Blog Actu News Anti Virus

attention aux emails que vous pouvez recevoir, exemple d'un email exploitant la crédulité des "web surfeurs"

---

Subject: Internet Explorer 7
From: admin@microsoft.com <xxxx@domaine.tld>

Download the latest version!

About this mailing: You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.

©2008 Microsoft | Unsubscribe | More Newsletters | Privacy

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

---

Ce type d'email vous invite à télécharger une nouvelle version de Internet Explorer 7. Ne cliquez surtout pas sur le lien de téléchargement : " Download the latest version! "

Si vous cliquez, vous serez dirigé non pas sur le site de Microsoft mais sur un site infecté par un pirate avec une adresse du genre "http://www.cefxxxxx.com/images/update.exe ". Le fichier que vous téléchargerez est infecté par Trojan-Downloader.Win32.Small.aafh virus

Si vous avez une licence Kaspersky à jour, vous êtes protégé de ce genre de codes, sinon..... il vous suffit d'installer une KIS

Dans tous les cas, NE CLIQUEZ JAMAIS SUR UN LIEN DOUTEUX.

Si vous avez une KHSS Web Security vous avez ce genre de message d'alerte :

---

Access Denied

The web resource http://boating-xxxxxxxxxxx.com/update/update.exe has been deemed by your administrator to be unsafe or unsuitable for you to access. The resource has been blocked. No further action is required.

Reason: Trojan-Downloader.Win32.Small.aafh

---

A vos mises à jours

De nouveaux vers ciblent les usagers de MySpace et Facebook

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) a identifié deux variantes d’un nouveau ver, Networm.Win32.Koobface.a et Networm.Win32.Koobface.b qui ont pris pour cible MySpace et Facebook. La charge malicieuse de ces vers transforment les machines victimes en PC zombies qui contribuent à la formation de botnets.

Même si les vers infectent en ce moment seulement les usagers de MySpace et Facebook, les experts de Kaspersky Lab mettent en garde les utilisateurs car ces vers sont conçus pour télécharger des modules malicieux dotés d’autres fonctionnalités via Internet. Il est fort probable que les PCs victimes ne seront pas seulement exploités pour propager des liens via des sites de réseaux sociaux, mais les botnets seront également utilisés dans des buts malicieux tiers.

Net-Worm.Win32.Koobface.a se propage lorsqu’un usager accède à son compte MySpace. Le ver crée une série de commentaires dans les comptes d’amis. Net-Worm.Win32.Koobface.b, qui cible les usagers de Facebook, génère quant à lui des spams et les envoie aux amis de l’utilisateur infecté via le site de Facebook. Les messages et commentaires incluent des textes du style Paris Hilton lance un nain dans la rue ; Bonjour, tu dois absolument voir ça !!! LOL. Un des mes amis t’a filmé en caméra caché ; Est-ce vraiment une célébrité ? Situations marrantes et beaucoup d’autres.

.../...

• http://www.kaspersky.com/fr/news?id=207217105

Kaspersky Lab éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.) identifie un programme malicieux qui infecte les fichiers audio WMA. L’infection entraîne le téléchargement d’un programme de type cheval de Troie qui permet au cyber-malfaiteur de prendre le contrôle du poste de l’utilisateur.

Le ver, dénommé Worm.Win32.GetCodec.a, convertit des fichiers mp3 au format WMA (tout en conservant l’extension mp3), et y ajoute une balise qui contient un lien vers une page web infectée. Le lien est activé automatiquement au moment de la lecture du fichier. Une page infectée s’ouvre alors dans le navigateur et propose à l’internaute le téléchargement d’un fichier codec. Si l’utilisateur accepte de télécharger ce fichier, le Trojan Proxy.Win32.Agent.arp s’installe sur l’ordinateur et le cyber-malfaiteur obtient le contrôle du PC.

