La rétroingénierie illégale par la NSA américaine et le GCHQ britannique ?

Comment les éditeurs d’antivirus se font pirater par la NSA et le GCHQ

Des documents d’Edward Snowden montrent que la société russe Kaspersky figure parmi les éditeurs particulièrement en ligne de mire des agences de renseignement anglo-saxonnes.

agrandir la photo

Rappelez-vous, il y a quelques semaines, l’éditeur Kaspersky a révélé que son réseau avait été infiltré par un logiciel d’espionnage sophistiqué. Il s’agissait d’un rejeton lointain de Stuxnet qu’il a baptisé Duqu 2.0 et qui a probablement été créé par une agence de renseignement. Le site The Intercept vient maintenant de publier une série de documents provenant d’Edward Snowden qui montrent que la société russe est la cible des agences de renseignement depuis plusieurs années déjà. Et pas n’importe quelles agences : la NSA américaine et le GCHQ britannique.

Il faut dire que qu’un antivirus est une cible particulièrement intéressante pour des barbouzes. Ces logiciels sont exécutés avec un haut niveau de privilèges sur les ordinateurs des clients et ont une connaissance intime du système, en raison des scans de sécurité effectués. Pouvoir compromettre ces logiciels serait donc très intéressant. Dans un document datant de 2008, le GCHQ explique que les « produits de sécurité personnels tels que l’antivirus russe Kaspersky Antivirus continuent de poser problème ». C’est pourquoi l’agence met en œuvre des techniques de rétroingénierie pour essayer de hacker ces logiciels.  Au passage, on découvre aussi dans ce document que, grâce à la rétroingénierie, les agents britanniques ont piraté avec succès les routeurs Cisco du nœud d’échange Pakistan Internet Exchange, lui permettant de surveiller le trafic de presque n’importe quel utilisateur pakistanais, soit 180 millions de personnes. Mais c’est une autre histoire...

© The Intercept

De son côté, la NSA a également pris Kaspersky et ses homologues en ligne de mire. Dans un document datant de 2008, l’agence américaine explique avoir décortiqué les échanges entre le logiciel client et les serveurs de Kaspersky. Bingo : elle y a trouvé certaines informations, codées dans le champ « User-Agent », lui permettant d’identifier de manière unique l’ordinateur d’une personne, voire même d’en déduire certaines données de configuration. C’est très pratique pour la surveillance et pour la préparation d’attaques. Contacté par The Intercept, Kaspersky dément formellement que le champ « User-Agent » puissent apporter ce type d’informations.

L’agence de surveillance américaine s’efforce également d’intercepter les courriels que reçoivent ou envoient les éditeurs d’antivirus. Dans un document datant de 2007, elle montre un email envoyé par un informaticien canadien à un éditeur d’antivirus, avec un échantillon de malware en fichier joint. En automatisant ce type d’interception auprès de plus d’une vingtaine d’éditeurs antivirus - Kaspersky, F-Secure, DrWeb, AVG, Eset, Avast... - l’agence explique pouvoir récupérer une dizaine de « fichiers potentiellement malveillants par jour ».

© The Intercept

Une dizaine de fichiers par jour, c’est extrêmement peu comparé aux centaines de milliers de fichiers infectés reçus tous les jours par les éditeurs d’antivirus de manière plus ou moins automatique. Néanmoins, on peut supposer que ces fichiers sortent de l’ordinaire dans la mesure où quelqu’un a pris la peine de les envoyer par email. Ils sont donc peut-être particulièrement intéressants. En tous les cas, ces malwares sont ensuite analysés et, le cas échéant, « réaffectés » à des opérations de piratage. Les échanges email peuvent également donner des indications sur les failles de sécurité des logiciels antivirus eux-mêmes.

Source :

The Intercept

La cyber-guerre de la NSA avec ses Hackers "Equation Group" contre l'Iran et la Russie

Le Groupe de hackers NSA peut être déguisé pour son travail d'un État-nation:


Nouveaux éléments de preuve découverts par les chercheurs en sécurité suggère qu'un piratage collectif et dangereux, est en fait la National Security Agency.Le soi-disant Groupe équation, un ensemble de pirates responsables d'au moins 500 infections de logiciels malveillants dans 42 pays, est considéré comme l'un des plus efficaces cercle de cyber espionnage de l'histoire.Maintenant, Kaspersky Lab, basé à Moscou(l'opposant a l'antivirus McAfee=membre d'Intel Security et filiale à part entière d'Intel Corporation ;ce qui est politiquement opposé a la maison blanche Américaine) pointe vers de nouveaux signes que le groupe est en fait composée de personnel de la NSA.Dans un rapport publié mercredi, les chercheurs de Kaspersky révélé que le terme «BACKSNARF" a été trouvé à l'intérieur du code de la plate-forme en ligne du Groupe équation. Le même terme a été utilisé par la NSA comme le nom d'un projet par son unité de cyber-guerre.En plus de cette coïncidence, l'analyse des heures de travail du Groupe équation suggère qu'il fonctionne comme une équipe de développement logiciel régulière, probablement situé sur la côte Est des États-Unis. Les membres du groupe de travail massivement pendant les heures normales de bureau du lundi au vendredi et presque jamais le samedi ou le dimanche.Le Groupe équation avait déjà été soupçonné de liens avec la NSA, même si les chercheurs de Kaspersky n'a toujours pas trouver une connexion directe.Le collectif de piratage est considéré comme le travail d'un État-nation, étant donné les vastes ressources nécessaires pour soutenir ses activités hautement sophistiquées.Les Attaques d'Équation Groupe ont également porté presque exclusivement sur les adversaires des États-Unis, y compris l'Iran et la Russie.

