Les virus informatiques

Une page récapitulative des virus et menaces informatiques proposant quelques définitions, historiques des menaces informatiques notamment depuis leurs professionnalisations, comment ces derniers sont distribués et comment s’en protéger.

De nos jours, par le mot virus on désigne toutes formes de menaces informatiques quel que ce soit le type ou la famille. Le mot Trojan a aussi subit le même abus de langage et vise maintenant un peu tout et n’importe quel logiciel malveillant (malware).

virus-informatique

Continue reading « Les virus informatiques »

Windows 7 plantage explorer.exe sur un clic droit

Quelques sujets de problèmes de clic droit sur Windows 7, où explorer.exe crash/plante.
http://www.commentcamarche.net/forum/affich-33611491-windows-a-cesser-de-fonctionne#p33642607
http://www.commentcamarche.net/forum/affich-33637049-explorateur-windows-a-cesse-de-fonctionner#7
http://www.commentcamarche.net/forum/affich-33637155-plantage-windows-explorer-lors-du-copier-coller#11
Cela fait suite à la mise à jour et installation du KB3123862 et la présence de MyWinlocker sur l’ordinateur.
Celui-ci fait planter explorer.exe

Error: (06/19/2016 11:08:36 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante Explorer.EXE, version : 6.1.7601.19135, horodatage : 0x56a1bbe2
Nom du module défaillant : psdprotect.dll, version : 3.1.206.0, horodatage : 0x4b664312
Code d’exception : 0xc0000005
Décalage d’erreur : 0x00000000000012db
ID du processus défaillant : 0xa6c
Heure de début de l’application défaillante : 0xExplorer.EXE0
Chemin d’accès de l’application défaillante : Explorer.EXE1
Chemin d’accès du module défaillant: Explorer.EXE2
ID de rapport : Explorer.EXE3

Si vous rencontrez ce problème et si vous n’utilisez pas MyWinlocker.
Vous pouvez désinstaller ce dernier depuis le Panneau de configuration et Programmes et fonctionnalités.
> Désinstaller des programmes sur Windows

ou Désinstaller le KB3123862 : Comment Désinstaller une mise à jour sur Windows Update

il est aussi recommandé de Bloquer le téléchargement automatique de Windows 10 – notamment désactivée l’installation des mises à jour recommandées et positionnez DisableOSUpgrade à 1 comme indique dans le tutoriel pour bloquer la mise à niveau Windows 10.

Ecran noir sur vidéo (Youtube,Netflix etc)

Un petite FAQ rapide pour les problèmes d’écran noir Youtube (ou autre sites).
Un commentaire aussi pour ceux qui font désinstaller/réinstaller Adobe Flash et compagnie.
Par exemple Youtube ou Netflix n’utilise plus Flash depuis un moment (contrairement à Dailymotion), les vidéos étant délivrées en HTML5, voir cette page pour voir les différences:  Adobe Flash Player : Problèmes courants

En général, lorsque vous avez des problèmes d’écran noir sur Youtube, cela provient d’un problème sur l’accélération 3D du navigateur WEB.
Exemple avec cette résolution rapide sur commentcamarche.net : Plein écran Noir
Ces derniers et notamment sur Firefox ont déjà posés des problèmes d’affichage général sur Windows : Problème Affichage suite Mise à jour Windows (?)

Continue reading « Ecran noir sur vidéo (Youtube,Netflix etc) »

Trojan MSIL

Les Trojans MSIL sont des Trojans écrit en langage Microsoft intermediate language (MSIL).
Certains antivirus ont tendance à utiliser des nomenclatures, bien souvent en préfixe, le nom du langage avec lequel le programme malicieux a été écrit.
On peut donc rencontré des détections du type :

  • Trojan.VB pour des Trojans écrits en Visual Basic
  • Trojan.Delphi pour des Trojans écrit en Borland Delphi.
  • Trojan.JS pour des Trojans en JavaScript (voir Scripts malicieux : JavaScript, VBS, PowerShell, Macros)
  • Trojan.VBS ou Worm.VBS pour des malwares écrits en VBScript (diminutif de Microsoft Visual Basic Scripting Edition)

D’autres exemples sur la page : Index des menaces et programmes malveillants/Malwares

En général, il s’agit les Trojan.MSIL sont peu évolués ou semi-professionnels en comparaison des Trojans comme Dridex, Trojan Banker etc – ces derniers étant plutôt écrit en C ou ASM.

Continue reading « Trojan MSIL »

Comment arrêter un programme en cours d’exécution

Pour arrêter l’exécution de programmes (ou processus en terme informatique) sur Windows, lorsque ces derniers ne répondent plus ou si vous avez des difficultés pour cliquer sur la croix.
Vous pouvez forcer la fermeture grâce au Gestionnaire de tâches.
Le gestionnaire de tâches est une application native de Windows qui permet de gérer les programmes en cours d’exécution, comme les lister et les arrêter.

gestionnaire_taches_Windows7_tous_les_processus

Continue reading « Comment arrêter un programme en cours d’exécution »

Ransomware JavaScript

javascript_logoUne page concernant les ransomwares sous la forme script de JavaScript.
(Pour rappel JavaScript n’a rien à voir avec Java d’Oracle, il s’agit d’un langage de script utilisé notamment dans le rendu des pages WEB)

Windows permet l’exécution de fichier JavaScript (et autres scripts type VBS et aussi plus récemment script PowerShell).
Ces scripts sont gérés par Windows Scripting Host.
Les campagnes de malwares tirent partie de ces fonctionnalités pour envoyer des campagnes d’emails avec des pièces jointes en zip renfermant des scripts JavaScript ou VBS qui permettent l’infection des ordinateurs.
Ils existent aussi des infections amovibles en VBS.

