Pour revenir aux fondamentaux, un article concernant une campagne d’un cheval de troie par Torrent. Reçu par PM sur Twitter, une vidéo plus que douteuse. Au bout du compte un Trojan RAT avec quelques astuces pour tromper les internautes et antivirus.

Voici une FAQ pour répondre à toutes les questions concernant l’attaque du Ransomware Petya. Le but est de répondre aux principales questions sur ce ransomware, Petya et l’attaque mondiale. Petya peut être nommé par certains éditeurs d’antivirus en Goldeneye.

MRT ou MSRT (Download Malicious Software Removal Tool) est un utilitaire de Microsoft qui permet de supprimer des logiciels malveillants. L’outil est disponible sur Windows 7, Windows 8.1 et Windows 10. Microsoft publie généralement MSRT une fois par mois dans le cadre de Windows Update ou en tant qu’outil autonome. […]

Les serveurs sont visés par des campagnes de piratage à travers Terminal Server (TSE) et RDP (Remote Desktop Protocol) afin de déposer des ransomwares. Souvent, il s’agit d’attaque brute-force tirant partie de comptes Windows mal sécurisés. Lorsqu’un serveur de fichiers est touché, cela peut faire de très gros dégâts. Cette […]

Les vers informatiques (worms en anglais) est une catégorie de menaces informatiques qui  se distinguent par leur capacité à s’auto-propager. Les vers informatiques sont les seuls logiciels malveillants ayant la possibilité de s’auto-propager sans action de l’utilisateur. Les vers informatiques ont existé très tôt, autour de 2004, cette page donne un […]

rundll32.exe est un processus légitime de Windows qui permet de charger un fichier DLL. Rundll.exe n’a donc rien à voir avec des logiciels malveillants : virus, cheval de troie (trojan), adwares et autres. La DLL sera rendue active et pourra effectuer les opérations pour lesquelles a été conçues. Ainsi, rundll32.exe […]

Avec la poussée des ransomwares chiffreurs de fichiers, divers logiciels spécifiques à ces menaces sont apparus. Il s’agit donc d’anti-ransomware qui protège vos documents de toutes modifications. Quelques présentations et l’intérêt ou non de ces programmes.

Un récapitulatif des méthodes et pratiques qui existent autour des logiciels de nettoyage et de désinfection de Windows (nettoyage du registre Windows, optimisation ou de désinfection de virus). Cette page donne un aperçu de la guerre des logiciels de nettoyage que peuvent livrer certains éditeurs et parfois des arnaques. Certains de ces éditeurs […]

Combofix est un outil de désinfection très utilisé autour de 2005/2010, du temps, des grands rootkit Rustock, Cutwail etc. Avec l’arrivé, en 2007, de Malwarebytes, Combofix a été de moins en moins utilisé lors des désinfections sur les forums. Combofix permet de désinfecter son ordinateur de manière automatique, il va analyser […]

Cette fois-ci, une page concernant la récupérations de fichiers après une attaque de Ransomware. Notamment en ce qui concerne versions précédentes de fichiers de Windows. Le cas observé est avec le ransomware Locky qui est le plus actif « Ransomware RSA-2048 and AES-128 ». Les versions précédentes étaient le premier réflexe à avoir […]

DeepFreeze & Anti-Executable sont deux utilitaires de sécurité édité par Faronics. Les deux sont payants et disponibles en essaie de 30 jours. Anti-Executable est un programme qui permet de bloquer l’exécution de programme non souhaité. Anti-Executable fonctionne à peu près de la même manière que VoodooShield : Bloquer l’exécution de programmes et […]

Vu passer un mail malicieux Chronopost, qui est d’ailleurs de plus en plus utilisé comme source de SPAM malicieux ou non. Du pur classique qui pointe vers un VPS Français.

Depuis fin Décembre, les campagnes d’emails malicieux perdurent à travers le Trojan JavaScript Nemucod : Mail malicieux : TeslaCrypt Ransomware (virus RSA 4096) (Décembre 2015 à Février 2016) Email malicieux – Ransomware Locky (Depuis Mars 2016) Un exemple de mail malicieux pour pousser le ransomware Cerber.

Les efforts de Google (lire Google SafeBrowsing et blocage de PUPs/Adwares) et des antivirus semblent porter ses fruits concernant les PUPs et Adwares et Browser Hijacker. Une assiste bien à une grosse baisse depuis l’année dernière. Une mutation aussi concernant les propositions d’installation de ces logiciels parasites puisque moins d’exécutable sont proposés mais plutôt […]

Gootkit est un Trojan Banker très actif depuis 2010. Initialement il s’agit d’un Bootkit reprenant des fonctionnalités du Trojan Zeus depuis il a pas mal évolué pour passer en mode ‘malware FileLess‘. Vers Février 2016, Gootkit vise les banques françaises (source ProofPoint) et effectivement depuis Mars 2016, les campagnes visant la France […]

Les Trojans MSIL sont des Trojans écrit en langage Microsoft intermediate language (MSIL). Certains antivirus ont tendance à utiliser des nomenclatures, bien souvent en préfixe, le nom du langage avec lequel le programme malicieux a été écrit. On peut donc rencontrer des détections du type : Trojan.VB pour des Trojans écrits en […]

Une page concernant les ransomwares sous la forme script de JavaScript. (Pour rappel JavaScript n’a rien à voir avec Java d’Oracle, il s’agit d’un langage de script utilisé notamment dans le rendu des pages WEB) Windows permet l’exécution de fichier JavaScript (et autres scripts type VBS et aussi plus récemment […]

Les campagnes de malvertising continuent, pendant que celle visant à pousser le ransomware Cerber persistent : Malvertising Uptobox poussant Cerber Pour rappel, le but ici est de proposer des publicités qui ont pour but de rediriger les internautes vers des Web Exploit afin d’infecter les ordinateurs. En l’occurence ici, il s’agit […]

Vu sur le site commentcamarche.net – un utilisateur qui a reçu un mail malicieus se faisant passer pour Chronopost. Le lien mène à http://accord-global.eu/inputLTNumbers90041N90041oJahia.do avec un exécutable au bout… SHA256: 37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a File name: Tracking+paket+-+Suivi+Votre+colis.exe Detection ratio: 4 / 56 Analysis date: 2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago ) Antivirus […]

Aujourd’hui cet email a attiré mon attention… j’en reçois d’habitude beaucoup mais aujourd’hui, nous sommes dimanche or les emails malicieux Locky / Dridex sont plutôt actifs en semaine, puisqu’ils visent plus particulièrement les entreprises.

Le ransomware Cerber est une famille de crypto-Ransomware des plus actives en France. Un petit zoom sur les campagnes de ransomwares. Je rappelle qu’il existe des pages génériques sur ce que sont les ransomwares : crypto-Ransomware Ransomwares/Rançongiciels

Kmspico est un outil de piratage qui permet d’activer des logiciels Microsoft comme Windows et Office. Ce dernier est détecté en Hacktool ou Win32/AutoKMS par les éditeurs d’antivirus dont Microsoft ce qui va de soit : SHA256: 6420b33ab894274d45e7140ef8b51751bfdf7015609155ea78c599abae99967f File name: KMSELDI.exe Detection ratio: 13 / 56 Analysis date: 2016-05-03 11:08:45 UTC ( […]

Bien souvent, lorsque l’ordinateur est infecté, il est impossible de supprimer le fichier malicieux car celui-ci est verrouille étant en cours d’exécution. Pour rappel, s’il s’agit un programme, privilégiez la désinstallation de ce dernier depuis le Panneau de configuration > Programmes et fonctionnalités : Désinstaller des programmes sur Windows S’ensuit alors […]

Un point sur deux familles de ransomwares qui peuvent prétexter confusion, en effet, ces deux familles utilisent les mêmes messages d’instructions. Il s’agit de : TeslaCrypt CryptXXX – une nouvelle famille apparue il y a quelques jours. Tous les deux ont leur messages d’instructions qui débutent par : All of your […]

Le 26 Février, soit presque 2 mois, j’ai été en copie d’un mail envoyé par Kafeine d’un incident concernant des malvertising. Il s’agit ici d’une régie publicitaire dont le programme publicitaire (openx) a été piraté afin d’opérer des redirections vers un Web Exploit et infecter l’ordinateur des visiteurs. L’incident initial :

Si vous suivez les alertes Flash et autres plugins de vos navigateurs WEB, vous avez pu lire qu’une vulnérabilité 0-day touchaient Adobe Flash, il y a quelques jours : Vulnérabilités Player Flash et Shockwave Player. La version 21.0.0.213 d’Adobe Flash corrige cette vulnérabilité. Trend-Micro et F-Secure ont émis deux alertes concernant des […]

Suite des RATs VBS avec un cas sympa de Virus USB raccourcis sympa. Les virus USB sont tombés, les cas traités sont souvent des personnes habitants des pays africains qui vont dans des Cyber. Les antivirus ayant ajoutés toutes les détections qui vont bien. Parfois, une petite campagne pousse un peu […]

Un Phishing visant Gmail un peu original. Vous recevez un email Confirmer-votre utilisation « Mise à  jour sécuritaire G/Mail » avec un document Word UserRppt

Pendant que le ransomware Locky fait encore beaucoup parlé de lui, un article concernant le malware Dridex, connu aussi sous les noms Bugat, Feodo, Geodo. il s’agit ici d’un Trojan stealer et banker qui vise aussi les entreprises et notamment les entreprises françaises. En effet, Dridex utilise exactement les mêmes […]

Si vous avez suivi un peu les dernières actualités autour des malwares, vous avez dû entendre parler du Ransomware Locky qui tape très fort à travers ses campagnes d’emails malicieux qui visent les entreprises, avant cela le Ransomware TeslaCrypt a aussi tapé fort en Décembre 2015, ses campagnes continuent. 2016 s’annonce donc […]