et créer un autorun.inf qui le lancera et permettra d'infecter chaque pc dans lesquels tu mettra ta clefs.

La meilleur parade c'est de désactiver l'exécution automatique qui de toutes façon est plus chiante qu'autre chose.

Edit ces virus ne sont pas a prendre à la légère surtout pour des utilisateurs qui n'y connaisse rien, ou au travail quand on a n'a pas le contrôle complet de sont ordi. Ça se répand comme une trainé de poudre.

Ce message a été modifié par Marco-Polo - 20 Jul 2010, 07:31.

[NicoNeo]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll".

Faux Lionel, c'est simplement que plusieurs fois tu as dis qu'il y a des virus sous Mac en parlant ensuite de tel ou tel développeur d'anti-virus qui sont censés les éradiquer. Tu as aussi parlé de virus quand il s'agissait de Trojan.
J'ai des clients qui paniqués installent des suites anti-virus qui ensuite ralentissent leur machine en passant leur temps à scanner tout et n'importe quoi.

Un jour que j'espère le plus lointain possible, il est possible que comme sous windows nous soyons aussi touchés par ce fléau, mais ce n'est pour le moment absolument pas le cas. Nous avons le privilège d'une angoisse en moins, profitons-en !

Dire qu'il y a des virus sous Windows, tout le monde en est conscient...

[ironseb]

Avec un bon anti-virus à jour il n'y a pas de raison qu'il aille bien loin mais si ce n'est pas le cas…

[kromozom]

Ce n'est pas à proprement parler d'un virus mais l'exploitation d'une faille 0Day.
http://master.pcinpact.com/actu/news/58341...nes-realtek.htm
Il s'agit d'un rootkit et celui-ci touche toutes les versions de Windows depuis xp.
Et arrêtons les idées reçu, un AV ne fera pas grand chose vu que c'est au départ une faille de l'OS, la réponse dans un premier temps doit obligatoirement passer par un correctif de sécurité.
Je pense qu'une petite modif de la news serai bienvenue.

Ce message a été modifié par kromozom - 20 Jul 2010, 08:02.

[Ambuletz]

Mais que fait Roselyne Bachelot ??

[ironseb]

Mais que fait Roselyne Bachelot ??

Elle est larguée. Elle s'est même faite griller par Rama hier pour la parade derrière Voekler…

[ricchy]

 

Il faut une primo infection, par exemple que tu aies branché la clé USB infectée d'un copain, qui aura infecté ta machine. Ensuite, le virus se répliquera sur toute clé montée puis sur tout PC banché à ces clés...

Merci de ta réponse Lionel. 

[TomCom]

Personnellement, j'ai Avast et Windows Defender sur mon Hackintosh, et en deux ans de navigation j'ai rencontré une seule alerte de virus, mais ça ne me viendrait pas à l'idée de stocker mon numéro de carte bleue sous Windows.

[gedsismik]

sur nos OS ( MAC, LINUX ou PC )

PC n'est pas un OS. Je tiens à rappeler que PC != Windows. D'ailleurs, pour Mac, il faudrait mieux dire Mac OS X (surtout si on considère que les macintel sont des PC).

[goum]

C'est ultra courant sur windows. Et c'ets du à un petit fichier autorun.inf. Quand l'exécution automatique est activée dès que tu branches un périphérique windows va chercher ce fichier et exécute le programme indiqué, avec les droits de l'utilisateur c'est qu'est le danger. L'utilisateur n'a rien eu a faire ou à valider.

Au final si tu mets ta clef dans un ordi infecté, il va se répliquer sur la clef et créer un autorun.inf qui le lancera et permettra d'infecter chaque pc dans lesquels tu mettra ta clefs.

La meilleur parade c'est de désactiver l'exécution automatique qui de toutes façon est plus chiante qu'autre chose.

Edit ces virus ne sont pas a prendre à la légère surtout pour des utilisateurs qui n'y connaisse rien, ou au travail quand on a n'a pas le contrôle complet de sont ordi. Ça se répand comme une trainé de poudre.

De ce cas précis, même en désactivant l'autorun tu te fais infecté... Il suffit juste d'aller sur la clé avec l'explorer pour être infecté.
http://www.anti-virus.by/en/tempo.shtml

[jeriqo]

Mon collègue de travail a des virus sur ses clés USB depuis quelques années maintenant.. c'est pas vraiment nouveau dans le monde windows.

[scoch]

De ce cas précis, même en désactivant l'autorun tu te fais infecté... Il suffit juste d'aller sur la clé avec l'explorer pour être infecté.
http://www.anti-virus.by/en/tempo.shtml

Génial !
Étant donné que le quidam n'ira évidemment pas télécharger un removal pour virer d'entrée le soft installé par défaut sur la clef et pouvoir ainsi bénéficier de la capacité inscrite sur l'emballage... des veaux.