Source.:

L'A3, un logiciel qui détecte les virus et répare les dégâts automatiquement

Développé par des universitaires américains, l’Advanced Adaptive Applications est une suite logicielle capable de surveiller le bon fonctionnement d’une machine. Elle y détecte les attaques, bloque les malwares, les détruit et corrige les dégâts constatés, seule.

agrandir la photo

Une faille, un patch non appliqué et un malware ou un virus mettent à mal un serveur et tous les services qu’il anime. Malgré les solutions de sécurité, malgré l’attention des développeurs de logiciels serveurs, malgré le professionnalisme des administrateurs, les attaques informatiques font mal… Il suffit de se rappeler des 17 000 attaques menées en 24 heures après la découverte de Shellshock.
Enfin, ça, c’était avant. Avant A3, pour Advanced Adaptive Applications, programme open source développé pour Linux par l’Université de l’Utah. Ce logiciel a quelque chose de magique. Non seulement il détecte les attaques de virus ou de malwares inconnus, mais il est également de réparer les dégâts que ces attaques ont produits.

Surveillance permanente et intelligente

A3 tourne dans une machine virtuelle et veille au bon fonctionnement du système d’exploitation et des applications. Il fonctionne pour l’instant uniquement sur Linux et sur des serveurs ou des machines professionnelles. Des démonstrations de son bon fonctionnement sur des serveurs et applications militaires ont également été réalisées, explique le site Web de l’Université de l’Utah. Ce qui est assez logique puisque le projet de quatre ans a été partiellement financé par la DARPA.
De manière schématique, l’A3 est composé de plusieurs couches de debuggers qui tournent et surveillent en permanence la machine virtuelle pour détecter des comportements anormaux sur l’ordinateur.
« Contrairement à un antivirus classique sur un PC grand public, qui compare quelque chose qui infecte un ordinateur à un catalogue de virus connus, A3 peut détecter un malware ou un virus inconnu automatiquement en percevant que quelque chose d’anormal se passe sur l’ordinateur », explique le site de l’Université. A3 répare ensuite les dégâts de manière plus ou moins sommaire, sans interrompre le fonctionnement du serveur endommagé. Mieux, il apprend ensuite à bloquer le malware afin de ne plus le laisser approcher des serveurs qu’il protège.

© Dan Hixson/University of Utah College of Engineering

Eric Eide, professeur assisntat en science informatique à l'Université de l'Utah.

Shellshock vaincu en 4 minutes

Lors d’une démonstration devant des représentants de la DARPA, les équipes qui ont développé l’A3 ont « attaqué » un serveur via la faille Shellshock. Leur programme a découvert l’attaque sur un serveur Web et a réparé les dégâts en l’espace de quatre minutes, déclare Eric Eide, un des responsables du projet, dans un communiqué de l’Université de l’Utah,. Une demi douzaine d’autres malwares ont été soumis à la vigilance de l’A3 avec succès.

Quel avenir et pour qui ?

La prochaine étape de développement pour l’A3 est un « portage » dans le cloud, explique Eric Eide. Si aucune utilisation grand public n’est pour l’instant prévue, l’A3 pourrait débarquer sur nos PC un jour ou l’autre : « Les technologies A3 pourrait trouver leur place dans des produits grand public, un jour », explique Eric Eide. « Cela aiderait les machines grand public à se protéger contre les malwares qui se répandent rapidement », continue-t-il. D’ici là, maintenez vos machines à jour…


Source.:

Comment on attrape un virus informatique

aujourd'hui. En effet, la réponse à cette question est très mouvante et évolue avec le temps. Il y a quelques années encore, beaucoup de virus informatiques se diffusaient sur Internet sous forme de vers, se propageant d'une machine à une autre, mais vraisemblablement parce que de plus en plus d'ordinateurs ne sont plus connectés directement à Internet, ce n'est plus le mode de diffusion privilégié. En effet, derrière des box ADSL, même si vos ordinateurs, tablettes et autres télévisions connectées ne sont pas totalement protégés, ils ne sont pas directement et totalement accessibles depuis l'extérieur comme on pouvait l'être quand on se connectait avec un modem directement connecté à l'ordinateur.

Nous vous proposons de parcourir quelques modes de propagation qui, vous allez le voir, parfois s'entrecroisent. En effet, de la même façon qu'il est parfois difficile de classifier les logiciels malveillants, il est parfois tout aussi difficile de tracer une frontière entre ces différents modes de contamination.

L'installation par l'utilisateur

Ce mode de propagation permet notamment des attaques ciblées, par exemple en envoyant un lien spécifique ou une pièce jointe à une victime donnée. Il repose sur la confiance qu'a la victime dans le contenu qui lui est présenté, soit parce qu'il semble provenir d'une personne de confiance, soit parce que le sujet l'intéresse. Il peut s'agir directement d'un programme informatique qu'on est invité à installer ou qu'on souhaite soi-même installer, ou alors d'un document qui va exploiter une faille du logiciel permettant de l'afficher (PDF, document Word ou même encore une simple image qu'on ouvre dans le logiciel par défaut de son ordinateur, comme ce fut le cas avec le Kodak Image Viewer livré avec certaines versions de Windows). Dans tous les cas, c'est la victime qui clique sur le fichier pour l'ouvrir volontairement. Dans certains cas, il se peut que cette transmission soit réalisée par un ver (voir paragraphe plus bas) qui a contaminé l'ordinateur ou pris le contrôle du compte de réseau social ou de courrier électronique d'un ami. Bien évidement une personne malintentionnée peut aussi profiter d'un mot de passe défaillant ou d'un moment d'inadvertance pour installer un virus sur l'ordinateur de sa victime, soit en accédant physiquement à l'ordinateur, soit en y accédant à distance.

