Powered By Blogger

Rechercher sur ce blogue

samedi 4 avril 2009

Le Virus Conficker : l'Outil de suppression de logiciels malveillants (MSRT) de Microsoft ne supprime pas tout

Conficker est un vilain ver dont la conception montre un niveau de sophistication que l'au-delà de votre quotidien, run-of-the-mill malware.

Heureusement pour ceux d'entre nous qui tenons nos systèmes Windows up-to-date, les chances d'être infectées par le Conficker sont minuscules.

A Brian Livingston, directeur de la rédaction a préparé une nouvelle mise à jour sur Conficker qui a été publié en Mars 30. Il a cité les chiffres de l'entreprise de sécurité SRI International montre que 54% des machines infectées par le ver sont en Chine, la Russie, l'Inde, le Brésil et l'Argentine. Beaucoup de gens dans ces pays ont été vendus sans copies de Windows et, pour quelque raison que ce soit (tel que discuté ci-dessous), ne reçoivent pas de mises à jour Windows, laissant leurs machines vulnérables. Pour des raisons de sécurité, vous pouvez tester et supprimer le ver en utilisant les instructions de l'article de Brian. Si vous n'avez pas de balayage pour le ver avant le 1 er avril, ne vous inquiétez pas trop. C'est simplement la date à laquelle les systèmes infectés ont été programmés pour démarrer le contrôle des serveurs Web pour de plus amples instructions. Sécurité analystes ne s'attendent pas à le ver à faire d'importants dégâts immédiatement. Par ailleurs, notre nouvelle mise à jour a reçu la troisième plus élevée de toute l'histoire A au cours des 12 derniers mois - 4,42 sur une possibilité de 5 points, en fonction de plus de 1000 lecteurs qui ont voté à notre sondage. Bravo, Brian! Après Brian Conficker pièce semble, porte-parole de Microsoft a écrit Jill Lovato-à-dire l'un de ses points est inexact: «Je viens de voir votre message,« Exécution d'un outil de suppression Conficker avant le 1er avril et a souhaité préciser certaines choses je pense que vous avez mai ont été déroutés par. "Dans la première section, vous dites: Microsoft ne fournit pas l'ensemble de ses correctifs de copies sans licence de Windows, à la sortie des machines vulnérables libres de nous attaquer - une politique vouée à l'échec récemment décrite par expert en sécurité Bruce Schneier. «Ce n'est effectivement pas précis - les questions les correctifs de sécurité Microsoft via Windows Update pour tous les systèmes Windows, indépendamment ou non de ce système est authentique. "Aussi, les informations que vous Schneier de référence est de 2005 et ne sont plus exacts. TechNet Voici un article qui traite de Conficker et donne des détails sur la façon dont les utilisateurs de PC peuvent se protéger eux-mêmes." Brian offre la réponse suivante: "Il est ridicule de dire que Microsoft fournit toutes les mises à jour de sécurité pour les utilisateurs de Windows, qu'ils soient ou non passer de Windows Genuine Advantage (WGA) validation. Non, Microsoft ne le fait pas. "Tout d'abord, un système qui ne parvient pas WGA est limité à l'aide de Microsoft et de télécharger la mise à jour des sites, tel que décrit dans le Genuine Microsoft Software

FAQ: Q: Comment fonctionne le travail de validation WGA?
A: ... Lors de leur première visite au Centre de téléchargement Microsoft, Windows Update ou Microsoft Update, les utilisateurs reçoivent un message leur demandant de valider leur Windows. "WGA a la réputation d'avis que certains PC sans licence, alors qu'ils sont complètement légitimes. Pour cette raison, de nombreuses personnes à la sortie de Windows Update ce point et de désactiver les mises à jour automatiques (si elle était activée), plutôt que de risquer de la désactivation de leurs chers ordinateurs . "WGA est mauvaise rep Microsoft vient de ses propres politiques. La version originale de Windows Vista inclut une« kill switch »(officiellement appelé" mode de fonctionnalité réduite »), qui est déclenché dans certaines conditions. "Sous certaines conditions - comme si WGA validation échoue - le menu Démarrer et les icônes du bureau sont cachés, et rien ne fonctionne, sauf le navigateur par défaut (afin que les utilisateurs peuvent acheter une autre licence). Après 60 minutes, la machine est complètement déconnecté, comme expliqué Computerworld dans un article et sa continuation. Cette politique de sanctions n'a pas été modifié jusqu'à ce que le Service Pack 1 de Vista est apparu. "Selon une analyse de Ars Technica en Janvier 2007, un minimum de cinq millions d'utilisateurs dans le monde, et probablement des millions d'autres, ont reçu des faux» nongenuine 'avis de WGA. En conséquence, Microsoft a perdu beaucoup de consommateurs "foi dans la mise à jour automatique processus, parce que les gens entendent des histoires que l'utilisation de Windows Update peut paralyser un PC. "Si un utilisateur ne passe pas la validation WGA ou ne souhaite pas le risque d'essai pour lui, Microsoft ne permet pas toutes les mises à jour de sécurité à installer. Seules les mises à jour de Microsoft taux de« critiques »sont présentées. Ceci est expliqué par Microsoft dans sa Description de Windows Genuine Advantage (je souligne): Si vous avez une copie authentique de Windows, mais décider de ne pas compléter le processus de validation, vous pouvez toujours obtenir les mises à jour logicielles critiques à l'aide de la fonctionnalité Mises à jour automatiques. "Le truc est que de nombreuses mises à jour de sécurité est évalué par Microsoft comme seulement« importants »ou« modérée ». Mais ces mises à jour peuvent être tout aussi essentiel pour les utilisateurs que celles notées «critique», parce que les avis sont souvent discutables. «Par exemple, la WGA télécharger lui-même, intitulé KB905474, est décrite comme une« mise à jour de sécurité critique »à partir du premier jour il est apparu en 2006, malgré le fait que WGA est un effort de marketing, pas une mise à jour de sécurité à tous. "En outre, les utilisateurs qui ne parviennent pas ou ne tentez jamais de validation WGA sont limités par Microsoft de recevoir des logiciels de sécurité autres que les patches. Par exemple, la validation est nécessaire pour utiliser la page de téléchargement de Windows Defender, un programme de sécurité. Déclare ce soft Microsoft protège les PC contre les "menaces à la sécurité causées par les logiciels espions et autres logiciels indésirables." La page de téléchargement, stipule clairement: Ce téléchargement est disponible pour les utilisateurs de Microsoft Windows authentique ... Les utilisateurs de Windows Vista doivent passer Microsoft Genuine validation ... "En ce qui concerne Bruce Schneier, j'ai cherché sur son site et n'a pas trouvé de signe qu'il a changé son point de vue de Windows Genuine Advantage, depuis son dernier post sur le sujet. "Enfin, un lien vers l'article Microsoft TechNet, qui recommande le fonctionnement Outil de suppression de logiciels malveillants (MSRT) afin d'éliminer Conficker, est inutile. Comme je l'ai indiqué, Microsoft Malware Protection Center propre indiqué sur Mars 27 ne supprime que MSRT Conficker versions A et B. Il n'y a rien à propos de la suppression de la dernière MSRT Conficker construit (décrit comme C ou D). "Après que j'ai écrit, une source de Microsoft, que je ne peut pas identifier, a déclaré plus tard que les variantes B peut être détecté si MSRT mrt.exe du premier fichier est renommé. Sinon, Conficker tue le processus. La plupart des utilisateurs finaux ne jamais penser à ce, afin MSRT pour le moment ne doit pas être considérée comme une mise à jour solution. "Je n'ai pas dit que Microsoft ne permet pas non WGA utilisateurs d'obtenir des correctifs de sécurité. J'ai écrit,« Microsoft ne fournit pas l'ensemble de ses correctifs de copies sans licence de Windows. " Il est certainement vrai que la société ne fournit pas l'ensemble de ses correctifs de sécurité, et encore moins l'ensemble de ses différents correctifs, à des gens qui ne courent pas de validation WGA. Je me tiens par la présente déclaration. «Je demande instamment à Microsoft de commencer immédiatement à fournir toutes les mises à jour - de tout genre - pour les utilisateurs qui exécutent une copie de Windows, ou non valide. Pirate profiteurs devraient être jetés en prison, et Microsoft a le droit de les poursuivre en justice. Mais notre légitime des ordinateurs sont ceux qui sans patchs les ordinateurs des utilisateurs attaque. Microsoft a aucune excuse pour ne pas mettre à jour tous les systèmes. " Reader rapports Avast détecte Conficker et AVG ne fait pas grand chose .
Nous avons reçu énormément de réponse à la demande de Ryan Russell dans le Top 26 Mars Story à nous envoyer vos recommandations pour les produits de test pour notre prochaine mise à jour de sécurité de base. Nous sommes encore la compilation des résultats (et Ryan's creuser encore sorti de sa boîte de réception), lecteur de Mark Broge mais l'expérience montre les dangers de se fonder sur un seul produit de sécurité: "Ryan, en tant que victime d'un méchant Win32: Vitro infection, j'ai lu votre dernier article avec beaucoup d'intérêt. Ce virus a causé des ravages sur mon PC, et il semble y avoir très peu d'information [sur elle]. "Ce morceau de code méchant non seulement éludé AVG Free Edition, mais il détruit complètement. J'ai installé Windows XP SP2 sur un système de partition fraîchement formatée, installé SP2 AVG immédiatement après, et dans quelques jours, le virus était revenue en force .
Maintenant, à la suite d'un deuxième système de format de partition et installer Windows, Avast Antivirus Free a été en mesure d'empêcher la réinfection. "Je vois rarement Avast dit, mais j'ai eu beaucoup de bonnes expériences avec lui. Dans la recherche Win32: Vitro, il apparaît que les principaux acteurs - Symantec et McAfee - sont soit en retard dans la détection ou de ne pas détecter du tout. Comme je l'ai noté, AVG n'a pas non plus. "Je serais très intéressé de connaître les autres lecteurs, ou de votre propre point de vue sur le logiciel Avast. J'ai trouvé qu'il est très léger sur les ressources du système et aussi très efficace."


REF.: Windows Secret.com

Aucun commentaire: