Sécuriser son ordinateur et connaître les menaces

Voici un article qui vous explique comment sécuriser votre ordinateur que ce soit au niveau de la configuration de Windows qu’à l’installation de logiciels recommandés (antivirus, firewall, antispywares).

Cet article aborde aussi les menaces que l’on peut rencontrer sur internet qui sont à l’origine de programmes malveillants afin de les éviter.
Beaucoup de sites WEB proposent de télécharger des utilitaires de sécurités mais abordent rarement ce qu’il ne faut pas faire sur internet.
Beaucoup d’internautes lorsqu’ils sont infectés croient que le problème vient d’un mauvais choix de l’antivirus.

Retenez ceci : Un antivirus n’est pas infaillible, la sécurité de votre ordinateur sur internet ne se résume pas à l’installation d’un antivirus. La sécurité de votre ordinateur est au quotidien et c’est vous qui la faite :

  • Connaître un minimum sur la propagation des menaces. Si pour vous sécurité, c’est installer un antivirus pour vous débarrasser du problème de malwares/virus pour courir sur Emule ou n’importe quel site, ce sera l’infection à coup sûr.
  • Etre vigilant. Faire attention à ce que vous téléchargez, fichiers que vous ouvrez. N’importe quel fichier que vous téléchargez peut-être un virus informatique. C’est pas parce qu’un site est joli ou qu’il y a écrit « gratuit » qu’il faut foncer télécharger sans réfléchir.

En plus de ce dossier, vous pouvez lire en parallèle la page suivante qui donne toutes les les méthodes utilisées pour distribuer des malwares/virus sur la page : Comment les virus informatiques sont distribués et  Pourquoi et comment je me fais infecter?

Ces deux pages démontrent en autre la faiblesse des antivirus :

Toutes les personnes qui viennent se faire désinfecter et qui ont un antivirus et un antispyware installés le démontrent aussi.

Quelque soit l’utilitaire que vous choisirez, si vous avez de mauvaises habitudes sur internet, vous serez infecté, ne posez donc plus la question « quel est le meilleur antivirus? », « ma protection est bonne? » cela revient à demander si on ne risque rien à sortir avec un gilet par-balles en pleine fusillade.

En cas d’infection : Pas de panique, venez demander de l’aide sur le forum dans la partie : VIRUS : Aide Malwares (vers, trojans, spywares, hijack)

Projet AntiMalware

Pourquoi les Malwares/virus ?

Pourquoi internet est-il dangereux?

Depuis l’explosion du nombre d’internautes (avènement du haut débit etc..), internet devenu un média à part entière et comme tout média, il est de plus en plus submergé par la publicité, utiliser pour du marketing etc.

Ces nouveaux internautes ont une connaissance minimale de l’informatique et des menaces. Il est donc assez facile de faire de beaucoup d’argent via ces menaces en trompant ces nouveaux internautes, cela a aussi provoqué une explosion du nombres de menaces par l’appat généré par le gain.
Des organisations ont vu le jour qui ont pour simple but de se faire de l’argent sur le dos des internautes.

Lorsqu’un ordinateur est infecté par un trojan/backdoor, il est à la merci du pirate ou organisation. Ce dernier peut faire tout ce qu’il désire avec cet ordinateur même en étant à des milliers de kilomètres.
Vos données personnelles : mot de passe, documents Word & Excel ne sont plus à l’abris puisque ce dernier peut les modifier ou supprimer ou informations personnelles sont aussi à sa portée.
Lorsque le PC est infecté et à la merci d’un pirate, on dit alors que le PC Zombis / botnet

Il existe plusieurs moyens de faire de l’argent :

  • Transformer votre machine en PC Zombis / botnet(le terme Zombi peut vous faire rire, mais allez faire un tour sur le lien, vous verrez ça n’a rien de drôle). Deux exemples :
    • utiliser les ordinateurs infectés pour effectuer des attaques vers des sites PC zombies à sa disposition pour effectuer ses attaques. Imaginez 10 000 PC avec des connexions ADSL effectuant des requêtes en continu sur un site WEB !
    • utiliser les ordinateurs infectés pour relayer des mails de spams pour des produits commerciaux.
    • votre ordinateur envoie des mails de spam à différentes adresses et ceci en continu. Le pirate ou organisme est alors payé aux nombres de spams envoyés pour promouvoir un produit commercial. Sur cette news, on peut lire qu’une infection est capable d’envoyer 12 000 spams images par heure.
    • Une partie des botnet peuvent être sous-loués pour une certaine somme. En d’autres termes votre PC et votre connexion internet est utilisé pour être sous-loués et se faire de l’argent sur votre dos.
  • Faire de l’argent via la publicité. infecter les ordinateurs des internautes avec des adwarespour leur faire acheter des logiciels.
    • Les pirates créent des adwares et programmes parasites qui affichent des popups de publicités. Le pirate gagne alors un certains nombres d’argent par popup de publicités ouverte donc plus le nombre  d’ordinateur qui ouvre des popups est grand, plus le pirate se fera d’argent.
    • Ces adwares sont en générals refourgués lors de l’installation de programmes gratuits, ou en trompant les internautes via de fausses mises à jour Java/Flash ou du navigateur WEB.
  • Tromper les internautes en vendant de faux antispywares (on nomme ces faux-antispywares des rogues).
    • Ce sont des coquilles vides.. Une simple interface graphique ressemblant à des antispywares classiques mais sans mise à jour, sans procédures de nettoyage. Le but est très simple. Les auteurs de ces faux-antispywares inondent le WEB de publicités via les régies de pubs (ce sont les sociétés qui s’occupent d’afficher les publicités sur les sites WEB, concrètement en quelques secondes, plusieurs millions/millions de sites WEB peuvent afficher la même publicités pour le même produit), généralement avec de fausses alertes de sécurités indiquant que votre ordinateur est infecté proposant de télécharger, comme solution, ces faux-antispywares.
  • Les faux messages se faisant passer pour le police (Trojan.Winlock) :
    • Arrivé fin 2012, c’est une déclinaison des faux antispywares en tentant de tromper les internautes via de fausses pages se faisant passer pour les autorités et disant que vous avez violés des lois (téléchargement de contenu protégé par les droits d’auteurs ou pédopornographique). Ces pages demandent de payer une amende par des coupons Ukash. Voir la page : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
  • Les crypto-ransomwares : il s’agit de chiffrer les documents pour les prendre en otage et vous réclamer de payer une rançon pour récupérer l’accès à ces derniers. Ces malwares/virus peuvent s’avérer catastrophique pour une entreprise.
  • Installer des keyloggers:  Le but étant de récupérer les mot de passe (pour ensuite par exemple attaquer l’ordinateur) mais aussi récupérer les numéros de CB si l’internaute fait des paiements en ligne.
    • Le pirate se créer une base de données de numéro de CB, autres informations qu’il peut ensuite revendre.

Pour se faire un maximum d’argent, les pirates se doivent d’infecter un maximum d’ordinateurs. Plus le pirate a d’ordinateurs à sa disposition, plus la bande passante (la capacité du débit de connexion total) est grand. Il peut alors envoyer plus de spams, effectuer des attaques vers des sites plus « gros » ou plus nombreux. Il est aussi plus dangereux.

Plus d’exemples sur la page : Business malwares : le Pourquoi des infections informatique

La part de responsabilité des internautes

Tout comme vous fermez la porte de votre domicile, il convient de vérouiller un minimum votre ordinateur afin que ce ne soit pas une porte ouverte à toute intrusion.
L’internaute est responsable de la bonne santé de son ordinateur, que ce soit pour l’intégrité de ses données mais aussi pour les autres internautes, l’internaute doit en conserver la maîtrise (ce qui demande un minimum de connaissance technique).
Lorsque vous prenez le volant d’une voiture, vous avez pris un minimum de leçon afin de ne pas causer d’accident pour vous et autrui. Il en va de même sur internet.

Les erreurs commises généralement par les internautes sont :

  • Une trop grande confiance voire une confiance aveugle dans les outils de protection (antivirus et firewall) – Un antivirus est loin d’être infaillible, je dirai même qu’actuellement les pirates ont pris une sérieuse avance sur les antivirus qui ont depuis quelques années peu évolué, notamment en ce qui concerne les rootkit. Si vous parlez anglais, je vous invite à jeter un coup d’oeil sur cette article du Blog de Sunbelt qui explique pourquoi les antivirus sont actuellement impuissants : Voir l’article du blog de Sunbelt.
  • Suite à une infection le seul réflexe de l’internaute est de demander « Quel est le meilleur antivirus » pensant que la faute de son infection vient de son antivirus qui n’a pas fait le boulot. Il ne ne se pose pas la question :pourquoi et comment j’ai été infecté ? alors qu’en général l’infection vient d’un manque de connaissance des malwares et de mauvaises habitudes de surf.
  • L’installation à tout va de logiciel sans en vérifier l’authenticité et la source et ceci généralement depuis des sources dangereuses : Réseau P2P , Site Web non vérifié, etc.. « Mon antivirus ne sonne pas ? OK le logiciel est pas dangereux » : N’installez que des programmes depuis des sources sûres : commentcamarche, club-ic.com surtout evitez 01net/telecharger.com et softonic.
  • Les internautes ne sont pas assez méfiants : Lorsqu’ils arrivent sur un site WEB proposant des logiciels, ils ne se posent pas la question « ce logiciel peut-il être dangereux? ». Reportez-vous à l’article Prévention : Logiciels et sources de téléchargements
  • Quand le logiciel est non dangereux… On le crack… Risque de virus en allant sur les sites de cracks.. Risque de vérifier lors de l’execution de keygenerateur, fichiers .exe modifiés etc.. Reportez-vous à l’article Le danger des cracks !

En général la seule solution de sécurité trouvée par la majorité des internautes est de multiplier les logiciels de protection, on retrouve souvent plusieurs antispywares (SpyBot, Ad-aware, AVG Antispyware, Spyware Terminator) sur une même machine croyant que cela les protègera mieux.

Vous allez voir dans la suite de cette page que les pièges mis en place par les pirates sont nombreux, ils ne sont pas tous énumérés. Ce que vous devez comprendre, c’est que votre antivirus ne détecte à peine 1/3 des programmes dangereux mentionnés ci-dessous, la seule parade est la méfiance.

N’installez pas le premier programme venu, n’exécutez pas le premier fichier venu même si votre antivirus ne dit rien

Les différents malwares

Quels sont les pièges et dangers?

Lorsque vous naviguez sur internet, ou téléchargez et installez des programmes, vous devez être vigilant. En effet, des pièges ou arnaques sont monnaie courante sur la toile.

Pour infecter des ordinateurs, on utilisera les moyens de propagations qui pourront toucher le plus de monde possibles et qui touchent les activités que les internautes ont le plus souvent sur internet, c’est à dire :

  • Des cracks piégés sur des sites de cracks : l’internaute télécharge et execute des cracks depuis des sites de cracks ou depuis des Réseau P2P . Voir Le Danger des cracks !
  • Des fichiers piégés sur le réseau P2P (voir ce sujet Pourquoi éviter le P2P ? Point législatif & dangers.) – géralement des videos xxxx ou cracks piéges
  • Des sites pornographiques/cracks qui exploitent les failles des navigateurs connus ou vous proposent de télécharger des malwares
  • Les logiciels installant des logiciels tiers (adawares, PUPs), généralement ce sont des logiciels de type applications additionnels proposés lors de l’installation. Mais depuis quelques temps, cela va plus loin en tentant de tromper les internautes via de fausses mises à jour Flash/Java ou du navigateur WEB.
  • Les fausses alertes de sécurités qui vous proposent d’installer de faux anti-spywares (dits « rogues« ) lors de l’accès à certains sites ou pour pousser des Arnaques aux désinfections / support par téléphone..
  • Les mails infectés et hoax
  • des messages vous demandant d’aller sur des sites piégés sur les newsgroups, forums et réseaux IRC.
  • des vers attaquant les ordinateurs non à jour et non protégés (voir la partie sécuriser son ordinateur) – Les ordinateurs non à jour peuvent être soit dû à la méconnaissance de l’internaute ou car ce dernier à une version de Windows cracké.

N’ouvrez pas n’importe quel fichier, faites attention à ce que vous téléchargez et d’où vous téléchargez : Prévention : Logiciels et sources de téléchargements

Pour infecter des ordinateurs, les pirates « sèment » internet de pièges, si possible à des endroits où ils risquent de toucher le plus d’internautes.. Les pirates surfent donc sur les modes.
Cela peut donc aller de MSN, fichiers piégés sur les Réseau P2P , vidéos piégés sur youtube en passant bien sûr par des sites pornographiques et de cracks etc

Les pièges reposent toujours sur le concept de social engineering et la crédulité de l’internaute. Le tout étant de déguiser l’infection dans des programmes ou des mails attrayants et à la mode,  l’internaute tellement interressé ne pourra pas s’empécher d’installer ce programme. C’est un peu comme lorsque vous recevez dans votre boîte aux lettres « Vous avez gagné 1 000 000 000 d’euros ».

