Un nouveau virus sous Windows 7, Réactions à la publication du 20/07/2010

[Lionel]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll". Pourtant, nous considérons qu'il est important de relater ces informations non seulement parce qu'elles concernent une bonne partie de la population, mais aussi parce que les mécanismes d'infection pourraient demain être d'une manière plus ou moins proche transposées sous OS X.


Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.
Une fois de plus, ce virus vise les informations personnelles comme des identifiants ou mots de passe ou encore des numéros de cartes bancaires. 


Pour sa propagation, comme vous l'aurez compris, elle se fera de clés ou disques en machine et ainsi de suite.
Par Lionel

[OSX-Siby]

une histoire sans fin...

Je conseille à tous les utilisateurs de OSX de créer, via l'utilitaire de disque, un fichier encryté AES 256 bits avec un mot de passe suffisamment
robuste.
Mettre tous les doc vraiment important dans ce disque et le démonter systématiquement après usage.

NE JAMAIS ENREGISTRER LE MOT DE PASSE DE CE DISQUE DANS LE TROUSSEAU DE OSX !!

Voila, c'est le minimum de sécu qu'on peut faire simplement en évitant de passer par filevault ( un peu lourd à mon goût )

De plus si on est vraiment parano, on peut répéter l'opération et créer ainsi un fichier encryté d'un fichier encrypté...

ça n'arrêtera pas les virus ou autres cheval de troie sur nos OS ( MAC, LINUX ou PC ), disons que ça pérennise mieux nos données personnelles importantes

Ce message a été modifié par OSX-Siby - 20 Jul 2010, 05:14.

[debians]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll". Pourtant, nous considérons qu'il est important de relater ces informations non seulement parce qu'elles concernent une bonne partie de la population, mais aussi parce que les mécanismes d'infection pourraient demain être d'une manière plus ou moins proche transposées sous OS X.


Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.
Une fois de plus, ce virus vise les informations personnelles comme des identifiants ou mots de passe ou encore des numéros de cartes bancaires. 


Pour sa propagation, comme vous l'aurez compris, elle se fera de clés ou disques en machine et ainsi de suite.
Par Lionel

Whaou de clé en clé, ca va faire de sacrés dégats!
Et vu le nombre d'antivirus gratuit, tout le monde est équipé et à jour, ça ne fera rien d'autre qu'un pétard mouillé ce virus.
Sachant qu'en plus l'exécution automatique d'executable est désactivée par défaut...
Et il se fera fumer par l'antivirus dès l'insertion de la clé.

[Lionel]

une histoire sans fin...

Je conseille à tous les utilisateurs de OSX de créer, via l'utilitaire de disque, un fichier encryté AES 256 bits avec un mot de passe suffisamment
robuste.
Mettre tous les doc vraiment important dans ce disque et le démonter systématiquement après usage.

NE JAMAIS ENREGISTRER LE MOT DE PASSE DE CE DISQUE DANS LE TROUSSEAU DE OSX !!

Voila, c'est le minimum de sécu qu'on peut faire simplement en évitant de passer par filevault ( un peu lourd à mon goût )

De plus si on est vraiment parano, on peut répéter l'opération et créer ainsi un fichier encryté d'un fichier encrypté...

ça n'arrêtera pas les virus ou autres cheval de troie sur nos OS ( MAC, LINUX ou PC ), disons que ça pérennise mieux nos données personnelles importantes

Je ne suis pas d'accord, un virus ou un cheval de Troie peut fort bien attendre que tu débloques ton image disque pour y faire des dégâts.

[ricchy]

Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.

Je n'arrive pas à comprendre comment un virus peut se propager via une clé usb ou un disque monté ?

Admettons que j'achète une clé usb (donc vierge, nous sommes bien d'accord), que je la plugg à mon ordinateur et que j'y transfert juste une série de photos.

Comment puis je être infecté ou comment puis je infecter une machine dans ce cas là ?

J'ai vraiment de la peine à comprendre le cheminement. 

Quelqu'un pourrait m'expliquer, à moins que la réponse est dans le sujet, mais je n'y ai rien compris. 

[Lionel]

Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.

Je n'arrive pas à comprendre comment un virus peut se propager via une clé usb ou un disque monté ?

Admettons que j'achète une clé usb (donc vierge, nous sommes bien d'accord), que je la plugg à mon ordinateur et que j'y transfert juste une série de photos.

Comment puis je être infecté ou comment puis je infecter une machine dans ce cas là ?