Les supports amovibles

Ici encore, c'est la victime qui est invitée à agir, en connectant un support amovible (souvent une clé USB, comme dans le cas du célèbre Stuxnet) sur son ordinateur. Ces clés vous arrivent de personnes en qui vous faites confiance (collègues de travail, amis, contacts professionnels) ou bien encore sont parfois trouvées dans la rue (cet été la société néerlandaise DSM semble avoir été victime d'une tentative d'attaque réalisée de cette manière). Ici, différentes techniques sont utilisées pour rendre invisible la contamination, celle-ci se réalisant automatiquement, par exemple avec les fonctions de démarrage automatique des systèmes d'exploitation.

... et les partages réseaux

Dans un environnement familial (disque dur partagé sur le réseau local pour mettre en commun documents, musique, films...) et surtout professionnel, ce type de contamination est particulièrement courant. Dans certains cas, on a vu qu'il pouvait être beaucoup plus efficace que les supports amovibles puisqu'on fait un peu plus confiance par défaut à un partage interne ou encore parce que certains environnements professionnels imposent d'exécuter au moment de leur connexion des fichiers de configuration se trouvant dans ces répertoires partagés.

Les vers

Les différents modes de contamination décrits ci-dessus sont parfois comparés aux vers, notamment lorsqu'on parle des espaces partagés, mais ils ont tous la particularité de passer par des étapes intermédiaires avant de contaminer l'ordinateur cible. En effet, on parlera plus facilement de vers pour les propagations qui se font directement d'une machine à une autre, exploitant une faille dans tel ou tel protocole réseau ouvert sur une machine. La plupart des vers exploitent une faille ou un type de protocole spécifique, même si certains ont plusieurs modes de diffusion. Ainsi, le ver Conficker, encore très présent aujourd'hui sur Internet, utilise trois modes de propagation (voir cet article de synthèse par P. Porras et al.): une vulnérabilité d'un des protocoles de communication réseau sous Windows (MS08-067), mais aussi le partage de répertoires sur les réseaux locaux ou encore le partage de supports amovibles. Dans certains cas, ces vers vont exploiter des trous laissés ouverts par d'autres virus informatiques. Enfin, les vers peuvent aussi profiter des plateformes de communication par courrier électronique ou sur les réseaux sociaux (comme le ver Koobface) pour atteindre leurs victimes.

Les plateformes d'exploits

Il s'agit ici d'exploiter des failles dans les différents composants qui servent à afficher des contenus provenant d'Internet, le plus souvent dans les navigateurs (Internet Explorer, Chrome, Firefox, etc.), mais aussi dans les clients de messagerie (Thunderbird, Outlook, etc.) qui affichent le même type de contenus riches. Et il y a plusieurs niveaux d'attaque: directement dans les fonctions du navigateurs, mais aussi dans les extensions les plus courantes qui permettent d'afficher des contenus enrichis (Flash et Java en particulier). Dans certains cas, l'interaction de l'utilisateur est recherchée, pour valider l'installation d'un module complémentaire. Ces plateformes sont hébergées sur des serveurs Web et sont particulièrement recherchées aujourd'hui par les délinquants qui veulent diffuser des logiciels malveillants, parce qu'elles permettent d'atteindre directement le poste de l'utilisateur et se montrent très efficaces avec selon les pays des taux de contamination oscillant autour de 10% des visiteurs. Elles ont des noms guerriers ou en tous cas très commerciaux (Blackhole, Sakura, Sweet orange,... voir la catégorie Plateforme d'exploits sur botnets.fr - @botnets_fr) ; elles sont ainsi un des indicateurs les plus forts de l'évolution de la cybercriminalité vers une véritable activité de services, avec des bannières publicitaires sur les forums où se discutent les marchés illégaux, de véritables services après vente allant jusqu'à rembourser des clients mécontents, et une gestion très avancée des besoins des utilisateurs. Leur démarche est très agressive, comme lorsque le créateur de Blackhole, surnommé Paunch, s'est empressé à la fin du mois d'août d'intégrer la toute dernière vulnérabilité Java ou encore cette semaine avec la sortie d'une version 2 avec toutes sortes de nouvelles fonctionnalités (dont beaucoup ont pour objet de protéger celui qui l'exploite des enquêtes judiciaires ou de la surveillance des chercheurs en sécurité informatique - voir cet article par @Kafeine ou une autre synthèse chez Sophos).

Création de trafic

Exemple de courrier électronique redirigeant vers une plateforme d'exploit en se faisant passer pour une application Facebook (source: Sophos)
Le délinquant qui veut diffuser un logiciel malveillant va donc installer une telle plateforme d'exploit, ou plus vraisemblablement louer les services de groupes qui se sont spécialisés dans leur administration, car en effet il vaut mieux disposer d'un grand nombre de serveurs différents, savoir administrer de façon sécurisée un serveur Web, gérer les mises à jour, etc. Il va ensuite devoir attirer des visiteurs vers la plateforme, sous formes de campagne de spam ou encore en insérant un code particulier dans des pages Web: des bannières publicitaires ou encore des sites Web légitimes, comme évoqué dans cet autre article, pour la diffusion des rançongiciels. Encore ici, ce sont des services criminels qui se sont développés autour de la création de trafic et ils vont louer leurs services à ceux qui veulent créer un botnet. On les appelle parfois traffers. Techniquement, le chargement du code malveillant depuis la plateforme d'exploit est réalisé par l'inclusion d'une fenêtre invisible au sein de la page Web, par des balises de type "iframe" qui ressemblent à ce code:

Directement dans le serveur Web

Et les traffers innovent eux aussi récemment: on a ainsi découvert récemment un module qui s'ajoute dans les serveurs Web de type Apache et injecte dans tout ou partie des pages Web diffusées les balises permettant d'insérer des contenus cachés provenant des plateformes d'exploit. C'est une évolution importante par rapport aux modes de diffusion classique suite à un piratage de serveur Web qui supposent de modifier de nombreux fichiers pour obtenir le même résultat. Ainsi, on pourrait imaginer qu'un serveur mutualisé, utilisé par des centaines de webmestres, intègre automatiquement ces vecteurs d'attaque sans qu'ils ne puissent eux-mêmes voir de modifications dans le code des pages Web ou des scripts PHP ou Javascript qu'ils ont chargé sur le serveur. On pourra lire les articles sur ce module Darkleech d'Unmask parasites, Webmasterworld ou encore Day by day par @it4sec.

Et même directement dans la chaîne de fabrication

L'action récente de l'équipe de lutte contre la cybercriminalité de Microsoft contre le botnet Nitol a permis de mettre en évidence que les logiciels malveillants pourraient parfois être insérés au moment de la fabrication de certains ordinateurs, ici au travers de l'installation de version contrefaites du système d'exploitation Windows. Ce problème n'est pas totalement nouveau, car des erreurs ont parfois été mises en évidence lors du recyclage de disques durs partis en maintenance, ou encore lors du téléchargement de versions contrefaites de systèmes d'exploitation, mais c'est - il me semble - la première fois qu'une diffusion massive de logiciels malveillants est identifiée dans une chaîne de distribution de matériels informatiques.

Comment se protéger ?

Nous ne le répèterons jamais assez : il est important de se tenir informé et d'informer sa famille, ses amis, ses collègues sur les risques. La connaissance de ceux-ci aide à éviter les actions qui favorisent les infections virales. Des forums peuvent vous aider à vous sortir de ces situations (Malekal, CommentCaMarche,...) . Il faut se méfier à tout prix des sources alternatives de diffusion des systèmes d'exploitation ou des logiciels, qu'il s'agisse de contrefaçons ou de plateformes de téléchargement. Bien entendu, ce conseil vaut pour les logiciels commerciaux ou ceux qui sont diffusés sous des licences libres (dans ce dernier cas on recherchera par exemple des miroirs officiels ou de confiance). Tenir à jour son système d'exploitation et tous les logiciels ou modules complémentaires qu'on a installés, particulièrement ceux qui sont les plus ciblés à savoir les outils de navigation Internet ou encore les clients de discussion en ligne. On pourra compléter son navigateur d'extensions de sécurité, comme évoqué sur cette page. Quoi qu'en disent certains enfin, l'installation d'un antivirus est indispensable sur les systèmes d'exploitation grand public. Cet antivirus, gratuit ou payant, doit absolument être maintenu à jour et sera systématiquement utilisé pour vérifier la sécurité d'une clé USB de source extérieure. Enfin, désactivez les fonctions de démarrage automatique (USB ou réseau) si elles ne sont pas indispensables dans votre environnement (voir cet article pour Windows XP, 2000, 2003).

Compléments

• Un article intéressant par Brett Stone-Gross (Dell SecureWorks) sur la façon dont se diffuse le botnet Gameover (une variante de ZeuS)

REF.: 
[Article reproduit depuis le Blog Criminalités Numériques avec l'aimable autorisation d'Eric Freyssinet]

win XP: Micro$oft maintien sa protection antimalware sur Windows XP jusqu’au 14 juillet 2015, y compris pour Microsoft Security Essentials

Windows XP : Microsoft promet de la sécurité finalement jusqu’en juillet 2015

Sécurité : Même si Microsoft assure que cela a une efficacité limitée, il opère néanmoins un revirement en s’engageant à maintenir sa protection antimalware sur Windows XP jusqu’au 14 juillet 2015, y compris pour Microsoft Security Essentials.

Microsoft aurait-il fait un pas en arrière dans sa volonté de tirer définitivement un trait sur Windows XP ? L’échéance est connue : le 8 avril s’arrêteront définitivement les mises à jour de sécurité pour cette version de l’OS.

La semaine dernière, l’éditeur a par ailleurs officialisé la fin du support de son antivirus gratuit Security Essentials pour Windows XP. Néanmoins, Microsoft a décidé de maintenir de la sécurité sur XP.

Aider les entreprises à finir leurs migrations, justifie Microsoft 

Sur son blog, l’éditeur s’engage à fournir des mises à jour pour sa base de signatures antimalware et son moteur antivirus, et ce au-delà du 8 avril, soit jusqu’au 14 juillet 2015. Une décision qui vise à « aider les organisations à finaliser leurs migrations » justifie Microsoft.

En entreprise, la fourniture de mises à jour antivirales s’applique aux différentes solutions de sécurité de l’éditeur : System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection et Windows Intune.

Pour les particuliers, Microsoft revient également sur une précédente annonce puisqu’il s’engage ainsi à mettre à jour la base de signatures de son antivirus gratuit, Microsoft Security Essentials.

Mais Microsoft l’assure, une migration vers un OS plus moderne reste la seule véritable réponse en matière de sécurité. « Nos recherches montrent que l’efficacité des solutions antimalware sur un système d’exploitation sans support est limitée ».

REF.:

Hackers: Symantec révèle l’existence d’un groupe de mercenaires… chinois ?

Symantec révèle l’existence d’un groupe de hackers mercenaires… chinois ?