[djdoxy]

Je suis peut etre un peu hors sujet, mais j'en profite pour faire une remarque.
J'ai constaté truc en installant la nouvelle mise à jour iTunes, c'est qu'il demande le mot de passe administrateur.
Il y a surement une bonne raison à cela, mais quand vous voyez qu'iTunes, "un programme pour lire la musique", demande le mot de passe, comment voulez vous qu'ensuite les utilisateurs lambda (=non geeks) se posent la moindre question lorsqu'un programme leur demande leur mot de passe ?

A chaque fois qu'un trojan est repéré sur OSX, la plupart des réactions sont du genre "le point faible est entre la chaise et le clavier" ou "faut réfléchir avant de saisir son mdp", etc...

Le réactions me semblent souvent légèrement arrogantes, mais beaucoup semblent ignorer que certains utilisateurs de mac ne sont pas des informaticiens, et qu'ils sont impossible à "éduquer" d'un point de vue sécurité.
Pourquoi est ce je devrais donner mon mot de passer à iTunes (qui à priori n'a pas de raison de me le demander) et pas à la version (pirate) d'iwork qui avait fait tant de bruit ?

Mon exemple est faussé (c'est un soft pirate, donc si on a des emmerdes on l'a bien cherché) mais il y a quelques années, il y avait eu une histoire avec un codec qu'il fallait installer pour lire des vidéos sur un site porno (donc rien d'illegal la dedans) qui installait un trojan.

Le puritains vont dire que le porno c'est mal et que c'est bien fait, alors qu'ils imaginent la même chose sur un faux youtube (genre www.yootube.com par exemple) qui demanderai à installer le même codec pour "bénéficier de la HD" et qui arrosent les gens de spam "Hey, trop drole cette video"

Mélange de fishing (spam vers un faux site) et de trojan habilement deguisé... cela ferait probablement un carnage chez beaucoup de monde!

[mikatiger]

PC n'est pas un OS. Je tiens à rappeler que PC != Windows. D'ailleurs, pour Mac, il faudrait mieux dire Mac OS X (surtout si on considère que les macintel sont des PC).

Linux n'est pas un OS non plus

[kromozom]

So you just have to open infected USB storage device using Microsoft Explorer or any other file manager which can display icons (for i.e. Total Commander) to infect your Operating System and allow execution of the malware.
Malware installs two drivers: mrxnet.sys and mrxcls.sys. They are used to inject code into systems processes and hide malware itself. That's the reason why you can't see malware files on the infected USB storage device. Note that both drivers are signed with digital signature of Realtek Semiconductor Corp.

Besoin d'une trad ?
D'autant plus que le rootkit est tout aussi actif que ce soit via un partage réseau ou WEBDAV. De plus je rajoute que le rootkit en question n'a absolument pas besoin de privilèges admin pour s'exécuter, certes il ne serai fonctionnel que sur le profil user mais s'exécutera tout de même et potentiellement se transmettre.

Ce message a été modifié par kromozom - 20 Jul 2010, 09:50.

[Shepherd]

Même MacBidouille parle de virus quand ce n'en est pas un.

Le mot générique menace est celui qu'il convient d'employer. Et si nous parlons bien de la même menace, elle est ici combinée : ver et rootkit.
Sans omettre que "la souche à visiblement déjà fait des petits" que l'on nomme : variantes.

Ce message a été modifié par Shepherd - 20 Jul 2010, 10:37.

[Marco-Polo]

De ce cas précis, même en désactivant l'autorun tu te fais infecté... Il suffit juste d'aller sur la clé avec l'explorer pour être infecté.
http://www.anti-virus.by/en/tempo.shtml

Je comprend mieux l'intérêt de la news, c'est vraiment pernicieux comme menace. J'suis heureux d'être sous mac et ne pas intéresser les créateurs de ces merveilles pour le moment.

[Lionel]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll".

Faux Lionel, c'est simplement que plusieurs fois tu as dis qu'il y a des virus sous Mac en parlant ensuite de tel ou tel développeur d'anti-virus qui sont censés les éradiquer. Tu as aussi parlé de virus quand il s'agissait de Trojan.
J'ai des clients qui paniqués installent des suites anti-virus qui ensuite ralentissent leur machine en passant leur temps à scanner tout et n'importe quoi.

Un jour que j'espère le plus lointain possible, il est possible que comme sous windows nous soyons aussi touchés par ce fléau, mais ce n'est pour le moment absolument pas le cas. Nous avons le privilège d'une angoisse en moins, profitons-en !

Dire qu'il y a des virus sous Windows, tout le monde en est conscient...

A croire que tu es un virusophage en plus d'être integophobe. Tu t'est réveillé pour rien ce coup-ci, il n'y a rien à manger. Mais bon, ce qu'il y a de pratique, c'est qu'on peut prévoir avec une probabilité de 99% les moments où tu posteras.

[zed_bill]

Génial !
Étant donné que le quidam n'ira évidemment pas télécharger un removal pour virer d'entrée le soft installé par défaut sur la clef et pouvoir ainsi bénéficier de la capacité inscrite sur l'emballage... des veaux.

Le quidam à surement un antivirus à jour qui fait son travail.

[Zekje]

De ce cas précis, même en désactivant l'autorun tu te fais infecté... Il suffit juste d'aller sur la clé avec l'explorer pour être infecté.
http://www.anti-virus.by/en/tempo.shtml

Je comprend mieux l'intérêt de la news, c'est vraiment pernicieux comme menace. J'suis heureux d'être sous mac et ne pas intéresser les créateurs de ces merveilles pour le moment.

pour le moment .....

car avec moins de 10% de machines, le parc installé n est pas utilisable en botnet , ou ne rapporte pas assez en mails, retoure de password, ect
mais le jour ou un createur de virus s interessera serieusement a la plateforme, vu que le credeau est " il n y a pas de virus sur mac" , il y a donc peu d antivirus antispyware antimalware tuperware ... a non ca c est autre chose ...

[goum]

Je suis peut etre un peu hors sujet, mais j'en profite pour faire une remarque.
J'ai constaté truc en installant la nouvelle mise à jour iTunes, c'est qu'il demande le mot de passe administrateur.
Il y a surement une bonne raison à cela, mais quand vous voyez qu'iTunes, "un programme pour lire la musique", demande le mot de passe, comment voulez vous qu'ensuite les utilisateurs lambda (=non geeks) se posent la moindre question lorsqu'un programme leur demande leur mot de passe ?

A chaque fois qu'un trojan est repéré sur OSX, la plupart des réactions sont du genre "le point faible est entre la chaise et le clavier" ou "faut réfléchir avant de saisir son mdp", etc...

Le réactions me semblent souvent légèrement arrogantes, mais beaucoup semblent ignorer que certains utilisateurs de mac ne sont pas des informaticiens, et qu'ils sont impossible à "éduquer" d'un point de vue sécurité.
Pourquoi est ce je devrais donner mon mot de passer à iTunes (qui à priori n'a pas de raison de me le demander) et pas à la version (pirate) d'iwork qui avait fait tant de bruit ?

Mon exemple est faussé (c'est un soft pirate, donc si on a des emmerdes on l'a bien cherché) mais il y a quelques années, il y avait eu une histoire avec un codec qu'il fallait installer pour lire des vidéos sur un site porno (donc rien d'illegal la dedans) qui installait un trojan.

Le puritains vont dire que le porno c'est mal et que c'est bien fait, alors qu'ils imaginent la même chose sur un faux youtube (genre www.yootube.com par exemple) qui demanderai à installer le même codec pour "bénéficier de la HD" et qui arrosent les gens de spam "Hey, trop drole cette video"

Mélange de fishing (spam vers un faux site) et de trojan habilement deguisé... cela ferait probablement un carnage chez beaucoup de monde!

Je te rejoins sur ce point. Beaucoup trop de softs demandent le mdp alors que ce n'est pas nécessaire. Ca ne concerne pas à mon avis que les utilisateurs lambda, je crois que tout le monde peut tomber dans le panneau. Je ne retrouve pas la news, mais Sartmatt avait longuement détaillé ce point.

[Lionel]

Même MacBidouille parle de virus quand ce n'en est pas un.

Le mot générique menace est celui qu'il convient d'employer. Et si nous parlons bien de la même menace, elle est ici combinée : ver et rootkit.
Sans omettre que "la souche à visiblement déjà fait des petits" que l'on nomme : variantes.

Merci pour ce cours de sémantique virale.

[Shepherd]

Même MacBidouille parle de virus quand ce n'en est pas un.

Le mot générique menace est celui qu'il convient d'employer. Et si nous parlons bien de la même menace, elle est ici combinée : ver et rootkit.
Sans omettre que "la souche à visiblement déjà fait des petits" que l'on nomme : variantes.

Merci pour ce cours de sémantique virale.

Désolée Lionel, j'ai manqué de délicatesse dans la tournure de mon message et vous prie de bien vouloir m'en excuser. Mais ayant travaillé de longues années pour un éditeur de produits de sécurité, je suis consternée par la sempiternelle vision des Mac users au sujet des menaces informatiques, qui se résume à tout mettre sous le mot "virus".
Vous faites, via MacBidouille, partie des sources d'information susceptibles de faire évoluer cette perception erronée.

Bien cordialement ,

[Lionel]

Marrant ça, tu as interprété de manière négative une phrase absolument neutre