Jusqu’ici le format WMA n’était utilisé par les chevaux de Troie que pour masquer leur présence dans le système (autrement dit les objets infectés n’étaient pas des fichiers audio). Or le ver Worm.Win32.GetCodec.a infecte les fichiers audio ce qui selon les experts de Kaspersky Lab, est une première. En outre, ce type d’attaque peut s’avérer relativement dangereuse du fait que les utilisateurs font relativement confiance à leurs fichiers media et ne les considèrent pas comme des objets dangereux.

La signature de Worm.Win32.GetCodec a été ajoutée à la base de signatures antivirales de Kaspersky Lab peu après sa détection.

• http://www.kaspersky.com/fr/news?id=207217100

15 July 2008 Worm.Win32.GetCodec.b 19:46 03:42 10 July 2008 Worm.Win32.GetCodec.a 22:44 09:56

• http://www.kaspersky.com/viruswatchlite?search_virus=Worm.Win32.GetCodec&hour_offset=-2&x=0&y=0

Kaspersky Lab identifie une nouvelle version du code malicieux Gpcode - Virus.Win32.Gpcode.ak.

Cette nouvelle variante de Gpcode chiffre les fichiers aux extensions DOC, TXT, PDF, XLS, JPG, PNG, CPP, H et autres sur les disques durs à l'aide de l'algorithme de chiffrement RSA 1024 bit.

Après avoir chiffrés les fichiers, le virus affiche le message suivant :

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor
To buy decrypting tool contact us at: ********@yahoo.com

[Traduction: Vos fichiers sont chiffrés par un algorithme RSA-1024. Pour restaurer vos fichiers vous devez acheter notre décodeur. Pour acheter le décodeur, contactez-nous à l'adresse ********@yahoo.com.]

A l'heure actuelle il n'y a aucun moyen de récupérer les données sans céder au chantage.

Kaspersky Lab recommande fortement à tous les internautes d'activer sur leur PC le niveau de protection maximal contre les codes malicieux et les attaques de réseaux, et d'éviter d'ouvrir des programmes suspects en provenance de sources inconnues.

La procédure de détection de Virus.Win32.Gpcode.ak a été ajoutée dans les bases de signatures de Kaspersky Lab le 04 juin à 18.39 GMT+3.

• http://www.viruslist.com/fr/viruses/alerts?alertid=200468509

Programme malicieux qui chiffre les données de l'utilisateur sur le PC victime. Il s'agit d'une application Windows (fichier PE EXE) de 8030 octets.

Page d'accueil / Virus / Encyclopédie Virus Virus.Win32.Gpcode.ak Autre version: .ac, .ae, .af, .ag, .ai, .f

Date de détection 04 jui 2008 14:39 GMT Date de publication 06 jui 2008 Comportement Virus Plateforme Win32

   * Détails Techniques
   * Action destructrice

Détails Techniques

Programme malicieux qui chiffre les données de l'utilisateur sur le PC victime. Il s'agit d'une application Windows (fichier PE EXE) de 8030 octets. Action destructrice

Une fois exécuté, le virus crée en mémoire un identifiant unique (mutex) _G_P_C_, pour indiquer sa présence dans le système.

Le virus passe ensuite en revue tous les disques logiques à la recherche de fichiers appropriés au chiffrement.

Le programme malicieux utilise Microsoft Enhanced Cryptographic Provider v1.0 (intégré dans Windows) pour chiffrer les fichiers. Les fichiers sont cryptés à l'aide de l'algorhitme RC4. La clé de chiffrement est ensuite chiffrée à l'aide d'une clé publique RSA (1024 bit) présente dans le corps du virus.

L'algorithme RSA présente deux types de clés de chiffrement - privée et publique. Pour crypter les messages, une clé publique suffit. Un message chiffré lui ne peut être décrypté qu'à l'aide d'une clé privée.

.../...

• http://www.viruslist.com/fr/viruses/encyclopedia?virusid=313444

Kaspersky vient de détecter une importante diffusion de spams à l’approche de la Saint-Valentin. Ce spam représente environ 5% du trafic total de spams. La base d’estimation repose sur le trafic filtré par le service Kaspersky Hosted Security Services.