N’installez que des programmes depuis des sources sûres : 01net, zebulon, zdnet, clubic, infos-du-net, les sites de vos fournisseurs d’accès.

Les fausses alertes de sécurités

Plutôt courante de 2005 à 2011 pour pousser des rogues/scawares, elles ne sont aujourd’hui très peu courantes mais sont revenus sous une autre forme à travers les Arnaques aux désinfections / support par téléphone.

Par le passé, lorsque vous surfiez sur internet, surtout sur des sites douteux (cracks, pornographiques), il pouvait arriver que vous receviez des popups vous indiquant que votre ordinateur est infecté ou n’est pas sécurisé. En règle général, ces sites vous invitent à télécharger et installer un antivirus ou un antispywares qui s’avéraient être un rogues/scawares.
Exemple sur la page : Les Rogues et alertes de sécurité

Ces méthodes avaient disparus et sont revenus pour pousser des  Arnaques aux désinfections / support par téléphone, le principe est le même, de faux messages vous indiquant que votre ordinateur est infecté ou a des problèmes s’affichent durant le surf, souvent à travers de faux messages BSOD/Ecran bleus. Le message vous recommande d’appeler un technicien qualifié, qui n’aura qu’un seul but, vous vendre une prestation et antivirus à des prix exorbitants.

Règle d’or : NE JAMAIS installer un programme qui vous est proprosé par un popup, que ce soit un programme de smiley, des économiseurs d’écran, des antivirus, desantispywares. A coup sûr vous infectez votre machine.

Les infections par mails

Les mails sont un grand vecteur de propagation des malwares/virus  qui se propagent sous forme de pièce jointes.
La majorité des internautes à l’heure actuelle connaissent cette menace, même si les mails restent un gros vecteurs de malwares, il est en perte de vitesse, les antivirus offrant maintenant de bonnes protections. Nos dossiers sur les virus par email :

Les règles à suivre sont :

  • Ne pas ouvrir les pièces jointes des mails anglophones
  • Ne pas ouvrir les pièces jointes provenant d’un expéditeur que vous ne connaissez pas.
  • Ne pas ouvrir de liens à partir de mails en anglais.

–> Supprimez le mail directement (évitez de le stocker dans les éléments supprimés)

Voici deux exemples de mails infectés, celui de gauche se fait passer pour un serveur de mails vous renvoyant une erreur.
Celui de droite  vous explique que votre machine est infectée et que vous devez suivre les instructions fournie dans la pièce jointe.

Comme vous pouvez le constater, les mails des virus sont de plus en plus ingénieux pour tromper l’utilisateur.

mail infecté par un virus

mail infecté par un virus

Vers 2004, lors de la bataille NetSky/Bagle, les mails avec pièces jointes s’enchaînaient.
Aujourd’hui, les méthodes ont un peu changé pour tromper les antivirus mais aussi les internautes qui savent maintenant qu’il ne faut pas ouvrir une pièce jointe par mail.
Beaucoup de mails infectieux sont sans pièces jointes, le but est d’utiliser le social engineering pour faire ouvrir un lien WEB à l’internaute, soit le site WEB propose des fichiers infectieux, soit ce dernier est un site WEB piégé contenant des exploits et infectant automatiquement l’internaute (si l’exploit fonctionne).
Depuis Janvier 2007, les mails de Spam infectieux (Zhelatin/Storm Team) s’enchaînent pour tenter d’infecter les internautes.

Voici le cas de Storm Spam : Krackin (Octobre 2007), l’internaute reçoit un mail lui proposant de télécharger un logiciel de P2P, si ce dernier clic sur le lien proposé dans le mail, il arrive sur un site WEB (voir image ci-dessousà, l’internaute qui télécharge tout et n’importe quoi, execute le faux programme d’installation de ce logiciel de P2P qui n’est qu’en faite que le programme d’installation d’une infection Zhelatin, il est alors infecté.

N’ouvrez pas n’importe quel mail – Phishing

Le phishing consiste à se faire passer pour une société (banque, société de jeux, société de paiement en ligne etc..) afin de récolter des informations, généralement votre numéro de CB.

Soit les informations sont en remplir directement dans le mail, soit la personne est redirigée vers un site qui peut être une copie très proche d’un site de Banque.