J'ai vraiment de la peine à comprendre le cheminement. 

Quelqu'un pourrait m'expliquer, à moins que la réponse est dans le sujet, mais je n'y ai rien compris. 

Il faut une primo infection, par exemple que tu aies branché la clé USB infectée d'un copain, qui aura infecté ta machine. Ensuite, le virus se répliquera sur toute clé montée puis sur tout PC banché à ces clés...

[Marco-Polo]

C'est ultra courant sur windows. Et c'ets du à un petit fichier autorun.inf. Quand l'exécution automatique est activée dès que tu branches un périphérique windows va chercher ce fichier et exécute le programme indiqué, avec les droits de l'utilisateur c'est qu'est le danger. L'utilisateur n'a rien eu a faire ou à valider.

Au final si tu mets ta clef dans un ordi infecté, il va se répliquer sur la clef et créer un autorun.inf qui le lancera et permettra d'infecter chaque pc dans lesquels tu mettra ta clefs.

La meilleur parade c'est de désactiver l'exécution automatique qui de toutes façon est plus chiante qu'autre chose.

Edit ces virus ne sont pas a prendre à la légère surtout pour des utilisateurs qui n'y connaisse rien, ou au travail quand on a n'a pas le contrôle complet de sont ordi. Ça se répand comme une trainé de poudre.

Ce message a été modifié par Marco-Polo - 20 Jul 2010, 07:31.

[NicoNeo]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll".

Faux Lionel, c'est simplement que plusieurs fois tu as dis qu'il y a des virus sous Mac en parlant ensuite de tel ou tel développeur d'anti-virus qui sont censés les éradiquer. Tu as aussi parlé de virus quand il s'agissait de Trojan.
J'ai des clients qui paniqués installent des suites anti-virus qui ensuite ralentissent leur machine en passant leur temps à scanner tout et n'importe quoi.

Un jour que j'espère le plus lointain possible, il est possible que comme sous windows nous soyons aussi touchés par ce fléau, mais ce n'est pour le moment absolument pas le cas. Nous avons le privilège d'une angoisse en moins, profitons-en !

Dire qu'il y a des virus sous Windows, tout le monde en est conscient...

[ironseb]

Avec un bon anti-virus à jour il n'y a pas de raison qu'il aille bien loin mais si ce n'est pas le cas…

[kromozom]

Ce n'est pas à proprement parler d'un virus mais l'exploitation d'une faille 0Day.
http://master.pcinpact.com/actu/news/58341...nes-realtek.htm
Il s'agit d'un rootkit et celui-ci touche toutes les versions de Windows depuis xp.
Et arrêtons les idées reçu, un AV ne fera pas grand chose vu que c'est au départ une faille de l'OS, la réponse dans un premier temps doit obligatoirement passer par un correctif de sécurité.
Je pense qu'une petite modif de la news serai bienvenue.

Ce message a été modifié par kromozom - 20 Jul 2010, 08:02.

[Ambuletz]

Mais que fait Roselyne Bachelot ??

[ironseb]

Mais que fait Roselyne Bachelot ??

Elle est larguée. Elle s'est même faite griller par Rama hier pour la parade derrière Voekler…

[ricchy]

 

Il faut une primo infection, par exemple que tu aies branché la clé USB infectée d'un copain, qui aura infecté ta machine. Ensuite, le virus se répliquera sur toute clé montée puis sur tout PC banché à ces clés...

Merci de ta réponse Lionel. 

[TomCom]

Personnellement, j'ai Avast et Windows Defender sur mon Hackintosh, et en deux ans de navigation j'ai rencontré une seule alerte de virus, mais ça ne me viendrait pas à l'idée de stocker mon numéro de carte bleue sous Windows.

[gedsismik]

sur nos OS ( MAC, LINUX ou PC )

PC n'est pas un OS. Je tiens à rappeler que PC != Windows. D'ailleurs, pour Mac, il faudrait mieux dire Mac OS X (surtout si on considère que les macintel sont des PC).

[goum]

C'est ultra courant sur windows. Et c'ets du à un petit fichier autorun.inf. Quand l'exécution automatique est activée dès que tu branches un périphérique windows va chercher ce fichier et exécute le programme indiqué, avec les droits de l'utilisateur c'est qu'est le danger. L'utilisateur n'a rien eu a faire ou à valider.