La diffusion de ces spams s’effectue à l’échelle mondiale. Kaspersky Lab l’a détecté à deux heures du matin (GMT+3) le 12 février. Sur le segment russe d’internet, les messages malicieux n’ont commencé à se propager que durant la journée du 12. En ce moment, la quantité de spams ne faiblit pas.

Le texte du message invite à aller sur un site pour ouvrir une carte Saint-Valentin. Lorsque l’internaute clique sur le lien, le fichier malicieux Packed.Win32.Tibs.ic. est automatiquement téléchargé. Voici ci-dessous les captures d’écran de ces messages ainsi que les cartes virtuelles qui apparaissent sur les sites web infectés :

.../...

• http://www.kaspersky.com/fr/news?id=207217061

Bonsoir,

si vous êtes un client de chez Ovh.com vous avez pu recevoir ce courriel là :

---

Roubaix, le 2008-01-22 12:11:10,

Bonjour,

Etant membre de la communaute ovh, nous vous proposons d’utiliser en avant première notre nouveau programme de gestion de votre compte OVH. Celui-ci n’est que le manager v4 qui va succeder au manager v3 actuel, ainsi qu’au programme MoM (http://www.ovh.com/fr/entreprise/espaceclients/outils/mom.xml).

Vous pouvez des a present le telecharger a partir d’ici : managerV41.zip Cette version n’est pas une version beta, donc vous ne devriez pas rencontrer de problèmes. Au cas ou, vous pouvez nous envoyer un feedback à mom@ovh.com.

MAJ: Suite a une erreur de programmation, nous venons de mettre une nouvelle version du logiciel en ligne.

Bien cordialement, L'équipe d'OVH.

Tel : 0 899 701 761 du Lundi au Vendredi de 9h00 à 18h00 (1,349 TTC par appel puis 0,337 TTC la minute partout en France metropolitaine)

---

Ce courriel ne provient pas de la societe OVH

Le courriel essaye de vous faire télécharger un fichier "managerV41.zip".

Ce fichier apres analyse par le Virus Lab confirme que ce fichier contient un Trojan

KLAB-3854581

Hello,

manager.qm, manager.ts, msvcr71.dll, qt-mt333.dll

No malicious code were found in these files.

managerV4.exe_ - Trojan-Dropper.Win32.Agent.dwc

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Date de la MAJ des bases AV

24 January 2008 Trojan-Dropper.Win32.Agent.dwc 16:23

• http://www.kaspersky.com/viruswatchlite?search_virus=Trojan-Dropper.Win32.Agent.dwc&hour_offset=-2&x=0&y=0

Si par malheur vous avez ouvert et executé ce Trojan, il est urgent de scanner votre ordinateur et de nettoyer celui ci.

Vous pouvez si vous le souhaitez tester une version d'évaluation de 30 jours KAV7, KIS7, Workstation6

A vos MAJ et à votre SCAN

• http://telecharger.antivirus-france.com

Essayez gratuitement Kaspersky Anti-Virus/Internet Security 7 pendant 30 jours

• http://eurnet.kaspersky.fr/?ShowID=1518

---

Si vous remontez l'échantillon que vous avez reçu par email via, http://www.kaspersky.com/scanforvirus, vous allez avoir ceci.

Vous pouvez aussi utiliser notre WebScanner en autorisant l'installation de l'active X de Kaspersky

• http://webscanner.antivirus-france.com

---

Petit HowTo

Voilà ce que cela donne si vous avez ouvert ce virus, pour la démo on va travailler avec le "virus" renommé en .TXT managerV4.exe.txt

Une fois l'installation de la Kis7 est fait, il faut "forcer" la mise à jour des bases AntiVirales

Une fois que les MAJ sont faites, à partir de ce moment le virus est reconnu par la KIS7. Si vous lancez l'analyse de ce fichier vous aurez ceci.

A partir de ce moment la, il vous suffit de "cliquer" sur supprimer et le Trojan a été effacé.