Voici les dossiers relatives aux ransomwares et Malware Windows Scripting Host

et les JavaScript utilisés dans des campagne de Virus par Email : Email malicieux – Ransomware Locky

Continue reading « Ransomware JavaScript »

Bloquer l’exécution de programmes

Dans cette entrée, nous verrons comment bloquer l’exécution de programmes soit à travers quelques astuces Windows, soit en utilisant des logiciels (souvent payants).
Pour les administrateurs réseaux, il y a bien entendu les GPO et AppLocker, je m’étalerai pas sur ces aspects, je pense pas que ce soit nécessaire.
Ici l’idée est plutôt de donner quelques pistes, pour « monsieur tout le monde » pour bloquer l’exécution de programmes sur son ordinateur maison.

Une solution, si vous avez des enfants consiste à installer un Contrôle Parental et à donner à vos enfants une session limité.
Aucun malware au niveau système ne pourra s’installer.
Microsoft fournit un contrôle Parental assez complet, se reporter à la page : Tutorial Contrôle Parental Windows
C’est d’ailleurs la solution que je recommande puisque celle-ci dessous permet sont faillibles.

Sommaire

  1. Blocage des programmes par le registre Windows
  2. Program Blocker (thewindowsclub.com)
  3. Autres programmes en vrac
  4. Bloquer l’exécution de programmes depuis des dossiers spécifiques
    1. Par les ACL (permissions sur les fichiers)
    2. Folder Guard
  5. Liens connexes

Continue reading « Bloquer l’exécution de programmes »

Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware

Les campagnes de malvertising continuent, pendant que celle visant à pousser le ransomware Cerber persistent : Malvertising Uptobox poussant Cerber
Pour rappel, le but ici est de proposer des publicités qui ont pour but de rediriger les internautes vers des Web Exploit afin d’infecter les ordinateurs.
En l’occurence ici, il s’agit de Nuclear Exploit Kit (Nuclear EK) alors que la campagne Cerber utilise le Magnitude Exploit Kit

J’avais déjà fait une capture d’écran au 26 Avril, soit donc il y a plus d’un mois : http://forum.malekal.com/nuclear-exploit-kit-t55005.html#p419254
Certainement que ces campagnes tournent depuis bien avant.

Le réseau publicitaire TrafficHolder (surement d’autres) est aussi touché, ce dernier est régulièrement touché par des malvertising depuis plusieurs années.
Notamment du temps des grandes campagnes de malvertising visant à pousser le virus Gendarmerie.
Il s’agit d’une régie publicitaire active sur les sites pour adultes, streaming illégaux et torrent.

Continue reading « Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware »

McAfee LiveSafe

En regardant un peu les dernières nouveautés du côté des PUPs/Adwares, j’ai chargé un installeur de la plateforme InstallCore.
Rapidement, si vous ne souhaitez pas cliquer sur le lien que j’ai donné qui résume bien ce qu’est InstallCore, il s’agit d’une plateforme de programmes indésirables qui :

  • propose un Browser Hijacker pour forcer Yahoo! et Bing, parfois sous la forme de Chromium
  • Un adware comme PriceFoutain

InstallCore est donc proposé par les moteurs de recherche Bing et Yahoo!, il est donc toléré, certainement car il permet justement de « forcer » ces derniers, voir la page : PUPs/Adwares : guerre des moteurs de recherche
Enfin InstallCore est aussi assez actif pour obtenir des accords avec des sites de téléchargement connu, par le passé 01net ou ClubIC ou des sites comme opensubtitles.org
Enfin une version est aussi proposée par de fausse mises à jour Flash et Java.

Continue reading « McAfee LiveSafe »

Trojan via mail Chronopost et malware utilisant Teamviewer

Vu sur le site commentcamarche.net – un utilisateur qui a reçu un mail malicieus se faisant passer pour Chronopost.
Le lien mène à http://accord-global.eu/inputLTNumbers90041N90041oJahia.do
avec un exécutable au bout…

SHA256: 37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a
File name: Tracking+paket+-+Suivi+Votre+colis.exe
Detection ratio: 4 / 56
Analysis date: 2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago )
Antivirus Result Update
Avira (no cloud) TR/Dropper.yfzs 20160607
Kaspersky UDS:DangerousObject.Multi.Generic 20160607
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160607
Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160607

Le faux Mail Chronopost provenant de l’adresse ne-pas-repondre@chronopost.fr intitulé « Chronopost International ».

faux_mail_chronopost_malware

Continue reading « Trojan via mail Chronopost et malware utilisant Teamviewer »