Vu passer un mail malicieux Chronopost, qui est d’ailleurs de plus en plus utilisé comme source de SPAM malicieux ou non. Du pur classique qui pointe vers un VPS Français.

Les antivirus sont des logiciels qui ont pour objectif de détecter et supprimer le contenu malicieux quelqu’il soit (Trojan, Virus, Ver, Spyware, etc) d’un ordinateur. Pour les questions les plus souvent posées, se reporter à la FAQ des antivirus Petit rappel étymologique : Antivirus gratuits, on parle d’antivirus ne demandant aucun […]

Tous les tutos sur la sécurité informatique sur Windows, internet et autres #Virus – #Securité Windows Prévention et Virus/malwares sur Windows Quelques liens concernant la prévention en matière de sécurité informatique, comment les virus et infections sont distribués et comment les éviter. Mais aussi pourquoi les virus et malwares existent. Les Virus informatiques […]

Devant la recrudescence des campagnes d’emails malicieuses, voici un article centralisé sur quelques éléments à savoir sur les techniques utilisées pour tromper les internautes et faire charger des malwares. Sachant qu’il existe déjà un article (assez long) sur le forum qui récapitulent un peu l’historique des campagnes emails et les […]

Voici les méthodes les plus courantes utilisées pour infecter Windows et distribuer des virus/malwares. Certains méthodes vous sont certainement bien connues, d’autres probablement moins (enfin sauf si vous suivez le site régulièrement ;)). oui le terme virus informatiques n’est pas vraiment approprié pour parler des infections en général, malwares aurait […]

Un pack de programmes parasites / PUP pousse pas mal depuis hier, ce dernier se compose de : un Adware de type Coupon du nom de Deeal Un nettoyeur de registre : System Speedup / Advanced System Protector Ce dernier n’est pas vraiment nouveau (il en existe pas mal de […]

Got this email – wow a .gadget.. usually we got a zip with a double extension file inside to trick users : .jpg.exe – .pdf.exe etc That is a zip : it works at least for Windows Vista – You got a the usal Windows popup : “Are you Sure?”. […]

Microsoft a publié le billet (Microsoft Security Advisory (2718704) suivant concernant une vulnérabilité exploitée par le malware Flame : http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx La vulnérabilité permet de créer des fichiers avec une signature Microsoft en exploitant un veille algorithme. A quoi sert la signature numérique des fichiers ? A certifier qu’un fichier a […]

Vu sur le site de tracking : La détection : http://www.virustotal.com/file-scan/report.html?id=2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd-1324409285 File name: bda4825f2cdd1ce0690ee0ba3d081266 Submission date: 2011-12-20 19:28:05 (UTC) Current status: finished Result: 3 /43 (7.0%) AhnLab-V3 2011.12.19.03 2011.12.19 Spyware/Win32.Zbot Fortinet 4.3.388.0 2011.12.20 W32/CRYPT.SMO!tr Microsoft 1.7903 2011.12.20 Backdoor:Win32/Gspy.A MD5 : bda4825f2cdd1ce0690ee0ba3d081266 SHA1 : 460c1d178dada1d447aa85960cc10a03941c88e8 SHA256: 2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd Le malware se charge par […]

Après le billet Spyeye C&C et Business underground, voici une présentation de BlackHole Exploit WebKit. Un Exploit WebKit est un kit clef en main qui permet l’installation de malware via des exploits sur site WEB. Ces kits sont vendus dans le milieu underground et permettent à des groupes la propagation de […]

Un billet qui vous donne quelques recettes pour déterminer si une URL ou fichiers est malicieux. Bien sûr, on ne peux pas être certains à 100% du résultat, l’expérience et la connaissance fera la différence. Evaluer des URLs Ici le but est surtout de déterminer si la page contient des […]

Un billet juste pour signaler que j’ai mis en place quelques statistiques sur les infections rencontrées sur le site de tracking : http://www3.malekal.com/malwares/index.php (bouton Statistiques en haut à droite. On peux faire varier la période, 1,3 ou 6 mois. Sur les 3 derniers mois, on voit que ZeroAccess tient le haut de […]

Un survol rapide Emsisoft Anti-Malware 6 afin de se faire une petite idée sur le produit. Il existait sur le forum, un autre survol rapide, de la version 4 (2008), ceci peux vous permettre d’apprécier les évolutions et améliorations qui ont été apportées depuis au produit : https://forum.malekal.com/squared-anti-malware-t15943.html (il y […]

Le virus Ramnit aka W32/Cosmu.A / Win32:Quolko fait son retour dont voici quelques topics : https://forum.malekal.com/w32ramnit-apparition-interpreteur-commande-t34478.html https://forum.malekal.com/virus-win32-ramnit-win32-ramnit-t34476.html https://forum.malekal.com/comment-eradiquer-w32-ramnit-t34477.html  Un retour qui aurait touché 800 000 machines et permis le vol de 45 0000 comptes Facebook. Quand on dit Virus, c’est au sens strict du terme, à savoir que ce malware infecte […]

Microsoft a publié son Security Intelligence Repport (SIR) qui donne un aperçu des évolutions dans le monde des malwares. Le lien de téléchargement des SIR : http://www.microsoft.com/security/sir/default.aspx En lien direct : http://download.microsoft.com/download/0/3/3/0331766E-3FC4-44E5-B1CA-2BDEB58211B8/Microsoft_Security_Intelligence_Report_volume_11_English.pdf Quelques captures du document pour commenter. Méthode de Propagation Du côté des méthodes de propagation… Le document montre que […]

Bagle est un vers qui se propageaint par P2P qui a fait fureur entre 2007 et 2008 (voir sa fiche sur le forum https://forum.malekal.com/bagle-beagle-trojan-tooso-t4442.html?hilit=bagle#p29938 ). Ce dernier créés des droppers zippés avec des noms de cracks et les plaçait dans le dossier de partages du client P2P. L’internaute qui téléchargeait des […]

Un billet concernant les Windows 64 bits et les protections embarquées sur ces plateformes. Au vu des deux derniers billets sur les malwares Win32:RLoader-B : 247.sys / c_7265211.nls et Sirefef.B / Rootkit.Win32.ZAccess / MAX++, je me demandais ce qu’il en était sur ces plateformes. PatchGuard et un peu d’histoire. Qu’est ce que Patchguard […]

Depuis une semaine ou deux, les URLs qui droppaient auparavant des rogues de la famille suivante https://forum.malekal.com/est-que-les-rogues-scareware-t589.html#p161617 droppe maintenant un nouveau malware. Cette famille allait beaucoup par du Black SEO Google. 315139760.877 407 192.168.1.27 TCP_MISS/302 1000 GET http://www3.strongsentinelt.in/?nq5u7mnlm3=kuae2XSfoqOTo9zYr6KU0%2BaipZrd4tGpqZ%2BoatdpoKCfnpSX&5a95e0a=%03%02%03%02%02%03%05%08%00%03 – DIRECT/75.102.21.120 text/html 1315139761.363 290 192.168.1.27 TCP_MISS/200 4807 GET http://www2.topahscanner.rr.nu/d17g1r7yca?uud5p5dc=mdnaouShocfk6eXC0tWJ1tfSoqSprIql2ZmhlprQ0sPasLW1uZTR5bKsiqTjctvZzL%2BWw9HXoMPNt6qom%2B3ar9eXocfZ5uDIyZnGxKu0t5je5aFmqWeSlKqnnpKWpZqH4eLG5urooWaWrM3HsaekkY7n182ro5apqteWaKJolcSa4%2BOemaaUlp%2BhnamorYqZ36LFzOKs59jfppHU4uDU4NzoyaPkntLI4OOeytaZy9PV2Nav6uDIn9tZ – DIRECT/79.133.196.110 text/html […]

En checkant les fichiers receuillis par mes VM, je suis tombé sur deux trois fichiers dmX.exe ou X est un chiffre. Du coup je me suis demandé ce que c’était. http://www.virustotal.com/file-scan/report.html?id=57225a2773c0dcd379a771a847785d103e9107aff6c2ccf95fa941b1983276fb-1315077493 File name: dm8.exe Submission date: 2011-09-03 19:18:13 (UTC) Current status: finished Result: 21 /44 (47.7%) VT Community AhnLab-V3 2011.09.03.00 […]

A l’heure où les sujets ZAccess / Sereref commencent à exploser sur les forums de désinfection. Un petit mot concernants quelques sites faux sites de cracks, ces derniers existent depuis plusieurs mois, au départ, ils droppaient du TDSS dernièrement du ZAccess puisque c’est le nouveau malware à la mode. Tous les […]

Xylitol m’a filé un accès à un C&C de Spyeye (merci!) qui, je rappelle, est un malware de type Stealer/Banker. Ceci va vous permettre de voir que ce n’est pas un mythe et bel et bien réel. Que voler des informations est tout à fait simple, la difficulté étant de plutôt […]

Une autre campagne de mail “Uniform traffic ticket” qui reprend certainement les tickets de contravention pour excès de vitesse. La feinte habituelle, on prend une icône PDF alors que le fichier est un executable (.exe) mais comme les extensions sont masquées : Les extensions de fichiers et la sécurité Ce dropper […]

On continue avec les vidéos, après 25 ans de malwares et mise à jour du Projet AntiMalwares et Envoyé Spécial : Cybercriminalité (2009) Un document un peu plus récent d’Arte sur la “guerre invisible”, la guerre informatique que se livre les gouvernements. La vidéo parle entre autre des botnets/PCZombis, je […]

Suite au post d’hier 25 ans de malwares et mise à jour du Projet AntiMalwares avec la vidéo sympa de Mikko Hyppönen, je me suis souvenu en 2009 d’un reportage d’envoyé spéciale sur la cybercriminalité qui lui aussi était pas trop mal. Le reportage est de 2009, donc les malwares […]

Vu sur Korben,  une vidéo sympa de Mikko Hyppönen(F-Secure)  qui montre l’évolution des malwares depuis ces 25 derniers années. J’en profite pour vous signaler que j’ai mis à jour les PDF du Projet Anti-Malware. Pas de révolutions puisque l’évolution pour infecter les malwares est lente, néanmoins un paragraphe complet sur […]

Un nouveau rogue, et comme on arrête pas le progrès, ce dernier est en français sans réellement faute de traduction apparente : Antivirus 2011 Ce dernier affiche des alertes pour les malwares imaginaires suivants : Win32.Spamta.KG Trojan.IRCBot.d Trojan.Dropper.MSWord.j Win32.Clagger.C Worm.Baggle.CP Win32.BlackMail.xx Trojan.Win32.Agent.ado Win32.Outsbot.u C:/windows/system32/ Win32.PerFiler Win32.Miewer.a Spy.Agent.g Win32.Peacomm.dam Backdoor.Jix.b Trojan-PSW.Win32 […]

Suite à ce post : http://www.commentcamarche.net/forum/affich-22902957-virus-page-d-accueil-netcourrier-com Un petit tour sur le site netcourrier (un service de mail gratuit), montre lance le téléchargement d’un malware par un exploit sur site WEB. L’adresse du malware est : http://weblbir.dyndns-web.com/cgi-bin/c1b3bf9524b29e67734a1d3e5cc152c6.php?search=us&t=3324645&page=2& Ce dernier est délivré par ads.mailobject.net qui est utilisé par netcourrier La page contactée : […]

Xylibox a posté sur son blog une étude de malware qui fait un peu de bruit : http://xylibox.blogspot.com/2011/07/trojanfakeavlvt.html Le malware se propage à travers des messages de commentaires sur Facebook qui conduit à de fausses pages Youtube comme celle-ci dessous : Un fichier Flash-Player.exe est proposé en téléchargement pour lire […]

Deux pages ont été revues afin de parler un peu de Pjjoint et les remettre à niveaux car elles étaient assez anciennes  : OTL/HijackThis & localisation des malwares sur le système  Maitriser les programmes au démarrage La première page décortite de manière général, les rapports HijackThis et OTL avec quelques […]

Un billet qui parle un peu de l’évolution du taux de détection dans le temps. Vous comprendrez pourquoi, il y a quelques années je tappais sur les comparatifs à base de scans à la demande : Comparatif Antivirus : Scan à la demande, c’est débile! Il semblerait, d’après le peu […]