Les Hidden Lynx, c’est le nom donné à un groupe de hackers nouvellement dévoilé par le géant de la sécurité informatique Symantec. Ce groupe serait impliqué dans quelques unes des plus grosses attaques informatiques des dernières années.

Hidden Lynx. C’est le nom d’un groupe de hackers, constitués d’entre 50 et 100 experts en informatique, dont l’éditeur de solution de sécurité, Symantec, vient de dévoiler l’existence.

Deux équipes

© Symantec

Détails des agissements des Hidden Lynx.

agrandir la photo

Symantec les suit avec attention depuis 2011 et a trouvé ses traces dans au moins six campagnes menées à travers le monde. D’après l’éditeur, ce « groupe est plus motivé et dynamique que les autres groupes bien connus tels que APT1/Comment Crew », qui avait été mis en avant dans le rapport Mandiant publié en février 2013.

Le groupe Hidden Lynx est, semble-t-il constitué de deux sous-groupes. Le premier, surnommé Moudoor, du nom du cheval de Troie qu’il utilise, agit « sans se soucier de sa découverte par les spécialistes de la sécurité ». Le second, baptisé Naid, toujours du nom d’un cheval de Troie qu’il a adopté, agit davantage comme une « unité d’opérations spéciales, composée de membres d’élite qui infiltrent les cibles les plus précieuses ou les plus robustes ». Naid est, selon le communiqué de Symantec, utilisé avec parcimonie et prudence, comme une « arme secrète utilisée uniquement lorsque l’échec n’est pas envisageable ».

Force de frappe

Hidden Lynx est en tout cas capable de mener de nombreuses attaques, de front, contre des centaines d’entreprises à travers le monde. L’éditeur précise que ces hackers ont été les premiers à utiliser la technique du trou d’eau, qui demande patience, savoir-faire et une grande quantité d’information. Pour arriver à leurs fins, ces pirates informatiques « accèdent rapidement aux failles zero-day » et sont capables de compromettre « la chaîne logistique afin d’atteindre [leur] cible ».
Selon Symantec, les Hidden Lynx seraient derrière la fameuse attaque VOHO découverte en juin 2012. Elle leur avait permis de viser les fournisseurs de l’armée américaine, dont les systèmes étaient sécurisés par une solution de Bit9. Les hackers ont alors compromis le cœur du système de sécurité en s’attaquant directement à Bit9 et se sont introduits dans l’infrastructure de signature de fichiers sur laquelle repose ce système.

Les origines ?

D’où provient ce groupe de hackers ? La communication française de Symantec ne le précise pas. En revanche, Reuters laisse entendre que ce groupe pourrait bien être d’origine chinoise, comme APT1. L’éditeur s’est en tout cas bien gardé d’indiquer que le gouvernement chinois pouvait être lié à Hidden Lynx. En revanche, Symantec précise dans son rapport que les Hidden Lynx pourraient avoir été impliqués dans l’opération Aurora de 2009, qui avait mis à mal la sécurité de nombreuses entreprises américaines…

REF.:

20 conseils pour surfer sur internet en toute tranquilité

Photo Fotolia

L'éditeur d'antivirus Avira publie une liste de conseils destinés à se parer du mieux possible de la menace informatique.

Aussi sur Canoe.ca: Explosion des virus informatiques en 2013Téléphones et tablettes: nouvel eldorado du cybercrime

1- Ne pas ouvrir les pièces jointes aux courriels.
2- Ne pas répondre aux courriels indésirables ou spontanés.
3- Ne rien acheter qui a été recommandé par un courriel indésirable.
4- Ne jamais cliquer sur les liens courriels pressants.
5- Ne jamais répondre à un courriel demandant des informations personnelles ou confidentielles.
6- Savoir que sa banque ne demandera jamais d'informations personnelles par courriel.
7- Utiliser des mots de passe compliqués (mélanges de chiffres et de lettres, de minuscules et de majuscules).
8- Utiliser des mots de passe différents pour chacun de ses comptes.
9- Ne jamais enregistrer ses mots de passe sur des ordinateurs étrangers.
10- Ne pas installer de programmes suggérés.
11- Ne pas utiliser n'importe quel USB tombant sous la main.
12- Verrouiller l'accès à son ordinateur.
13- Protéger l'accès à son téléphone intelligent et le configurer pour qu'il s'autoverrouille.
14- Utiliser avec précaution son téléphone intelligent, l'équivalent d'un petit ordinateur.
15- Considérer comme spam toutes les demandes d'inconnus sur les réseaux sociaux.
16- Se méfier des bannières sur les sites Web clamant que l'on est «le millionième visiteur» ou le vainqueur d'un «prix incroyable».
17- Ne jamais publier de photos embarrassantes sur les réseaux sociaux.
18- Ne jamais se prendre en photo nu, que celles-ci soient ensuite mises en ligne ou non.
19- Se souvenir que la capacité de stockage d'informations sur internet est illimitée et que n'importe quel document peut ressurgir de manière inopinée.
20- Utiliser un antivirus.

REF.:

ZHPDiag Diagnostic votre PC tout comme HijackThis

ZHPDiag est un outil de diagnostic extrait du logiciel Zeb Help Process. Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation. Il est basé en partie sur le principe d'HijackThis. Il scrute votre Base de Registre et énumère les zones sensibles qui sont susceptibles d'être piratées.
A noter qu'il n'écrit rien dans votre Base de Registres et ne procède à aucun nettoyage.

