Jean-Marc, XP Geek ! : Malwares

Protection contre les virus, logiciels espions et logiciels malveillants : Microsoft Security Essentials

jeanmarc — Tue, 29 Sep 2009 15:32:43 GMT

Et voilà, MSE est disponible. Pour tous ceux qui n’aiment pas les usines à gaz…

Microsoft Security Essentials est disponible en téléchargement gratuit (WGA doit valider votre licence Windows) auprès de Microsoft. Il s'agit d'un composant simple à installer, facile à utiliser et toujours à jour pour que vous ayez la garantie que votre PC est protégé par les toutes dernières technologies. Vous pouvez facilement savoir si votre PC est sécurisé : lorsque le voyant est au vert, tout va bien. C'est aussi simple que cela.

Protection contre les virus, logiciels espions et logiciels malveillants | Microsoft Security Essentials

Mise à jour pour la fonctionnalité exécution automatique dans Windows

jeanmarc — Tue, 25 Aug 2009 21:10:14 GMT

Cette mise à jour de la fonctionnalité d’exécution automatique désactive la fonction d’autorun pour les supports USB sous Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008.

Je vous la recommande chaudement !

Source : Mise à jour pour la fonctionnalité exécution automatique dans Windows

Autoruns v9.52 et procmon v2.5

jeanmarc — Fri, 24 Jul 2009 11:00:36 GMT

Ces excellents outils viennent d’être mis à jour. Rechargez vos clés USB !

Autoruns v9.52: Autoruns v9.52 fixes some minor bugs including one where Ctrl+C didn’t copy the entire entry to the clipboard.

Procmon v2.5: This significant update to Process Monitor adds a number of enhancements, including new by-extension and by-directory views in the File Summary dialog, a new Network Summary view, quick filtering in all the summary views, additional IOCTL and error result decoding, and a number of bug fixes.

Source : Sysinternals Site Discussion : Updates: Autoruns v9.52, VMMap v2.2, procdump v1.2, procmon v2.5 | Marks Blog: Pushing the Limits of Windows: Processes and Threads

0-Day Flash et Acrobat Reader

jeanmarc — Thu, 23 Jul 2009 20:57:12 GMT

C’est une faille d’importance qui frappe le composant flash d’Adobe ainsi qu’Acrobat Reader, même lorsque l’exécution du javascript est désactivée dans A.R…

L’exploit est actuellement utilisé (in the wild) et le malware ainsi déposé/exécuté récupère les droits de l’utilisateur (vive UAC !).

Adobe a publié un bulletin sur cette vulnérabilité.

Source : ISC via Communauté SecurityVibes - Flash troué, navigateurs (aussi) affaiblis

Download details: IE App Compat VHD

jeanmarc — Mon, 23 Mar 2009 21:31:47 GMT

Voici quelques VHD pré-configurés pour tester IE 6 / 7 / 8… et accessoirement quelques exécutables à risque si vous aimez jouer avec le feu…

This download page contains different VPC images, depending on what you want to test.

IE6-XPSP3.exe contains a Windows XP SP3 with IE6 VHD file. Expires April 30, 2009
IE7-XPSP3.exe contains a Windows XP SP3 with IE7 VHD file. Expires April 30, 2009
IE8-XPSP3.exe contains a Windows XP SP3 with IE8 VHD file. Expires April 30, 2009
IE7-VIS1.exe+IE7-VIS2.rar+IE7-VIS3.rar contain a Vista Image with IE7 VHD file. Expires 120 days after first run.

Download details: IE App Compat VHD

A utiliser avec Microsoft Virtual PC 2007 SP1, évidemment… ;-)

Safari, IE8 et Firefox dans le même panier…

jeanmarc — Sat, 21 Mar 2009 10:10:19 GMT

Il n’a fallu que quelques secondes à Charlie Miller, l’un des participants au concours Pwn2Own organisé par Tipping Point, pour prendre le contrôle complet d’un MacBook par l’intermédiaire du navigateurs Safari qui y était installé.

Dans la même journée, c’est “Nils” qui nous gratifie d’une attaque “drive by download” sur la dernière version du navigateur Internet Explorer, la 8, prenant le contrôle total de Windows 7 sur la machine visée… ainsi que d’une seconde attaque réussie sur le MacBook via Safari..

C’est également ce même participant qui exploite, plus tard dans la journée, un “zero day” sur firefox, signant alors une triple infection de trois navigateurs et deux OS différents.

Heureusement, ces exploits sont maintenant aux mains de la société “Tipping Point”, qui travaille en collaboration avec les différents éditeurs afin de résoudre ces failles.

