Jean-Marc, XP Geek ! : Trucs et astuces, Malwares

Malware Removal Starter Kit

jeanmarc — Thu, 13 Sep 2007 17:00:47 GMT

Pour ceux qui l'auraient loupé, voici une intéressante documentation (en anglais) qui vous guidera afin de créer un CD Windows PE contenant des outils de désinfection.

Ce CD vous permettra de scanner un PC, sans avoir à démarrer le système malade et donc sans courir le risque de voir le malware intervenir pour empêcher son nettoyage.

Téléchargement : Download details: Malware Removal Starter Kit

[Doc'XP] Booter sur un BARTPE depuis le réseau

jeanmarc — Wed, 05 Jul 2006 19:23:00 GMT

C'est un nouveau tutorial qui vous montre comment démarrer un pc sans lecteur de DVD / CD sur un OS de dépannage BART PE.

http://docxp.mvps.org/Vista/BartPE_PXE.html

Windows Defender Beta 2

jeanmarc — Tue, 14 Feb 2006 16:55:00 GMT

ça y est, il est disponible !

La mise à jour de Microsoft AntiSpyware.... enfin, Windows Defender vient d'être mise à disposition sur le site Microsoft à destination des utilisateurs de Windows 2000 SP4, Windows 2003 SP1 et Windows XP SP2. (32 et 64 bits)

Ah, au fait, si vous avez un XP Français... vous aurez une erreur 1609 à l'installation...

Ce n'est plus le cas, une version sans ce problème est maintenant proposée...

Quelques mises à jour...

jeanmarc — Sat, 04 Feb 2006 07:52:00 GMT

...de mes utilitaires préférés :

WMF : Un point d'étape

jeanmarc — Mon, 02 Jan 2006 16:38:00 GMT

L'information sur cette faille est abondante et nécessite de faire le point :

Cette faille était déjà exploitée depuis environ 1 mois, voire plus. (bien avant que les médias ne s'emparent de l'affaire)
Elle est extrêmement critique et concerne I.E., mais aussi FF et d'autres navigateurs alternatifs. (elle n'attaque pas le navigateur lui-même, mais un des éléments qui sert à traiter les images)
Des mails et des liens dans les messageries instantanées sont maintenant utilisés pour envoyer ces images infectées aux cibles potentielles. Il n'est donc plus nécessaire de se rendre sur un site dangereux pour être infecté, puisque c'est l'infection qui vient à vous !
De nombreuses variantes existent dans 2 générations. La plupart des éditeurs antivirus ont mis à jour leurs bases de signature pour la première génération de WMF infectés; pour la deuxième, seuls McAfee (à partir de DAT 4664), Symantec et e-Trust ont mis à jour leurs bases (d'après ISC).

Une video démontre le caractère critique du problème et certains pourraient bien y reconnaître un aperçu de leurs propres soucis.

Microsoft a publié un bulletin d'alerte et propose, faute de mieux pour le moment, une solution qui vous couvrira (mais pas à 100 %) :

Démarrer > Exécuter : regsvr32 /u shimgvw.dll

Cette commande va produire des effets secondaires. Les plus notables sont l'arrêt du fonctionnement de l'aperçu des images et télécopies, la perte de l'affichage des miniatures ainsi que la perte de la fonctionnalité "pellicule" dans les dossiers d'images.

Vous ne serez pas couvert par le désenregistrement de shimgvw.dll si vous ouvrez un WMF dans MSPaint !

La commande inverse est :

regsvr32 shimgvw.dll

Evidemment, elle réactive la faille en question et ne sera à appliquer qu'une fois le patch sorti. (à moins que le patch ne s'occupe de le faire)

Bien sur, mettez à jour votre anti-virus !

Méfiez-vous de TOUS les formats d'image, un WMF dangereux renommé (par exemple) en GIF ou en JPG reste dangereux !

Pour le moment, cette faille est utilisée pour installer des spywares ou des faux anti-spywares (qui vous nettoient contre des $$$), il est très possible qu'elle soit exploitée dans un futur proche pour installer des trojan et d'autres malwares.

Donc, exécutez les 2 points signalés par et vous serez couverts à 98 %. Les 2 % restant seront évités avec un peu de bon sens...

Pour ceux qui désirent une plus grande sécurité, un patch non officiel (et qui n'a pas été validé par Microsoft) est disponible ici ainsi qu'un test de vulnérabilité.
(si vous l'utilisez, je vous conseille de désinstaller ce patch temporaire avant d'installer le patch officiel)

Avec un peu de chance, ce patch officiel sera diffusé le Mardi 10 Janvier 2006 vers 20 heures. D'ici là, prenez vos précautions !

Pour les techniciens, des infos actualisées régulièrement sont disponibles sur le blog de F-Secure.

WMF : des infos

jeanmarc — Thu, 29 Dec 2005 12:04:00 GMT

Le billet précédent étant complètement "dépassé", j'ai préféré en recréer un nouveau...

La faille WMF/SHIMGVW.DLL fait maintenant l'objet d'un bulletin d'alerte Microsoft.

L'action recommandée est radicale : dé-enregistrer la DLL coupable du système à l'aide de la commande suivante passée dans Démarrer > Exécuter :

regsvr32 /u shimgvw.dll

Cette commande va produire des effets secondaires. Les plus notables sont l'arrêt du fonctionnement de l'aperçu des images et télécopies, la perte de l'affichage des miniatures ainsi que la perte de la fonctionnalité "pellicule" dans les dossiers d'images.

La commande inverse est :

regsvr32 shimgvw.dll

Evidemment, elle réactive la faille en question et ne sera (peut-être) à appliquer qu'une fois le patch sorti.

Pour les techniciens, des infos sont disponibles sur le blog de F-Secure.