Il est totalement compatible avec l'analyse de Zeb Help Process et ne nécessite aucune installation.
télécharger sur zébulon: http://telechargement.zebulon.fr/telecharger-zhpdiag.html
http://www.premiumor...ss/zhpdiag.html

LA CREATION DE ZHPDiag
A partir de la version 2.30, Zeb Help Process se dote de son propre outil de dignostic avec ZHPDiag. Pourquoi un tel outil alors même que d'autres assurent une fonction quasi analogue, la raison se résume en un seul mot l'autonomie. En effet, jusqu'aux précédentes version, ZHP se limitait exclusivement à analyser des rapports en provenance d'autres outils de diagnostic, mais qu'adviendrait-il si tous ces outils venaient à disparaître ?, eh bien la réponse est simple, ZHP serait condamné à disparaître faute de matière première. C'est donc avant tout dans un souci de pérennité que j'ai créé cet outil. J'espère qu'il vous apportera les éléments nécessaires, voire indispensables, à la traque d'éléments nuisibles encombrant votre système d'exploitation.

Le lancement de l'outil se fait en cliquant sur le bouton outils.


L'affichage du rapport se fait dans la zone rapport (Partie supérieure de l'écran) de façon à ce que ZHP puisse l'analyser dans la zone Résultat. Le rapport de ZHPDiag se présente en trois parties, l'en-tête, le corps et les compléments de recherche.


1 - L'EN-TETE DU RAPPORT.
L'en-tête du rapport comporte la version de l'outil, la date d'enregistrement du scan, la plateforme système et la version des navigateurs Internet explorer, Mozilla Firefox et Opera.

Rapport de ZHPDiag v1.0 par Nicolas Coolman      Enregistré le 22/07/2008 15:28:43
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2 
MSIE: Internet Explorer v6.0.2900.2180 
OPIE: Opera 9.51 
MFIE: Mozilla Firefox (2.0.0.11)

2 - LE CORPS DU RAPPORT.

Processus lancés
Ce module recense l'ensemble des processus qui sont lancés au démarrage du système. Il proviennent d'une part de données situées dans les clés Run,RunOnce ou RunService de la Base De Registres et d'autre part de données provenant du demarrage de certains services.

---\\ Processus lancés
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
- Modification d'une valeur System.ini (F2)
- Modification d'une valeur Win.ini (F3)

Analyse des lignes M1, du navigateur Mozilla Firefox

M1 - Pages de recherche de Mozilla Firefox
Lié au module SPR (Search Page Redirection). De nombreuses extensions sont proposées pour le navigateur Firefox. Certaines d'entre elles, non désirées, peuvent provoquer une redirection de la page de recherche. Afin de pister une éventuelle redirection, l'outil énumère l'ensemble des dossiers comportant une redirection. Ensuite l'analyse de ZHP pourra déterminer la légitimite ou la nocivité de l'adresse spécifiée.

---\\ Pages de recherche de Mozilla Firefox (M1)
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\talkback@mozilla.org

Analyse des lignes P1, du navigateur Opera

P1 - Plugin de navigateur Opera
Lié au module OPN (Opera Plugin Navigator). Il permet de lister l'ensemble des plugins installés pour le navigateur Opera. Certains plugins peuvent être des programmes malwares. L'analyse de ZHP permettra de les identifier.

---\\ Plugin de navigateur Opera (P1)
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npdsplay.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32_FlashUtil.exe
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npwmsdrm.dll

Analyse des lignes R0, R1, R3 - Internet Explorer Start/Search pages URLs

R0 - Pages de démarrage d'Internet Explorer
Ce module recherche les paramètres de la page de démarrage par défaut du navigateur Microsoft Internet Explorer. Le piratage de la page de démarrage permet notamment l'affichage de popups indésirables

R1 - Pages de recherche d'Internet Explorer
Ce module recherche les paramètres de la page de recherche par défaut du navigateur Microsoft Internet Explorer

R3 Internet Explorer URLSearchHook
Ce module recherche les paramètres URLSearchHook du navigateur Microsoft Internet Explorer

Analyse des autres lignes (Others)

O1 - Redirection du fichier Hosts
Ce module recherche les détournements du fichier hosts qui contient les mappages de noms d'hôtes en adresses IP.

O2 - Browser Helper Objects de navigateur
Ce module recherche l'ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web.

O3 - Internet Explorer Toolbars
Ce module liste l'ensemble des barres d'outils (Toolbars) du navigateur Microsoft Internet Explorer.

O4 - Applications démarrées automatiquement par le registre
Ce module énumère l'ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.

O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration
Ce module affiche les paramètres contenus dans le fichier control.ini et correspondant au panneau de contrôle d'Internet Explorer.

O6 - Restriction de l'accès aux options IE par l'Administrateur
Ce module permet de rechercher dans la Base De Registres s'il y a restriction sur l'accès aux options d'Internet Explorer. A côté de la restriction faite par l'Administrateur, certains logiciels comme Spybot S&D peuvent provoquer la création de cette ligne lorsque l'option Verrouiller la page de démarrage est activée.

O7 - Restriction de l'accès à Regedit par l'Administrateur
Ce module permet de rechercher la valeur de clé de registre DisableRegedit. Selon la donnée de cette valeur ce clé, l'accès à la Base De Registres peut être totalement verrouillé.

O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer
Ce module énumère les lignes supplémentaires dans le menu contextuel d'Internet Explorer. Cette action ajoute des éléments au menu contextuel lorsque l'on fait un clic droit sur une page Web.

O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer
Ce module liste les éléments ajoutés dans la barre d'outils d'Internet Explorer ou dans le menu Outils d'IE

O10 - Piratages de Winsock LSP (Layered Service Provider)
Ce module est en cours d'étude et n'est pas encore disponible.

O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer
Ce module traite des Onglets supplémentaires dans les options avancées d'Internet Explorer. Le traitement se fait par lecture de clés de Registre.