Sources :

Security Garden: Pwn2Own Trifecta: Safari/MacBook, IE8 and Firefox

http://blogs.technet.com/ecostrat/archive/2009/03/18/cansecwest-caution-community-at-play.aspx

http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009

Spybot et IE8 : attention aux ralentissements

jeanmarc — Sat, 21 Mar 2009 09:30:52 GMT

C’est Donna qui nous met en garde (en anglais) contre l’association d’IE8 et du module résident de Spybot : lorsque la liste des sites restreints est importante, il peut se produire de forts ralentissements dans IE8, à la fois dans XP et Vista.

Source et liens complémentaires : IE8 issues if immunization by Spybot-S&D is enabled - Donna's SecurityFlash

Flash Player 10.0.22.87

jeanmarc — Wed, 25 Feb 2009 12:00:06 GMT

APSB09-01 - Flash Player update available to address security vulnerabilities

"Adobe recommends all users of Adobe Flash Player 10.0.12.36 and earlier
versions upgrade to the newest version 10.0.22.87..."

http://www.adobe.com/support/security/bulletins/apsb09-01.html

Si vous n’arrivez pas à faire la mise à jour, rendez-vous ici :

C:\Windows\System32\Macromed\Flash\

et lancez le programme “flashutil…” en ayant pris soin de fermer I.E. avant…

Conficker : une compilation de liens utiles

jeanmarc — Fri, 13 Feb 2009 11:53:05 GMT

C’est là :

SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc

[mailbag] Messages RUNDLL et Application Error

jeanmarc — Thu, 05 Feb 2009 21:39:34 GMT

Bonsoir à tous et bonsoir à Yvon qui m’écrit :

[snip]

J'ai 2 fenêtre de messages à l'ouverture de mon ordinateur
1-RUNDLL
Erreur de chargement de C:\PROGRA-1\MYWEBS-1\bar\1.bin\M3PLUGIN.DLL
Le module spécifié est introuvable

Ici, il s’agit d’une barre de recherche MyWebSearch, considérée comme un malware et qui a certainement été nettoyée incomplètement par un anti-virus ou un anti-malware.

La solution pour supprimer ce message consiste à utiliser un utilitaire comme Autoruns afin d’effacer simplement la ligne rundll32 qui fait appel à ce fichier manquant.

Le problème c’est que ce malware a surement laissé d’autres traces que l’on peut découvrir sur cette page (en anglais).

2-Application Error
Exception EFOpenError in module 1600232252.exe at 0026B93.
Cannot open file"C:\Documents and Setting\All Users\Application Data\1398180795\Langs.udb". Le fichier spécifié est introuvable.

Dès le premier abord, ce second message est suspect. En effet, le nom de l’exécutable est un nombre qui semble aléatoire et destiné à embrouiller un utilisateur novice. Logiquement, on peut penser avoir affaire à un malware qui aurait du mal à se lancer (heureusement) et la désactivation par Autoruns me semble toute indiquée.

Ces 2 erreurs n’augurent rien de bon pour la santé de l’ordinateur et il me semble souhaitable de faire un scan anti-virus complet ainsi qu’un scan avec un bon logiciel anti-malware (un vrai, pas un “rogue” !!!) tel que MBAM.

Dernier petit conseil, reste méfiant avec les installations de logiciels gratuits, certains sont des malwares camouflés.

MS08-067 : W32.Downadup.B

jeanmarc — Wed, 31 Dec 2008 17:00:25 GMT

A tous ceux qui n’ont pas encore installé le patch MS08-067, il est grand temps de le faire…

W32.Downadup.B is a worm that spreads by exploiting the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874). It also attempts to spread to network shares protected by weak passwords and blocks access to security-related Web sites.

Lire la description complète : W32.Downadup.B - Symantec.com

Update : On parle certainement de la même bestiole ICI.

Update from comments (thanks to Carlo Pagani) :

Quick way to kill if you are infected.

1. dir *.* /ahs in \System32 folder

2. If you see a .DLL file (not always .dll) then you are probably infected.

3. Using process explorer, search for the name you see, then close the handle of the file. If you do not find it in process explorer then it is not active yet but proceed to 4 anyway.

4. Take ownership of the file

5. Delete file

6. Check \WINDOWS\TASK for any job file that does not belong there

7. Look for Autorun.inf file in root. If there, take ownership and delete

8. Reboot

9. Enable BITS and Auto update services as the worm disables these.

10. Update windows.

F-Secure : E-Volution des malwares

jeanmarc — Wed, 19 Nov 2008 12:53:52 GMT

Intéressant :

Security Update available for Adobe Reader 8 and Acrobat 8

jeanmarc — Sat, 08 Nov 2008 19:28:57 GMT

C’est le moment de patcher, la vulnérabilité est activement exploitée et AUCUN anti-virus ne détecté cette attaque pour le moment…

Critical vulnerabilities have been identified in Adobe Reader and Acrobat 8.1.2 and earlier versions. These vulnerabilities would cause the application to crash and could potentially allow an attacker to take control of the affected system.