Au final si tu mets ta clef dans un ordi infecté, il va se répliquer sur la clef et créer un autorun.inf qui le lancera et permettra d'infecter chaque pc dans lesquels tu mettra ta clefs.

La meilleur parade c'est de désactiver l'exécution automatique qui de toutes façon est plus chiante qu'autre chose.

Edit ces virus ne sont pas a prendre à la légère surtout pour des utilisateurs qui n'y connaisse rien, ou au travail quand on a n'a pas le contrôle complet de sont ordi. Ça se répand comme une trainé de poudre.

De ce cas précis, même en désactivant l'autorun tu te fais infecté... Il suffit juste d'aller sur la clé avec l'explorer pour être infecté.
http://www.anti-virus.by/en/tempo.shtml

[jeriqo]

Mon collègue de travail a des virus sur ses clés USB depuis quelques années maintenant.. c'est pas vraiment nouveau dans le monde windows.

[scoch]

De ce cas précis, même en désactivant l'autorun tu te fais infecté... Il suffit juste d'aller sur la clé avec l'explorer pour être infecté.
http://www.anti-virus.by/en/tempo.shtml

Génial !
Étant donné que le quidam n'ira évidemment pas télécharger un removal pour virer d'entrée le soft installé par défaut sur la clef et pouvoir ainsi bénéficier de la capacité inscrite sur l'emballage... des veaux.

[djdoxy]

Je suis peut etre un peu hors sujet, mais j'en profite pour faire une remarque.
J'ai constaté truc en installant la nouvelle mise à jour iTunes, c'est qu'il demande le mot de passe administrateur.
Il y a surement une bonne raison à cela, mais quand vous voyez qu'iTunes, "un programme pour lire la musique", demande le mot de passe, comment voulez vous qu'ensuite les utilisateurs lambda (=non geeks) se posent la moindre question lorsqu'un programme leur demande leur mot de passe ?

A chaque fois qu'un trojan est repéré sur OSX, la plupart des réactions sont du genre "le point faible est entre la chaise et le clavier" ou "faut réfléchir avant de saisir son mdp", etc...

Le réactions me semblent souvent légèrement arrogantes, mais beaucoup semblent ignorer que certains utilisateurs de mac ne sont pas des informaticiens, et qu'ils sont impossible à "éduquer" d'un point de vue sécurité.
Pourquoi est ce je devrais donner mon mot de passer à iTunes (qui à priori n'a pas de raison de me le demander) et pas à la version (pirate) d'iwork qui avait fait tant de bruit ?

Mon exemple est faussé (c'est un soft pirate, donc si on a des emmerdes on l'a bien cherché) mais il y a quelques années, il y avait eu une histoire avec un codec qu'il fallait installer pour lire des vidéos sur un site porno (donc rien d'illegal la dedans) qui installait un trojan.

Le puritains vont dire que le porno c'est mal et que c'est bien fait, alors qu'ils imaginent la même chose sur un faux youtube (genre www.yootube.com par exemple) qui demanderai à installer le même codec pour "bénéficier de la HD" et qui arrosent les gens de spam "Hey, trop drole cette video"

Mélange de fishing (spam vers un faux site) et de trojan habilement deguisé... cela ferait probablement un carnage chez beaucoup de monde!

[mikatiger]

PC n'est pas un OS. Je tiens à rappeler que PC != Windows. D'ailleurs, pour Mac, il faudrait mieux dire Mac OS X (surtout si on considère que les macintel sont des PC).

Linux n'est pas un OS non plus

[kromozom]

So you just have to open infected USB storage device using Microsoft Explorer or any other file manager which can display icons (for i.e. Total Commander) to infect your Operating System and allow execution of the malware.
Malware installs two drivers: mrxnet.sys and mrxcls.sys. They are used to inject code into systems processes and hide malware itself. That's the reason why you can't see malware files on the infected USB storage device. Note that both drivers are signed with digital signature of Realtek Semiconductor Corp.

Besoin d'une trad ?
D'autant plus que le rootkit est tout aussi actif que ce soit via un partage réseau ou WEBDAV. De plus je rajoute que le rootkit en question n'a absolument pas besoin de privilèges admin pour s'exécuter, certes il ne serai fonctionnel que sur le profil user mais s'exécutera tout de même et potentiellement se transmettre.

Ce message a été modifié par kromozom - 20 Jul 2010, 09:50.

[Shepherd]

Même MacBidouille parle de virus quand ce n'en est pas un.