Vous devriez avoir cet écran

Il ne vous reste plus quà scanner l'integralité des disques durs de votre PC pour être sur qu'il n'existe pas d'autres codes "malicieux ou malveillants"

Vous devriez ainsi avoir cela en théorie, sauf si vous aviez d'autres "bestioles"

Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.

Arrivée du malware

Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.

Activation du malware :

L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR. L'extension SCR, selon les operating systems est cachée.

Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.

Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.

la suite sur :

• http://marc-blanchard.com/blog/index.php/2007/09/11/12--alerte-un-vers-se-propage-sur-le-rseau-skype-et-sa-voip

Skype, éditeur du logiciel de VoIP, publie une alerte: un ver circule sur la Toile et menace les utilisateurs de la solution qui utilisent des OS Windows Publicité

Surnommé Ramex.a par un porte-parole de Skype, et Pykspa.d par les ingénieurs de Symantec ( *.Skipi.* par les analystes de chez Kaspersky ), le ver qui fait l'objet d'une alerte par Skype, utilise une méthode d'attaques connue.

Après avoir dérobé la liste des contacts de l'utilisateur infecté, ce ver diffuse des messages instantanés qui contiennent un lien Internet.

Les contacts qui cliquent sur le lien, qui se présente comme une image JPG, sont immédiatement infectés.

.../...

• http://www.silicon.fr/fr/silicon/news/2007/09/11/alerte-un-ver-se-prom-ne-skype

A VOS M.A.J., ne pas oublier que Kaspersky à une fréquence de mise à jour de plus ou moins 1h, voire même en dessous d'une heure

Informations

• Fréquence moyenne des mises à jour (7 derniers jours) : 40mn 29s
• Date de la dernière mise à jour des bases : 11/09/2007 à 16:48:10
• Nombre de définitions dans les bases standards : 387891
• Nombre de définitions dans les bases étendues : 413146
• Taille actuelle de la mise à jour par le Daily.zip: 936.92 Ko

• http://support.kaspersky.fr/menaces.php

NB : le virus est connu et detecté par Kaspersky, il ce nomme : Worm.Win32.Skipi.* ( a priori aucun rapport avec le Kangourou ) sauf si..., merci Marc

• http://www.kaspersky.com/viruswatchlite?search_virus=skipi&x=0&y=0&hour_offset=-2

Kaspersky Lab a identifié une diffusion massive d'une nouvelle variante de Warezov - Email-Worm.Win32.Warezov.nf. La diffusion a démarré le 19 avril 2007.

Warezov.nf représente à l'heure actuelle 70-85% du trafic de courrier malicieux dans différentes parties du monde - Etats-Unis, Europe, Russie. Son comportement est très proche de Email-Worm.Win32.Warezov.mx.

Quelques heures auparavant, une autre version de Warezov se diffusait également activement dans le trafic de messagerie - Warezov.do - détectée le 20 octobre 2006.

Si vous êtes un utilisateur de Kaspersky Anti-Virus/Kaspersky Internet Security 6.0 et que l'option Protection Proactive est activée, les nouvelles variantes seront alors détectées sans avoir recours à la mise à jour des bases antivirales.

Une description détaillée de Warezov.nf sera disponible très prochainement sur l'encyclopédie des virus de Kaspersky Lab.

• http://www.viruslist.com/fr/viruses/alerts?alertid=200468508

Kaspersky Lab a identifié une diffusion massive d'emails d'une nouvelle variante de Warezov - Email-Worm.Win32.Warezov.mx.

Le ver se diffuse dans une pièce jointe à un email infecté.

Une mise à jour urgente des bases de signatures antivirus a été diffusée.

Si vous êtes un utilisateur de Kaspersky Anti-Virus/Kaspersky Internet Security 6.0, activez la Protection Proactive. Les nouvelles variantes seront alors détectés sans avoir recours à la mise à jour des bases antivirales.