Règle d’or : Ne jamais communiquer des informtions suite à un mail, surtout quand il s’agit de votre numéro de CB, de compte etc..

exemple de mail : Exemple de mail phising

Dear Customer:

Recently there have been a large number of cyber attacks pointing our database servers. In order to safeguard your account, we require you to sign on immediately.

This personal check is requested of you as a precautionary measure and to ensure yourselves that everything is normal with your balance and personal information.

This process is mandatory, and if you did not sign on within the nearest time your account may be subject to temporary suspension.

Please make sure you have your Citibank(R) debit card number and your User ID and Password at hand.

Please use our secure counter server to indicate that you have signed on, please click the link bellow:

http://211.158.34.250/citifi/

!! Note that we have no particular indications that your details have been compromised in any way.

Thank you for your prompt attention to this matter and thank you for using Citibank(R)

Regards,

Citibank(R) Card Department

(C)2004 Citibank. Citibank, N.A., Citibank, F.S.B.,

Citibank (West), FSB. Member FDIC.Citibank and Arc

Design is a registered service mark of Citicorp.

Autre exemple de mail phising :

Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF Member,

This email was sent by your Bank server to verify your e-mail address. You must complete this process by clicking on the link below and entering in the small window your Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF online access details. This is done for your protection – because some of our members no longer have access to their email addresses and we must verify it. To verify your e-mail address, click on the link below:

If you have Societe Generale account:
http://www.societegenerale.fr/ZyQEZt0NBsz8bDVW7aJs0s2h89893
If you have BNP Paribas account:
http://www.bnpparibas.com/VncQK6bsOAwvxq1R59Ro2hWAp5dt0e332c
If you have CIC Banque account:
http://www.cic.fr/305anBygKgwJ8zTvbhH0qVTmKRnMFdb8c2s4kbny379
If you have Banque CCF account:
http://www.ccf.fr/ffzCbKEi6HQWaXjEaPfETPMiyQX9oPC51g8l799c99i5k31

Autre exemple de mail phising, en français cette fois :

Le Phising

N’ouvrez pas n’importe quel lien – Le SPAM

Le SPAM (ou pourriel en français) consiste à envoyer des messages non sollicités à une personne souvent dans un but commercial, ils ne sont pas dangereux en soi. Les SPAM sont envoyés par mail mais aussi en commentaire sur des blogs, forum et notamment sur des sites sociaux comme facebook, myspace etc.

Les liens utilisent le social engeerning pour tromper l’internaute, ce dernier clic sur le lien ammenant à l’infection, quelques exemples :

Certaines infections ne sont plus d’actualité mais c’est le principe qui compte qui repris par d’autres campagnes.

Pour plus d’informations sur le SPAM par mail, n’hésitez pas à consulter la page du site : Le SPAM / Pourriel

Les hoax des courriers électroniques propageant une fausse information. Certains sont inoffensifs puisqu’ils propagent de fausses rumeurs.. d’autres malheureusement sont de vrais arnaques.
Il existe d’autres arnaques basée sur la crédulité des internautes et cette fois-ci plus dangereuse. La plus connue est fraude 4-1-9.

Concrètement une personne vous explique qu’elle possède une importante somme d’argent (plusieurs millions de dollars en héritage, pots-de-vin, comptes tombés en déshérence, fonds à placer à l’étranger suite à un changement de contexte politique, etc.) et vous fait part de son besoin d’utiliser un compte existant pour transférer rapidement cet argent. Le message demande votre aide pour ce transfert d’argent, en échange de quoi il vous offre un pourcentage sur la somme qui sera transféré. Si la victime accepte, elle devra avancer de nombreux frais (notaires, entreprises de sécurité, pots-de-vin…) avant que le transfert soit effectif, sauf que le transfert n’existe tout simple