Le mot générique menace est celui qu'il convient d'employer. Et si nous parlons bien de la même menace, elle est ici combinée : ver et rootkit.
Sans omettre que "la souche à visiblement déjà fait des petits" que l'on nomme : variantes.

Ce message a été modifié par Shepherd - 20 Jul 2010, 10:37.

[Marco-Polo]

De ce cas précis, même en désactivant l'autorun tu te fais infecté... Il suffit juste d'aller sur la clé avec l'explorer pour être infecté.
http://www.anti-virus.by/en/tempo.shtml

Je comprend mieux l'intérêt de la news, c'est vraiment pernicieux comme menace. J'suis heureux d'être sous mac et ne pas intéresser les créateurs de ces merveilles pour le moment.

[Lionel]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll".

Faux Lionel, c'est simplement que plusieurs fois tu as dis qu'il y a des virus sous Mac en parlant ensuite de tel ou tel développeur d'anti-virus qui sont censés les éradiquer. Tu as aussi parlé de virus quand il s'agissait de Trojan.
J'ai des clients qui paniqués installent des suites anti-virus qui ensuite ralentissent leur machine en passant leur temps à scanner tout et n'importe quoi.

Un jour que j'espère le plus lointain possible, il est possible que comme sous windows nous soyons aussi touchés par ce fléau, mais ce n'est pour le moment absolument pas le cas. Nous avons le privilège d'une angoisse en moins, profitons-en !

Dire qu'il y a des virus sous Windows, tout le monde en est conscient...

A croire que tu es un virusophage en plus d'être integophobe. Tu t'est réveillé pour rien ce coup-ci, il n'y a rien à manger. Mais bon, ce qu'il y a de pratique, c'est qu'on peut prévoir avec une probabilité de 99% les moments où tu posteras.

[zed_bill]

Génial !
Étant donné que le quidam n'ira évidemment pas télécharger un removal pour virer d'entrée le soft installé par défaut sur la clef et pouvoir ainsi bénéficier de la capacité inscrite sur l'emballage... des veaux.

Le quidam à surement un antivirus à jour qui fait son travail.

[Zekje]

De ce cas précis, même en désactivant l'autorun tu te fais infecté... Il suffit juste d'aller sur la clé avec l'explorer pour être infecté.
http://www.anti-virus.by/en/tempo.shtml

Je comprend mieux l'intérêt de la news, c'est vraiment pernicieux comme menace. J'suis heureux d'être sous mac et ne pas intéresser les créateurs de ces merveilles pour le moment.

pour le moment .....

car avec moins de 10% de machines, le parc installé n est pas utilisable en botnet , ou ne rapporte pas assez en mails, retoure de password, ect
mais le jour ou un createur de virus s interessera serieusement a la plateforme, vu que le credeau est " il n y a pas de virus sur mac" , il y a donc peu d antivirus antispyware antimalware tuperware ... a non ca c est autre chose ...

[goum]

Je suis peut etre un peu hors sujet, mais j'en profite pour faire une remarque.
J'ai constaté truc en installant la nouvelle mise à jour iTunes, c'est qu'il demande le mot de passe administrateur.
Il y a surement une bonne raison à cela, mais quand vous voyez qu'iTunes, "un programme pour lire la musique", demande le mot de passe, comment voulez vous qu'ensuite les utilisateurs lambda (=non geeks) se posent la moindre question lorsqu'un programme leur demande leur mot de passe ?

A chaque fois qu'un trojan est repéré sur OSX, la plupart des réactions sont du genre "le point faible est entre la chaise et le clavier" ou "faut réfléchir avant de saisir son mdp", etc...

Le réactions me semblent souvent légèrement arrogantes, mais beaucoup semblent ignorer que certains utilisateurs de mac ne sont pas des informaticiens, et qu'ils sont impossible à "éduquer" d'un point de vue sécurité.
Pourquoi est ce je devrais donner mon mot de passer à iTunes (qui à priori n'a pas de raison de me le demander) et pas à la version (pirate) d'iwork qui avait fait tant de bruit ?

Mon exemple est faussé (c'est un soft pirate, donc si on a des emmerdes on l'a bien cherché) mais il y a quelques années, il y avait eu une histoire avec un codec qu'il fallait installer pour lire des vidéos sur un site porno (donc rien d'illegal la dedans) qui installait un trojan.