Source : Adobe - Security Advisories : APSB08-19 - Security Update available for Adobe Reader 8 and Acrobat 8

Exploit.Win32.MS08-067 : nous y voilà…

jeanmarc — Mon, 03 Nov 2008 20:01:54 GMT

On attendait un petit frère à Blaster, le voici :

Exploit.Win32.MS08-067.g [Kaspersky Lab]
Mal/Generic-A [Sophos]
Exploit:Win32/MS08067.gen!A [Microsoft]
Virus.Exploit.Win32.MS08.067.g [Ikarus]

A mon avis, ce n’est que le début… :’(

ThreatExpert Report: Exploit.Win32.MS08-067.g, Mal/Generic-A, Exploit:Win32/MS08067.gen!A..

Un virus qui passe…

jeanmarc — Fri, 10 Oct 2008 15:15:13 GMT

Allez hop, poubelle direct…

Microsoft n’envoie jamais de patchs par mail ! Vous avez un doute ? Rendez-vous sur Windows Update et ne vous fiez ni aux mails, ni aux liens contenus dans ceux-ci !

NB: Windows Defender sonne l’alarme également si on tente de manipuler le fichier joint !

Flash Player workaround available for "Clickjacking" issue

jeanmarc — Wed, 08 Oct 2008 09:14:48 GMT

A lire, un petit réglage pour votre sécurité :

Adobe is aware of recently published reports of a ‘Clickjacking’ issue in multiple web browsers that could allow an attacker to lure a web browser user into unknowingly clicking on a link or dialog. It has been determined that this potential "Clickjacking" issue affects Adobe Flash Player. Adobe is working to address this issue in an upcoming update to Flash Player.

Solution

Customers:

To prevent this potential issue, customers can change their Flash Player settings as follows:

Access the Global Privacy Settings panel of the Adobe Flash Player Settings Manager at the following URL: http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html

Select the "Always deny" button.

Select ‘Confirm’ in the resulting dialog.

Le bulletin complet ici : Flash Player workaround available for "Clickjacking" issue

Désactiver l’autorun.inf

jeanmarc — Mon, 06 Oct 2008 10:58:24 GMT

Xavier nous donne une excellente astuce :

[…] désactiver l’exécution automatique des fichiers “autorun.inf” […]

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”

En fait, cette valeur indique à Windows d’ignorer le fichier autorun.inf !

Testé et approuvé pour Vista.

Source et article complet.

Microsoft Security Intelligence Report

jeanmarc — Fri, 26 Oct 2007 15:50:15 GMT

Intéressant à lire si vous vous intéressez à la sécurité et à l'évolution des malwares...

The Microsoft Security Intelligence Report (SIR) provides an in-depth perspective on the changing threat landscape including software vulnerability disclosures and exploits, malicious software (malware), and potentially unwanted software. Each individual report focuses on data and trends observed in either the first or second half of each calendar year and uses historical data to provide context. The purpose of the SIR is to keep Microsoft’s customers informed of the major trends in the threat landscape and to provide valuable insights and security guidance designed to help customers improve their security posture in the face of these threats.

The third volume of the Microsoft Security Intelligence Report (SIR) is now available :

Microsoft Malware Protection Center - Security Intelligence Report

Ou directement ici.

Sécurité : e-mag sur MPack, IcePack, n404, Torpig et de la Bluepill

jeanmarc — Fri, 21 Sep 2007 17:58:32 GMT

D'accord, c'est une news-letter, mais qui tient plus, à mon avis, du e-mag, tellement le contenu est intéressant. Voyez donc par vous-même :

Les kits de hacking à la portée de tous : Mpack, IcePack, n404, Fishing Bait, Shark.
Les rootkits basés sur la virtualisation hardware : la BluePill et Vitriol
Les vulnérabilités du mois : flux vidéo vérolés dans MSN Messenger, attaque BIND
Outils : BHODemon, Comodo Personnal Firewall, Recover file, Revo uninstaller

Bref, un site à bookmarker d'urgence, pour tous ceux qui s'intéressent à la sécurité !

N° 16, Septembre 2007 : Version PDF

Bonne lecture !

N° précédents

Malware Removal Starter Kit

jeanmarc — Thu, 13 Sep 2007 17:00:47 GMT

Pour ceux qui l'auraient loupé, voici une intéressante documentation (en anglais) qui vous guidera afin de créer un CD Windows PE contenant des outils de désinfection.

Ce CD vous permettra de scanner un PC, sans avoir à démarrer le système malade et donc sans courir le risque de voir le malware intervenir pour empêcher son nettoyage.

Téléchargement : Download details: Malware Removal Starter Kit