De:Mohamed Kone
Tel:***-********
Courriel:****@yahoo.com
Bonjour,
Je m’appelle Mohamed Kone je suis âgé de 26 ans et je vis en Côte d’Ivoire.
Malheureusement comme vous le savez mon pays traverse une période très difficile ce qui m’a contraint à fuir ma région d’habitation qui est Bouaké (dans le centre du pays). Mon père était un marchand de cacao très riche à Abidjan, la capitale économique de la Côte d’Ivoire.
Avant qu’il n’ai été grièvement blessé par les rebelles, urgemment conduit à l’hôpital il m’a fait savoir qu’il avait déposé 5 000 000$ dans une mallette dans une société de sécurité basée à Abidjan.
A l’annonce de la mort de mon père je me suis précipité dans sa chambre dans le but de prendre tout ce qu’il avait comme document administratif, j’ai découvert le certificat de dépôt délivré par la compagnie de sécurité à mon père. Une fois arrivé à Abidjan j’ai essayé de vérifier la validité de ce document.
Le directeur de la société m’a confirmé l’existence de cette mallette dans leur établissement. De peur de perdre cet argent, je sollicite l’aide de quelqu’un afin de transférer ce seul bien que mon père m’a légué dans un pays étranger pour investir car la situation en Côte d’Ivoire est toujours incertaine.
Une fois le transfert effectué je me rendrai là-bas pour récupérer cet argent et y faire ma vie. Si vous êtes prêt à m’aider, envoyer moi vite une réponse afin que l’on puisse trouver un conciliabule. Dans l’attente d’une suite favorable recevez mes salutations et que dieu vous bénisse.
PS: N’oubliez pas de me contacter directement à mon adresse privé:****@yahoo.com
Mohamed Kone.

Source Wikipédia : http://fr.wikipedia.org/wiki/Fraude_4-1-9

Pour comprendre pourquoi ces arnaques fonctionnent et sur quels procédés psychologiques repose-t-elles, lire la page Le SCAM et les arnaques. Pourquoi cela fonctionne ?
Autre exemple d’hoax sous la forme de chantage en se faisant passer pour la police :  scam 419 police de l’internet

Règle d’or : Ne tenez jamais compte des mails vous réclamant de l’argent quelque soit la raison

Les vers par messagerie instantanée

Les messageries instannées (MSN Messenger, Yahoo Messenger etc..) sont aussi des vecteurs de malwares bien que l’âge d’or fut de 2007 à 2010.
Ces infections utilisent le social engineering en tirant partie du masquage des extensions de fichiers.

N’ouvrez jamais de liens provenants de discussions surtout

  • Evitez de télécharger des fichiers Zips proposés en discussions (en général, pour des photos, album, emoticons etc..).
  • Si les propositions de téléchargement ou d’envoi pour des zips se multiplient, méfiez-vous!

Pour plus d’informations, sur les vers de messageries instantanées, voir : Vers de messageries ne sont plus vecteur 1er des infections
Voici quelques exemples de messages vecteurs d’infections :

Virus par msn
Virus par MSN

Afin de vous protéger de ces messages, vous pouvez désactiver dans les options de MSN Messenger, les options suivantes :

options sécurité MSN
Skype peut être aussi touché par ces infections instantanée : Win32.Phorpiex par Skype
Skype_Worm_IM

Les infections par disques amovibles

Les infections par disques amovibles sont de plus en plus fréquentes.
On entend par disques amovibles, les périphériques de masses que l’on peut insérer et retirer de l’ordinateur comme les clefs USB, disques dur externe ou cartes Flash

Ces infections se propagent beaucoup dans les lycées/fac/Université/cyber café où les postes sont à la disposition de beaucoup de monde qui viennent avec leurs clefs USB et infectent les ordinateurs. Dès lors les nouveaux étudiants qui viennent avec leurs clefs les infectent qui à leur tour infectent leurs ordinateurs personnels etc.. etc..

Cette page décrit le fonctionne et la manière dont ces infections se propagent ainsi que des conseils de préventions :

Ces infections utilisent des scripts VBS et tirent partie de Windows Script Hosting, nous vous conseillons vivement de désactiver ce dernier : Malware par VBS / WSH

Les faux codecs

Les faux codecs étaient des méthodes d’infections très utilisées de 2005 à 2011. Ces méthodes ont un peu disparus de nos jours. Ces faux codecs se propagent installant des infections de type Zlob/VideoAccess/Trojan.Win32.DNSChanger :

Le but de ces faux codecs est l’installation d’infection qui entraîne l’affichage de fausses alertes de sécurité afin de vous faire télécharger mais surtout acheter de faux antispywares que l’on nomme rogue.

Ne téléchargez des codecs que depuis des sites sûrs!

Ce codec est en faite le programme d’installation d’une VAC (VideoAccess) qui ouvre des popups de pubs et installe un rogue.
D’autres entraînent des redirections vers des sites de pubs et pornographiques, voir : Redirections lors des recherches Google
Vous pouvez obtenir plus d’informations sur le forum sur ces faux codecs avec une liste mises à jour régulièrement : Attention aux faux codecs!