Le puritains vont dire que le porno c'est mal et que c'est bien fait, alors qu'ils imaginent la même chose sur un faux youtube (genre www.yootube.com par exemple) qui demanderai à installer le même codec pour "bénéficier de la HD" et qui arrosent les gens de spam "Hey, trop drole cette video"

Mélange de fishing (spam vers un faux site) et de trojan habilement deguisé... cela ferait probablement un carnage chez beaucoup de monde!

Je te rejoins sur ce point. Beaucoup trop de softs demandent le mdp alors que ce n'est pas nécessaire. Ca ne concerne pas à mon avis que les utilisateurs lambda, je crois que tout le monde peut tomber dans le panneau. Je ne retrouve pas la news, mais Sartmatt avait longuement détaillé ce point.

[Lionel]

Même MacBidouille parle de virus quand ce n'en est pas un.

Le mot générique menace est celui qu'il convient d'employer. Et si nous parlons bien de la même menace, elle est ici combinée : ver et rootkit.
Sans omettre que "la souche à visiblement déjà fait des petits" que l'on nomme : variantes.

Merci pour ce cours de sémantique virale.

[Shepherd]

Même MacBidouille parle de virus quand ce n'en est pas un.

Le mot générique menace est celui qu'il convient d'employer. Et si nous parlons bien de la même menace, elle est ici combinée : ver et rootkit.
Sans omettre que "la souche à visiblement déjà fait des petits" que l'on nomme : variantes.

Merci pour ce cours de sémantique virale.

Désolée Lionel, j'ai manqué de délicatesse dans la tournure de mon message et vous prie de bien vouloir m'en excuser. Mais ayant travaillé de longues années pour un éditeur de produits de sécurité, je suis consternée par la sempiternelle vision des Mac users au sujet des menaces informatiques, qui se résume à tout mettre sous le mot "virus".
Vous faites, via MacBidouille, partie des sources d'information susceptibles de faire évoluer cette perception erronée.

Bien cordialement ,

[Lionel]

Marrant ça, tu as interprété de manière négative une phrase absolument neutre

[Shepherd]

Marrant ça, tu as interprété de manière négative une phrase absolument neutre

J'ai réalisé trop tard que j'avais manqué de tact. Je ne partage simplement pas l'opinion de l'agent de la série NCIS qui se tue à dire que "s'excuser est une preuve de faiblesse" .

PS : finalement si, s'excuser (soi-même) est une faiblesse, prier l'autre de bien vouloir excuser n'en est pas une.

Ce message a été modifié par Shepherd - 20 Jul 2010, 12:21.

[almux]

Avec un bon anti-virus à jour il n'y a pas de raison qu'il aille bien loin mais si ce n'est pas le cas…

...En tenant compte du fait qu'un anti-virus "à jour" a toujours du retard sur le dernier virus "du jour"...

[zed_bill]

...En tenant compte du fait qu'un anti-virus "à jour" a toujours du retard sur le dernier virus "du jour"...

Oui, mais la plupart du temps le délai de propagation n'est pas aussi rapide qu'on pourrait le penser, les éditeurs ont donc le temps de proposer les mise à jours qui vont bien.
Ce qui peut éventuellement jouer c'est la qualité des AV et donc de la vitesse de proposition des nouvelles signatures. Dans l'ensemble rares sont ceux qui font mal leur boulot, même parmi les gratuits.

[Ambuletz]

Un anti virus trop à jour ça peut être fatal aussi, on en a fait les frais dernièrement avec Mc Afee là où je bosse.

[debians]

Avec un bon anti-virus à jour il n'y a pas de raison qu'il aille bien loin mais si ce n'est pas le cas…

...En tenant compte du fait qu'un anti-virus "à jour" a toujours du retard sur le dernier virus "du jour"...

Pour un virus qui va se propager (avec de la chance) via des clés USB, t'inquiète, il y a juste 100 fois le temps...

[iJOJO]

Il est très difficile pour un site Mac de parler de failles ou de virus sous Windows sans être considéré comme un "Troll". Pourtant, nous considérons qu'il est important de relater ces informations non seulement parce qu'elles concernent une bonne partie de la population, mais aussi parce que les mécanismes d'infection pourraient demain être d'une manière plus ou moins proche transposées sous OS X.


Pour en revenir à ce virus, il se propage de PC en PC sous Windows 7 lorsque ces derniers autorisent le lancement automatique de certains fichiers depuis une clé USB ou un disque montés. Pour infecter les machines, ce virus va installer sur la machine cible deux pilotes qui n'attirent pas l'attention des protections du système parce qu'ils sont cachés derrière une signature numérique de pilotes valides visiblement usurpée à Realtek. Ils ont donc l'apparence de fichiers anodins.
Une fois de plus, ce virus vise les informations personnelles comme des identifiants ou mots de passe ou encore des numéros de cartes bancaires. 