Une description détaillée de Email-Worm.Win32.Warezov.mx sera bientôt disponible dans l'encyclopédie des virus de Kaspersky Lab.

• http://www.viruslist.com/fr/viruses/alerts?alertid=200468507

Kaspersky Lab a identifié une diffusion massive d'emails d'une nouvelle variante de Warezov - Email-Worm.Win32.Warezov.ms. La diffusion a démarré le 03 avril 2007.

Le ver se diffuse dans une pièce jointe à un email infecté. Une fois exécuté, il peut désactiver les programmes antivirus et le pare-feu ainsi que télécharger d'autres malwares.

Une mise à jour urgente des bases de signatures antivirus a été diffusée.

Si vous êtes un utilisateur de Kaspersky Anti-Virus/Kaspersky Internet Security 6.0, activez la Protection Proactive. Les nouvelles variantes seront alors détectés sans avoir recours à la mise à jour des bases antivirales.

Une description détaillée de Email-Worm.Win32.Warezov.ms est disponible dans l'encyclopédie des virus de Kaspersky Lab.

• http://www.viruslist.com/fr/viruses/alerts?alertid=200468506

De nombreuses variantes de Email-Worm.Win32.Zhelatin se diffusent en ce moment. Zhelatin.u, Zhelatin.r and Zhelatin.t sont les variantes les plus récentes.

Les fonctions des nouvelles variantes sont relativement similaires aux précédentes.

Nous rappelons aux utilisateurs de vérifier que leur solution de sécurité est bien à jour et de scanner tout email suspect à l'aide d'une solution antivirale.

Si vous êtes un utilisateur de Kaspersky Anti-Virus 6.0, activez la protection proactive, et les nouvelles variantes seront détectées sans avoir recours à la mise à jour des bases antivirales.

Une description détaillée de Email-Worm.Win32.Zhelatin.a est disponible sur l'Encyclopédie des Virus.

• http://www.viruslist.com/fr/viruses/alerts?alertid=200468505

Kaspersky Lab a identifié une nouvelle variante de Zhelatin, Email-Worm.Zhelatin.u.

Zhelatin.u est une version recompactée d'une variante antérieure et possède les mêmes fonctions que les variantes précédentes.

Nous rappelons aux utilisateurs de vérifier que leur solution de sécurité est bien à jour.

Si vous êtes un utilisateur de Kaspersky Anti-Virus 6.0, activez la protection proactive, et les nouvelles variantes seront détectées sans avoir recours à la mise à jour des bases antivirales.

• http://www.viruslist.com/fr/viruses/alerts?alertid=200468504

Kaspersky Lab a identifié une diffusion de masse du ver Email-Worm.Win32.Zhelatin.o, qui se propage dans une pièce jointe à un email infecté.

Zhelatin.o présente de nombreuse similarités avec la première variante de Zhelatin - Zhelatin.a.

Les bases antivirales de Kaspersky anti-virus sont mises à jour. Nous recommandons fortement aux utilisateurs de mettre à jour leur base le plus vite possible.

• http://www.viruslist.com/fr/viruses/alerts?alertid=200468503

Kaspersky Lab a détecté une diffusion massive de nouvelles versions du ver de courrier Email-Worm.Win32.Warezov depuis le 15 janvier 2007.

Une nouvelle version est envoyée à chaque diffusion massive de messages électronique. Ces variantes sont très similaires et se présentent sous la forme d’une pièce jointe au message. Une fois que ce ver a été exécuté, il peut forcer l’arrêt du logiciel antivirus et du pare-feu et télécharger d’autres programmes malveillants.

Les bases antivirus ont été actualisées pour toutes les versions les plus récentes. Nous recommandons fortement aux utilisateurs de Kaspersky Lab de mettre à jour les bases de leur antivirus.

A noter que lorsque la protection proactive est activée dans Kaspersky Anti-Virus version 6.0, le logiciel est capable d'identifier ce malware sans mise à jour des bases de signatures.

• http://www.viruslist.com/fr/viruses/alerts?alertid=200468502