Une autre utilisation du social engineering, toujours dans le but de semer la confusion est.. lorsque vous surfez sur des sites pornographiques est de vous faire télécharger un codec vidéo afin de pouvoir visualiser des vidéos pornographiques.
On vous dit qu’il est necessaire d’installer un codec pour pouvoir visualiser ces vidéos.

Les faux codecs

L’installation du codec.. n’est en fait que l’installation d’une infection qui ajoute une icone d’alerte à côté de l’horloge vous indiquant que votre ordinateur est infecté.

Les faux codecs.. et alertes

Les fausses alertes de sécurité sont accompagnées de propositions de téléchargement pour des rogues.

Les faux codecs & alertes

Le but de ces infections est très simple, elle consiste à faire peur à l’internaute, via des alertes, modifications du fond d’écran (en rouge ou avec des panneaux rouges) tout en proposant de télécharger de faux antispywares rogues.
Ces rogues une fois installé vont scanner l’ordinateur, ils afficheront eux aussi des alertes disant que l’ordinateur est infecté, mais il faudra acheter la version commerciale pour nettoyer l’ordinateur (qu’il ne nettoyera pas d’ailleurs).
Le but est donc de vous arnaquer en vous faisant acheter un faux-antispyware.

Plus d’infos, voir :

Des programmes pièges : PUPs et Adwares

Tout comme il existe des codecs piégés, il existe aussi des sites proposant des logiciels contenant soit des adwares soit des des programmes non essentiels comme les barres d’outils : PUPs / LPIs : Logiciels  potentiellemens indésirables
Ces logiciels piégés sont très peu détectés par les antivirus, ce qui vous rend très vulnérable.

Toujours via du social engineering, il vous est proposé des programmes gratuits, ces programmes peu installer un adware qui ouvre des popups de publicités afin de rémunérer les auteurs. Il n’est pas clairement dit sur ces sites que le programme installe un adware, en règle général, seulement dans les conditions d’utilisation.
Le fait que le programme soit gratuit fait que beaucoup d’internautes vont l’installer et se faire piéger, ayant du mal à désinstaller l’adware ou des programmes non essentiels comme les barres d’outils.
C’est donc une bonne stratégie pour gagner plus d’argent que d’offrir un programme payant qui sera certainement moins installer par les internautes.

De fausses publicités sur les sites de streaming distribuent ces PUPs / LPIs : Logiciels  potentiellemens indésirableshttp://forum.malekal.com/vlc-plugin-offerbox-hotbar-shopperreports-clickpotato-t29633.html

ou des sites de téléchargemens douteux comme 01net/Telecharger.com et Softonic

ou ici en résultat de liens commerciaux depuis les moteurs de recherches :

Les vecteurs sont différents (publicités, faux sites de téléchargements etc).

La page suivant récapitule quelques un des PUPs/LPIS : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/

Les cracks et keygen

Un des gros vecteurs : les cracks et keygen.
Pourquoi ?
Car beaucoup d’internautes en téléchargent. Dès lors les auteurs de malwares proposent de faux cracks qui sont des intalleurs de malwares. On créé des faux sites de cracks, les internautes les téchargent et voila.
De plus, pour la majorité des internautes, faire la différence entre un vrai crack et un faux est difficile. Il n’y a qu’au moment de l’execution que l’internaute saura si c’est un vrai crack ou si cela va installer un malware.

=> Le danger des cracks !

Ci-dessous un faux site de cracks pour distribuer des malwares:  Faux site de crack : ça marche encore bien

Les auteurs de  RAT, Bifrose, Cybergate, Spynet : Botnet pour les nuls utilisent beaucoup les forums Warez pour distribuer ces faux cracks.

Ici un stealer pas très évolué qui vole les mots de passe des navigateurs WEB, cela permet de voir la porté de ces malwares :  Stealer pour les nuls : exemple de vol de mot de passe

Sites WEB hackés : exploits sur site WEB

Même si vous faites attention à ce que vous téléchargez etc… vous pouvez infecter votre ordinateur en consultant des sites WEB hackés.
Certains groupes d’auteurs de malwares hackent des sites WEB afin de rediriger automatiquement les internautes vers des sites contenants des malwares, ceci se fait de manière invisible.
Vous pouvez donc être infecté en consultant des sites anodins dont le contenu est classique sport, musique etc..