Pour sa propagation, comme vous l'aurez compris, elle se fera de clés ou disques en machine et ainsi de suite.
Par Lionel

Lionel bizarrement sous d'autre site, on parle de rootkit....

source pcinpact

Une nouvelle faille de type 0-day, donc déjà exploitée au moment où elle est révélée, touche actuellement Windows. Cette brèche est doublement « intéressante », non seulement par ses détails techniques, mais aussi par son exploitation.

La faille de sécurité est considérée comme critique et touche les raccourcis, ou plus exactement la manière dont Windows XP se charge d’afficher les éléments graphiques pour ces raccourcis, via Shell32.dll. Le problème atteint sa plus grande dangerosité avec les clés USB quand l’exécution automatique est activée. Si un fichier lnk (« Link », raccourci) a été spécialement créé pour tirer profit de la faille, la machine va se retrouver infectée.

Malheureusement, désactiver l’exécution automatique ne permet pas de diminuer significativement les risques, car il suffit que le raccourci soit passé en revue par Windows. Dès lors, la faille est exploitable sans la participation de l'utilisateur : aucun mécanisme de sécurité ne peut empêcher le malware qui l'exploite de fonctionner. Et pour cause : il s’agit d’un rootkit qui présente la particularité d’installer deux pilotes signés, mrxnet.sys et mrxcls.sys, dont la mission est entre autres de masquer le rootkit. En clair : si l'utilisateur ouvre un dossier dans lequel se trouve un raccourci spécialement conçu, la brèche est exploitable.

La clé de signature, découverte par VirusBlokAda et analysée actuellement par Sophos, appartient à la société RealTek, celle-là même qui produit des puces pour un très grand nombre de produits. Cela signifie, au mieux, que cette clé a été « volée » d’une manière ou d’une autre, et que son usage a été fortement détourné.

Ce message a été modifié par iJOJO - 20 Jul 2010, 13:58.

[azulseco]

Je ne partage simplement pas l'opinion de l'agent de la série NCIS qui se tue à dire que "s'excuser est une preuve de faiblesse" .

Bonjour,

Si je peux me permettre un H.S., c'est John Wayne (à ma connaissance) qui a commencé ce genre de tirade dans "La Charge Héroïque".
Fin du H.S.

La description de la chose ressemble plus à un trojan (ou un malware) qu'à un virus, et alors, quid de l'antivirus ?
Ou alors, je n'ai rien compris.
Pour moi, un virus est un programme qui se fait plaisir en bousillant ton ordi, un trojan est un logiciel espion qui cherche à te piquer tes données perso pour en faire un usage peu recommandable (sans mettre en cause le vocabulaire évoqué par Shepherd), ce que semble vouloir faire le bidule en question.

[marc_os]

C'est quoi un virus ?

Il me semblait jusqu'à présent que c'était un logiciel malveillant qui se propage "tout seul".
C'est pas ça ?

[iJOJO]

C'est quoi un virus ?

Il me semblait jusqu'à présent que c'était un logiciel malveillant qui se propage "tout seul".
C'est pas ça ?

lis mon précèdent post

[Shepherd]

Je ne partage simplement pas l'opinion de l'agent de la série NCIS qui se tue à dire que "s'excuser est une preuve de faiblesse" .

Bonjour,

Si je peux me permettre un H.S., c'est John Wayne (à ma connaissance) qui a commencé ce genre de tirade dans "La Charge Héroïque".
Fin du H.S.

La description de la chose ressemble plus à un trojan (ou un malware) qu'à un virus, et alors, quid de l'antivirus ?
Ou alors, je n'ai rien compris.
Pour moi, un virus est un programme qui se fait plaisir en bousillant ton ordi, un trojan est un logiciel espion qui cherche à te piquer tes données perso pour en faire un usage peu recommandable (sans mettre en cause le vocabulaire évoqué par Shepherd), ce que semble vouloir faire le bidule en question.

De nos jours, n'est-ce pas plutôt l'agent du NCIS que les ados écoutent (hélas) dire que "s'excuser est une preuve de faiblesse" ? .

Quant à la terminologie, l'utilisation du mot générique menace est bien arrangeante. En effet, bien souvent, plusieurs catégories de programmes malveillants sont utilisés pour mener à bien une même attaque.
Dans le cas abordé ici, selon le site d'ESET, il s'agit d'une combinaison ver & rootkit.

Cordialement,

[Shepherd]

Pour ceux qui seraient intéressés, je viens de télécharger le guide utilisateur de ESET Smart Security, sachant qu'il comprend un glossaire plutôt bien fait. ESET, prêchant pour la sensibilisation des utilisateurs, ne m'en voudra pas de poster quelques explications extraites dudit manuel :

Virus
Un virus est une infiltration qui endommage les fichiers existants de votre ordinateur. Les virus informatiques sont comparables aux virus biologiques, parce qu’ils utilisent des techniques similaires pour se propager d’un ordinateur à l’autre. Les virus informatiques attaquent principalement les fichiers et documents exécutables. Pour proliférer, un virus attache son « corps »
à la fin d’un fichier cible. En bref, un virus informatique fonctionne comme ceci : après exécution du fichier infecté, le virus s’active lui-même (avant l’application originale) et exécute sa tâche prédéfinie. C’est après seulement que l’application originale peut s’exécuter.
Un virus ne peut pas infecter un ordinateur à moins qu’un utilisateur exécute ou ouvre lui-même (accidentellement ou délibérément)
le programme malveillant.
L’activité et la sévérité des virus varient. Certains sont extrêmement dangereux parce qu’ils ont la capacité de supprimer délibérément des fichiers du disque dur. D’autres en revanche ne causent pas de réels dommages : ils ne servent qu’à ennuyer l’utilisateur et à démontrer les compétences techniques de leurs auteurs.
Il est important de noter que les virus sont (par rapport aux chevaux de Troie et aux logiciels espions) de plus en plus rares, parce qu’ils ne sont pas commercialement très attrayants pour les auteurs de programmes malveillants. En outre, le terme « virus » est souvent utilisé mal à propos pour couvrir tout type d’infiltrations. On tend aujourd’hui à le remplacer progressivement par le terme « logiciel malveillant » ou « malware » en anglais.
Si votre ordinateur est infecté par un virus, il est nécessaire de restaurer les fichiers infectés à leur état original, c’est-à-dire de les nettoyer à l’aide d’un programme anti-virus.
Dans la catégorie des virus, on peut citer : OneHalf, Tenga et Yankee Doodle.

Chevaux de Troie
Dans le passé, les chevaux de Troie ont été définis comme une catégorie d’infiltrations dont la particularité est de se présenter comme des programmes utiles pour duper ensuite les utilisateurs qui acceptent de les exécuter. Il est cependant important de remarquer que cette définition s’applique aux anciens chevaux de Troie. Aujourd’hui, il ne leur est plus utile de se déguiser. Leur unique objectif est de trouver la manière la plus facile de s’infiltrer pour accomplir leurs desseins malveillants. « Cheval de Troie » est donc devenu un terme très général qui décrit toute infiltration qui n’entre pas dans une catégorie spécifique.
La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories. Les plus connues sont :
• downloader : programme malveillant qui est en mesure de télécharger d’autres infiltrations sur l’Internet.
• dropper : type de cheval de Troie conçu pour déposer d’autres types de logiciels malveillants sur des ordinateurs infectés.
• backdoor : application qui communique à distance avec les pirates et leur permet d’accéder à un système et d’en prendre le contrôle.
• keylogger (keystroke logger) : programme qui enregistre chaque touche sur laquelle tape l’utilisateur avant d’envoyer les informations aux pirates.
• dialer : programme destiné à se connecter aux numéros à revenus partagés. Il est presque impossible qu’un utilisateur remarque qu’une nouvelle connexion a été créée. Les dialers ne peuvent porter préjudice qu’aux utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés.
Les chevaux de Troie prennent généralement la forme de fichiers exécutables avec l’extension .exe. Si un fichier est identifié comme cheval de Troie sur votre ordinateur, il est recommandé de le supprimer car il contient sans doute du code malveillant.
Parmi les chevaux de Troie les plus connus, on peut citer : NetBus, Trojandownloader.Small.ZL, Slapper

Rootkits
Les rootkits sont des programmes malveillants qui procurent aux pirates un accès illimité à un système tout en dissimulant leur présence.
Après avoir accédé au système (généralement en exploitant une faille), les rootkits utilisent des fonctions du système d’exploitation pour se protéger des logiciels antivirus : ils dissimulent des processus, des fichiers et des données de la base de registre Windows. Pour cette raison, il est presque impossible de les détecter à l’aide des techniques de test ordinaires.
Souvenez-vous donc que pour se protéger des rootkits, il existe deux niveaux de détection :
1. Lorsqu’ils essaient d’accéder au système. Ils ne sont pas encore installés et donc inactifs. La plupart des antivirus sont en mesure d’éliminer les rootkits à ce niveau (en supposant qu’ils détectent effectivement les fichiers comme infectés).
2. Lorsqu’ils sont inaccessibles aux tests habituels. Les utilisateurs du système anti-virus ESET bénéficient de la technologie Anti-Stealth qui permet de détecter et d’éliminer les rootkits en activité.

J'espère ne pas me faire disputer par le modérateur pour cause de message trop long .

[Shepherd]

...En tenant compte du fait qu'un anti-virus "à jour" a toujours du retard sur le dernier virus "du jour"...

Oui, mais la plupart du temps le délai de propagation n'est pas aussi rapide qu'on pourrait le penser, les éditeurs ont donc le temps de proposer les mise à jours qui vont bien.
Ce qui peut éventuellement jouer c'est la qualité des AV et donc de la vitesse de proposition des nouvelles signatures. Dans l'ensemble rares sont ceux qui font mal leur boulot, même parmi les gratuits.

Vrai et faux.
Les techniques d'analyse heuristique permettent de détecter un pourcentage non négligeable de nouveaux programmes malveillants (encore inconnus). Le pourcentage varie d'un éditeur à l'autre.

En bref (sous Windows), la détection s'effectue de 3 manières (ces méthodes sont généralement combinées) :
- via signature standard (menaces connues),
- via signature générique/génétique (basée sur l'heuristique et permettant de détecter les nvelles variantes de menaces connues),
- via l'analyse heuristique "pure" (pour simplifier : analyse du comportement du code dans un environnement virtuel sécurisé).

En fonction du type d'attaque et de son vecteur, elle peut se propager TRES rapidement . L'heuristique a justement été mise au point pour réduire autant que possible la fenêtre de vulnérabilité entre l'émergence de l'attaque et la publication de son antidote.

[DefKing]

Mais que fait Roselyne Bachelot ??

Il paraît qu'il y a maintenant une pommade anti-sida*.

Ça ne pourrait pas s'appliquer aux virus informatiques ?

* J'espère que ça va être efficace.

Ce message a été modifié par DefKing - 20 Jul 2010, 17:15.

[marc_os]

[...]
Virus
[...]
Un virus ne peut pas infecter un ordinateur à moins qu’un utilisateur exécute ou ouvre lui-même (accidentellement ou délibérément)
[...]

C'est quoi un virus ?

Il me semblait jusqu'à présent que c'était un logiciel malveillant qui se propage "tout seul".
C'est pas ça ?

lis mon précèdent post

Lire plutôt ça :

In a stricter sense 'virus' applies only to self-replicating malware, and even more specifically only to code which infects other files on the local system

Ce message a été modifié par marc_os - 21 Jul 2010, 00:19.

[ailef]

à part les antivirus qui se basent sur des signatures pour détécter les éventuels malwares, donc ils ne peuvent détécter que ce qu'ils connaissent après mise à jour (il faut savoir que les analyse heuristiques entrainent beaucoup de faux positifs, donc au final on sait plus si on est face à un malware ou non),
donc à part les antivirus qui sont des logiciels de détéction, il y'a aussi des logiciels de prévention qui fonctionnent sans aucun besoin de signatures ou de mises à jour,
exemple : Defense+ de comodo qui est un HIPS (host-based intrusion prevention system), il va analyser ce que le fichier inconnu essaye de faire et le bloque dès le départ en vous indiquant par une alerte quelle première action il tente de lancer sur le système, selon les infos, c'est à vous de décider d'autoriser cette action pour voir la prochaine action que voudra lancer le fichier sur le système, si à un moment une alerte vous semble avoir typiquement un comportement malicieux, vous bloquez le processus et il ne peut pas être chargé en mémoire donc vous êtes protégés bien que votre antivirus ne soit pas capable de le détécter.
il y'a aussi la sandbox, elle va executer le fichier dans un milieu virtuel qui n'aura aucun incidence sur le système, ça vous permet de voir ce qui se passe virtuellement et une fois l'operation dans la sandbox terminée, hop on efface tout et on en parle plus.