O12 - Internet Explorer Plugins
Ce module énumère les programmes d'extension (plugins) d'Internet Explorer. Ces plugins sont lancés au démarrage du navigateur.

O13 - Piratage des prefixes d'URL d'Internet Explorer
Ce module recherche la valeur de la clé de Registre DefaultPrefix. Toutes les URL sont par défaut préfixées avec http://. Des pirates comme CoolWebSearch sont connus pour modifer ce préfixe.

O14 - Paramètres par défaut des options Internet Explorer
Ce module recherche les paramètres du fichier ereset.inf qui contient des options de Microsoft Internet Explorer.
Les lignes légitimes suivantes ne sont pas affichées :

O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL=SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
O14 - IERESET.INF: SAFESITE_VALUE=SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

O15 - Site indésirable dans la Zone de confiance d'Internet Explorer
Ce module recherche les sites indésirables placés dans la Zone de confiance d'Internet Explorer. Souvent AOL et CoolWebSearch s'insèrent silencieusement dans cette zone.

O16 - Objets ActiveX (Downloaded Program Files)
Ce module permet d'énumerer les objets ActiveX.
Les lignes légitimes issues de Java Runtime Environment nes sont pas affichées.

O17 - Piratage de domaine (Lop.com)
Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant.

O18 - Protocole additionnel et piratage de protocole
Ce module recense les modifications des protocoles par défaut pour pister les connexions.

O19 - Piratage de feuille de style Utilisateur
Ce module permet de rechercher un éventuel piratage de la feuille de style de l'utilisateur. Le détournement d'une feuille de style peut être utilisé pour l'affichage de popups.

O20 - Valeur de sous-clés Winlogon Notify
Ce module se charge d'énumérer les fichiers chargés via les sous-clés Winlogon Notify. Ces fichiers peuvent provenir d'infection Vundo.

O20 - Valeur de Registre AppInit_DLLs
Ce module se charge d'énumérer les fichiers chargés via la valeur de Registre AppInit_DLLs.

O21 - Clé de Registre autorun ShellServiceObjectDelayLoad
Lié au module SSODL (Shell Service Object Delay Load). Il permet de lister les fichiers chargés via la clé de Registre ShellServiceObjectDelayLoad.

O22 - Clé de Registre autorun SharedTaskScheduler
Ce module recense les éléments de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d'une infection SmitFraud.
Les lignes suivantes légitimes de Windows ne sont pas affichées :

  O22 - SharedTaskScheduler: Pré-chargeur Browseui - {...}
  O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {...}

O23 - Services NT non Microsoft et non désactivés
Ce permet énumère l'ensemble des services lancés au démarrage du système. Les services génériques Microsoft et les services désactivés sont volontairement exclus de cette énumération.

024 - Enumération des composants Active Desktop
Ce module recense tous les composants Active Desktop. Ces ajouts de composants se rencontrent par exemple lors d'infections de type SmitFraud, mais pas seulement.
La ligne légitime par défaut Ma page d'accueil n'est pas affichée.

Aperçu dans le rapport

---\\ Enumération des composants Active Desktop (O24)
O24 - Desktop Component 0: Ma page d'accueil - file:About:Home 
O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

3 - LES COMPLEMENTS DE RECHERCHE.
A côté du rapport de base, l'outil dispose maintenant d'un module permettant la sélection d'un ou plusieurs compléments de rapport. Il démarre à partir des lignes de rapport O39



O39 - Tâches planifiées en automatique
Lié au module APT (Automatic Planified Task). De nombreux logiciels ont pour fonction la surveillance ou l'update du système. Pour chacun d'eux, une tâche planifiée peut être créée et se déclencher en fonction d'une périodicité établie. Ce procédé de tâche planifiée pouvant être détourné par certains malwares, l'outil permet l'affichage de l'ensemble de ces événements. Ensuite une analyse de ZHP pourra déterminer la légitimité ou la nocivité d'une telle tâche.

---\\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\desktop.ini
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\SA.DAT

O40 - Composants installés (ActiveSetup Installed Components)
Lié au module ASIC (ActiveSetup Installed Components). Il permet de lister tous les composants Active Setup énumérés dans la Base De Registres.

---\\ Composants installés (ActiveSetup Installed Components) (040)
O40 - ASIC: Lecteur Windows Media - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE
O40 - ASIC: Personnalisation du navigateur - {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

O41 - Pilotes lancés au démarrage
Ce module liste tous les pilotes (drivers) de périphériques qui sont lancés au démarrage du système.

---\\ Pilotes lancés au démarrage (O41)
O41 - Driver: Suppresseur d'écho acoustique (Noyau Microsoft) (aec) - C:\WINDOWS\system32\drivers\aec.sys        
O41 - Driver: Environnement de prise en charge de réseau AFD (AFD) - C:\WINDOWS\System32\drivers\afd.sys         
O41 - Driver: Pilote de processeur AMD K7 (AmdK7) - C:\WINDOWS\System32\DRIVERS\amdk7.sys        
O41 - Driver: Protocole client ARP 1394 (Arp1394) - C:\WINDOWS\System32\DRIVERS\arp1394.sys

O42 - Logiciels installés
Ce module liste tous les logiciels installés en excluant les mises à jour et correctifs Microsoft Windows.