Ces infections reposent sur des des failles de sécurités, en maintenant votre ordinateur à jour (voir conseils plus bas), en utilisant un navigateur alternatif et en le sécurisant (voir Securiser le navigateur WEB Firefox), vous pouvez éviter ces infections.
Vous pouvez aussi consulter la page Surfer de manière sécurisée! qui permet de surfer à partir d’un OS virtuel et donc ne pas infecter son système d’exploitation.

Bannières publicités proposant des programmes piégés

Les menaces ne concernent pas forcément des sites hackés mais aussi aussi être transmis via des « malvertising« , c’est à dire des publicités malicieuses.
Des publicités malicieuses qui conduisent aux exploits. Cela permet de toucher plusieurs sites à forte audiance.

Fin Novembre 2011 de grosses campagnes de malvertising ont lieu pour transmettre des ransomwares type Fake Police.
Des sites de téléchargements sont touchés mais aussi videobb :  http://www.malekal.com/2011/12/13/malvertising-asrvstatsmanager-com-droppe-malware-via-videobb-et-adserve-com/ ou dl-protect.com : http://www.malekal.com/2012/01/16/malvertising-sur-dl-protect-com-via-hooqy-com

Mais aussi, par la suite, des sites pornographiques : pornerbros.com conduit à des infections via des exploits ou Malvertising : delivery.trafficbroker.com délivre ransomware « Activite illicite demelée »

La suite sur la page suivante

(Visited 588 times, 1 visits today)

12 thoughts on “Sécuriser son ordinateur et connaître les menaces

  1. J’ai trouvé cet article grâce à un lien sur wikipedia (logiciels malveillants )
    Bravo pour cet article très complet qui va m’aider ( je forme des personnes dans une association )
    continuez !

  2. trés intéressant et surtout une approche réaliste et non commerciale.
    Une idée: pourquoi ne pas proposer une formation (rétribuée) à priori plus efficace
    et peut être moins chère que de pratiquer la tournée des antivirus anti spyware etc..
    avec au final des appels au secours sur le web lorsque une infection virale sérieuse apparait?

    bonne journée, et bonne année.

  3. Merci c’est d’informer…plus ou moins le niveaux de ceux qui nous attaquent et vous partagez vos connaissances au lieux d’en profiter pour « violer » nos machines.
    « La meilleur façon de ne pas tomber malade, c’est de savoir comment on tombe malade »:
    Même chose pour nos machines…continuez c’est du bon travail.

  4. Slt, c’est très intéressant de connaître certaines choses, car nous vivons dans l’ignorance.
    merci pour cet article révélateur, et je vous prie de continuer dans le bon sens.

  5. Bravo, beaucoup d’informations présentées de manière compréhensible pour les utilisateurs de PC (sans connaissances informatiques étendues).

    Ajout immédiat dans mes favoris ;-), je sent que je vais passer quelques heures ici…

  6. Bonjour je te trouve particulièrement douer pour les informations donner sur c’est outils mal vaillent je suis un Stop-Hacker comme je disait j’ait un site web qui a un protection en temps réelle protection grâce a HADOPI qui est une loi qui désigne tous ce qui est informatique est multimédia malheureusement j’ait du ferme ce site pour des raison qui je ne pouvait plus payer l’ebergement
    donc j’ait du faire un blogs sur Skyrock si vous aller le voir j’ait mie an votre disposition l’url de mon blog ( Stop-hacker

  7. Très jolie article sur les menaces,c’est fou le type de menaces qui peut existé,j’imagine même pas le nombre ,sinon Bravo et félicitations pour cette article c’est vraiment utile ! Merci !

  8. Beaucoup d’utilisateurs croient qu’il suffit d’installer un antivirus pour être protégé.Votre article très complet et abordable montre qu’il n’en est rien.On dit « que personne n’est censé ignoré la loi ». On pourrait ajouter « et les procédés pour infecter un ordinateur ».
    Bravo pour votre article!

  9. Aucune aide informatique ne sera donnée (désinfection etc) en commentaire, cela ne sert à rien d’exposer vos problèmes ici, allez sur le forum pour obtenir de l’aide : http://forum.malekal.com

    Merci beaucoup pour ce travail, ce site et toutes ses explications touffus (certes pour moi) mais si utiles!!!!
    Encore une fois merci bon courage
    UP

  10. Salut malekal 🙂

    Tu cite 01.NET dans la liste des sources sures:
    ce n’est maintenant plus le cas, ils ont changé leur politique…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *