Jean-Marc, XP Geek ! : Trucs et astuces, Sécurité

Malware Removal Starter Kit

jeanmarc — Thu, 13 Sep 2007 17:00:47 GMT

Pour ceux qui l'auraient loupé, voici une intéressante documentation (en anglais) qui vous guidera afin de créer un CD Windows PE contenant des outils de désinfection.

Ce CD vous permettra de scanner un PC, sans avoir à démarrer le système malade et donc sans courir le risque de voir le malware intervenir pour empêcher son nettoyage.

Téléchargement : Download details: Malware Removal Starter Kit

Microsoft Private Folder

jeanmarc — Tue, 11 Jul 2006 06:05:00 GMT

C'est un outil très attendu que Microsoft propose aux détenteurs d'une licence valide de Windows XP : Microsoft Private Folder 1.0

Cet outil créé un répertoire nommé "My private folder" qui est protégé par un mot de passe.

Source : Labo SupInfo

[Doc'XP] Booter sur un BARTPE depuis le réseau

jeanmarc — Wed, 05 Jul 2006 19:23:00 GMT

C'est un nouveau tutorial qui vous montre comment démarrer un pc sans lecteur de DVD / CD sur un OS de dépannage BART PE.

http://docxp.mvps.org/Vista/BartPE_PXE.html

Flash 8.0.24 : la cerise sur le gateau !

jeanmarc — Wed, 19 Apr 2006 20:25:00 GMT

Hé oui, dans un article de KB Macromedia difficile à trouver, on s'aperçoit qu'ils ont également jugé bon de changer les droits NTFS sur le fichier OCX (le "moteur" de Flash) !

Plus que probablement dans un soucis de sécurité, Macromedia a bloqué également son fichier flash8*.ocx par un refus d'écriture dans le système de fichier NTFS.

C'est, à mon avis, un peu exagéré, puisque si un malware a les droits d'administrateur sur la machine, il aura surement d'autres envies que d'aller jouer avec des morceaux de Flash...

Donc, petite synthèse pour les puristes :

Le manque de droits de lecture dans le registre est un bug. (entrainant le non fonctionnement de flash dans un compte limité)
Le blocage des droits d'écriture dans le registre est probablement volontaire (mais peut provoquer des effets de bord très désagréables lors de ré-installations) et ne peut être débloqué que manuellement (ou par un autre moyen encore inconnu).
Le blocage des droits d'écriture NTFS sur l'OCX est volontaire et peut être débloqué par un programme fourni. (il ne débloque pas les droits du registre, par contre...)

Pour débloquer (uniquement) les fichiers Flash :
C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe -u c:\windows\system32\Macromed\Flash8\flash8.ocx
(et vous croyez qu'il va faire quoi le méchant malware, hein ? ;-) )

Et relancer l'installation qui devrait re-bloquer les droits.

Wahou, ça devient pire que Dallas, ce truc... :-)

Si les comptes limités rebloquent, ajouter juste la case "autoriser lecture" pour "tout le monde".

Bug sur la 8.0.24... version débutant

jeanmarc — Mon, 17 Apr 2006 09:19:00 GMT

On m'a fait remarquer, à juste titre, que je pouvais manquer de clarté envers les débutants... surtout dans ce billet précédent... ;-)

Aussi, voici les manipulations à effectuer pour récupérer le fonctionnement de flash sur un compte limité et autoriser une réinstallation ou une mise à jour future de flash. Attention, j'ai testé cette manipulation sur un XP Familial sans problèmes. Néanmoins, toute erreur dans l'application de ce tutorial peut entrainer de fâcheuses conséquences. Préférez donc cliquer sur le bouton "Annuler" si vous ne savez plus ce que vous avez fait, et recommencez ! :

Ouvrir la base de registre (Démarrer > Exécuter : REGEDIT ) depuis un compte de type Administrateur.
Pour chacune des 4 clés suivantes (le petit "dossier" jaune dans la colonne de gauche, vous n'avez pas à toucher au côté droit dans ce tuto) :
HKEY_CLASSES_ROOT \CLSID \{D27CDB6E-AE6D-11cf-96B8-444553540000}
HKEY_CLASSES_ROOT \CLSID \{D27CDB70-AE6D-11cf-96B8-444553540000}
HKEY_CLASSES_ROOT \CLSID \{1171A62F-05D2-11D1-83FC-00A0C9089C5A}
HKEY_CLASSES_ROOT \TypeLib \{D27CDB6B-AE6D-11CF-96B8-444553540000}
Faites un clic droit, puis Autorisations...
Sélectionnez la ligne "Tout le monde" et cliquez sur [Supprimer] (c'est plus simple que de bidouiller les droits avancés) Ne touchez pas aux autres lignes !!!
Cliquez sur [Ajouter...] et tapez : tout le monde (tel quel), puis [OK]
La ligne "Tout le monde" apparait de nouveau et est sélectionnée.
Cochez la case au croisement de "autoriser" + "lecture" puis validez.
Voilà le résultat à obtenir pour chacune de ces 4 clés :
Une fois cette manip. effectuée pour les 4 clés, tout devrait être OK. Si ce n'est pas le cas (par exemple certains sites vous disent que Flash Player n'est pas installé, alors que c'est OK sur d'autres), passez cette commande :
regsvr32 %windir%\system32\Macromed\Flash\Flash8b.ocx
(si flash8b.ocx n'est pas trouvé, le faire avec flash8a.ocx)

Attention, une réinstallation risque de remettre ces autorisations "tout le monde" avec des droits erronés. Pensez à vérifier si vous avez des dysfonctionnements de Flash Player 8.0.24

Microsoft Shared Computer Toolkit en Français

jeanmarc — Fri, 24 Mar 2006 20:32:00 GMT

Je vous en parlai il y a peu, cet outil est désormais disponible en Français :

Microsoft Shared Computer Toolkit pour Windows XP offre une méthode simple et efficace pour protéger les ordinateurs partagés contre les utilisateurs non autorisés et les logiciels malveillants, sécuriser les ressources système et simplifier l'expérience utilisateur. Shared Computer Toolkit s'exécute sur les copies authentiques de Windows XP Professionnel, Windows XP Édition familiale et Windows XP Édition Tablet PC.

Microsoft Shared Computer Toolkit 1.1

jeanmarc — Wed, 15 Mar 2006 18:40:00 GMT

De nouveaux outils logiciels puissants pour les ordinateurs partagés dans les salles de classe, les ateliers d'informatique dans les écoles, les bibliothèques et les lieux publics. Microsoft Shared Computer Toolkit pour Windows® XP facilite la configuration, la protection et la gestion d'ordinateurs partagés fiables.

Ce téléchargement comprend un manuel d'utilisation détaillé de 107 pages au format PDF. Il est également disponible en ligne sur TechNet.

Windows Defender Beta 2

jeanmarc — Tue, 14 Feb 2006 16:55:00 GMT

ça y est, il est disponible !

La mise à jour de Microsoft AntiSpyware.... enfin, Windows Defender vient d'être mise à disposition sur le site Microsoft à destination des utilisateurs de Windows 2000 SP4, Windows 2003 SP1 et Windows XP SP2. (32 et 64 bits)

Ah, au fait, si vous avez un XP Français... vous aurez une erreur 1609 à l'installation...

Ce n'est plus le cas, une version sans ce problème est maintenant proposée...

Quelques mises à jour...

jeanmarc — Sat, 04 Feb 2006 07:52:00 GMT

...de mes utilitaires préférés :

WMF : Un point d'étape

jeanmarc — Mon, 02 Jan 2006 16:38:00 GMT

L'information sur cette faille est abondante et nécessite de faire le point :

Cette faille était déjà exploitée depuis environ 1 mois, voire plus. (bien avant que les médias ne s'emparent de l'affaire)
Elle est extrêmement critique et concerne I.E., mais aussi FF et d'autres navigateurs alternatifs. (elle n'attaque pas le navigateur lui-même, mais un des éléments qui sert à traiter les images)
Des mails et des liens dans les messageries instantanées sont maintenant utilisés pour envoyer ces images infectées aux cibles potentielles. Il n'est donc plus nécessaire de se rendre sur un site dangereux pour être infecté, puisque c'est l'infection qui vient à vous !
De nombreuses variantes existent dans 2 générations. La plupart des éditeurs antivirus ont mis à jour leurs bases de signature pour la première génération de WMF infectés; pour la deuxième, seuls McAfee (à partir de DAT 4664), Symantec et e-Trust ont mis à jour leurs bases (d'après ISC).

Une video démontre le caractère critique du problème et certains pourraient bien y reconnaître un aperçu de leurs propres soucis.

Microsoft a publié un bulletin d'alerte et propose, faute de mieux pour le moment, une solution qui vous couvrira (mais pas à 100 %) :

Démarrer > Exécuter : regsvr32 /u shimgvw.dll

Cette commande va produire des effets secondaires. Les plus notables sont l'arrêt du fonctionnement de l'aperçu des images et télécopies, la perte de l'affichage des miniatures ainsi que la perte de la fonctionnalité "pellicule" dans les dossiers d'images.

Vous ne serez pas couvert par le désenregistrement de shimgvw.dll si vous ouvrez un WMF dans MSPaint !

La commande inverse est :

regsvr32 shimgvw.dll

Evidemment, elle réactive la faille en question et ne sera à appliquer qu'une fois le patch sorti. (à moins que le patch ne s'occupe de le faire)

Bien sur, mettez à jour votre anti-virus !

Méfiez-vous de TOUS les formats d'image, un WMF dangereux renommé (par exemple) en GIF ou en JPG reste dangereux !

Pour le moment, cette faille est utilisée pour installer des spywares ou des faux anti-spywares (qui vous nettoient contre des $$$), il est très possible qu'elle soit exploitée dans un futur proche pour installer des trojan et d'autres malwares.

Donc, exécutez les 2 points signalés par et vous serez couverts à 98 %. Les 2 % restant seront évités avec un peu de bon sens...

Pour ceux qui désirent une plus grande sécurité, un patch non officiel (et qui n'a pas été validé par Microsoft) est disponible ici ainsi qu'un test de vulnérabilité.
(si vous l'utilisez, je vous conseille de désinstaller ce patch temporaire avant d'installer le patch officiel)

Avec un peu de chance, ce patch officiel sera diffusé le Mardi 10 Janvier 2006 vers 20 heures. D'ici là, prenez vos précautions !

Pour les techniciens, des infos actualisées régulièrement sont disponibles sur le blog de F-Secure.

WMF : des infos

jeanmarc — Thu, 29 Dec 2005 12:04:00 GMT

Le billet précédent étant complètement "dépassé", j'ai préféré en recréer un nouveau...

La faille WMF/SHIMGVW.DLL fait maintenant l'objet d'un bulletin d'alerte Microsoft.

L'action recommandée est radicale : dé-enregistrer la DLL coupable du système à l'aide de la commande suivante passée dans Démarrer > Exécuter :

regsvr32 /u shimgvw.dll

Cette commande va produire des effets secondaires. Les plus notables sont l'arrêt du fonctionnement de l'aperçu des images et télécopies, la perte de l'affichage des miniatures ainsi que la perte de la fonctionnalité "pellicule" dans les dossiers d'images.

La commande inverse est :

regsvr32 shimgvw.dll

Evidemment, elle réactive la faille en question et ne sera (peut-être) à appliquer qu'une fois le patch sorti.

Pour les techniciens, des infos sont disponibles sur le blog de F-Secure.

Mise à jour mensuelle

jeanmarc — Wed, 09 Nov 2005 02:59:00 GMT

Les patchs du mois sont sortis :

1 patch critique : KB 896424 : MS05-053: Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution
Outil de suppression de logiciels malveillants Windows : KB 890830
Dans les mises à jour optionnelles, on peut aussi trouver .NET framework 2.0 (KB 829019)

Si vos mises à jour automatiques sont activées et qu'il n'a encore rien vu, vous pouvez lancer une Démarrer > Exécuter : wuauclt /detectnow

Sinon, direction Windows Update !