---\\ Logiciels installés (O42)
O42 - Logiciel: Adobe Flash Player Plugin        
O42 - Logiciel: Adobe Photoshop 7.0 
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus  
O42 - Logiciel: CCleaner (remove only)

O43 - Contenu des dossiers Fichiers Communs
*** Disponible seulement avec Zeb Help Process ***
Lié au module CFD (Common File Directory). Il permet de lister tous les sous-dossiers Fichiers Communs et Common Files du dossier %ProgramFiles%

---\\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\ACD Systems
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Adobe
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Borland Shared
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Microsoft Shared

O44 - Derniers fichiers modifiés ou créés sous System32
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers System32 et System32/Drivers. La période de recherche est limitée aux 3 derniers mois.

---\\ Derniers fichiers modifiés ou créés sous System32 (O44)
O44 - LFC:Last File Created - C:\WINDOWS\System32\dnsapi.dll -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\java.exe -->10/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\avipbb.sys -->19/07/2008

O45 - Derniers fichiers créés dans Windows Prefetcher
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFP (Last File Create Prefetch). Il permet de lister tous les fichiers créés ou modifiés dans le dossier Prefetcher. La période de recherche est limitée aux 3 derniers mois.

---\\ Derniers fichiers créés par Windows Prefetcher (O45)
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ACDSEE8.EXE-2C7AF977.pf -->24/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-184750BD.pf -->19/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-2B12A6B4.pf -->23/07/2008

O46 - ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer.
Lié au module SEH (Shell Execute Hooks). Il permet de recenser toutes les opérations et fonctions au démarrage de Windows Explorer.

Aperçu dans le rapport en version Helper :

---\\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll  => Microsoft Windows Shell Ortak

O47 - Export de clé d'application autorisée
Lié au module AAKE (Authorized Application Key Export). Il permet de lister toutes les valeurs et données pour les applications autorisées pour les deux clés suivantes :
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Aperçu dans le rapport

---\\ Export de clé d'application autorisée (O47)
047 - AAKE:Key Export - "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

Equivalence dans les rapports DiagHelp, SDFix

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

O48 - Déni du service Local Security Authority (LSA)
Lié au module LSA. Pour son fonctionnement, Microsoft Windows NT utilise un service d'autorité Locale de sécurité ou LSA (Local Security Authority). Une requête au service LSA peut être utilisée afin d'exploiter une vulnérabilité de sécurité du système. Une utilisation abusive de cette vulnérabilité permet l'exécution d'un programme en provoquant un déni de service. Ainsi, le service LSA cesse de répondre et demande le démarrage de l'ordinateur. Au redémarrage la ressource malware installée sera automatiquement chargée afin de poursuivre son action.

- Les attaquent portent sur la clé de Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA],
avec remplacement de la donnée des valeurs Notification Packages et Authentication Packages.

- La donnée par défaut de la valeur Authentication Packages est msv1_0 et fait référence à la ressource système %System32%\msv1_0.dll (Microsoft Authentication Package v1.0)

- La donnée par défaut de la valeur Notification Packages est scecli et fait référence à la ressource système %System32%\scecli.dll (Microsoft Moteur du client de l'Éditeur de configuration)

- L'infection Vundo utilise cette vulnérabilité de sécurité et installe sa propre ressource. MalwareByte's AntiMalware (MBAM) recense ce type d'attaque de service LSA.

Appercu dans le rapport en mode Helper (ces deux lignes sont bien sûr traitées légitimes/génériques lors de l'analyse générale de ZHP)

---\\ Déni du service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages - C:\WINDOWS\System32\msv1_0.dll        => Microsoft Authentication Package v1.0  
O48 - LSA:Local Security Authority Notification Packages - C:\WINDOWS\System32\scecli.dll          => Microsoft Moteur du client de l'Éditeur de configuration

O70 - Recherche particulière de dossier, fichier ou clé de BDR
*** Disponible seulement avec Zeb Help Process ***
Ce module complémentaire permet une recherche particulière de dossier, de fichier ou de clé de Base De Registres (BDR). La recherche se fait sur les unités de disque spécifiées et comprend les dossiers/fichiers cachés. La liste des fichiers, dossiers ou clé/valeur de BDR se saisit dans la zone rapport avec obligatoirement la chaine ZHPDiag comme première ligne et en respectant le format ci-dessous :

ZHPDiag
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32
C:\WINDOWS\System32\upml
d:\temp\scr2.jpg
d:\temp\scr3.jpg[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTim
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\System32\upm

Une fois cette opération réalisée, un clic sur le bouton Outils lancera l'exécution de ZHPDiag et intégrera ces lignes au début du rapport avec une indication de présence ou d'absence. Le lancement de l'analyse de ZHP permettra une coloration en rouge des lignes présentes

Citation

---\\ Recherche particulière de dossier, fichier ou clé de BDR (O70)
O70 - User: C:\WINDOWS\System32\alg.exe => Fichier PRESENT
O70 - User: C:\WINDOWS\System32 => Dossier PRESENT
O70 - User: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer => Valeur de clé PRESENTE
O70 - User: C:\WINDOWS\System32\upml => Dossier/Fichier ABSENT

O71 - ZHPSearch, outil de recherche d'infection de Base de Registres
*** Disponible seulement avec Zeb Help Process ***
Lié au module BDRI (Base De Registres Infections). ZHPSearch est un module complémentaire de ZHPDiag. Il permet la recherche d'infections BT, Combo, MSN , SD, SmitFraud directement dans la Base De Registres Windows. Ce module en version bêta a été testé sur plus de 17000 clés/valeurs de BDR.


Aperçu dans le rapport en version Helper

O71 - BDRI:[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:antispy - 
C:\Program Files\IEAntivirus\antivirus.exe  => Infection SmitFraud (IEAntiVirus.Rog)

Description complète de ZHPDiag
http://www.premiumor...ss/zhpdiag.html
programme ici: http://telechargement.zebulon.fr/telecharger-zhpdiag.html

REF.: