Les anti-Keylogger sont des programmes destinés à protéger contre les keyloggers (enregistreurs de frappes claviers). Les keyloggers sont des logiciels malveillants qui enregistrent les frappes claviers Voici une présentation rapide et explique autour des anti-keyloggers.
Les Anti-Keyloggers protègent de l’enregistrement des frappes claviers qui peuvent être récupérés par des cybercriminels. Voici quelques anti-keyloggers gratuits.
KeyScrambler
KeyScrambler est un anti-keylogger gratuit de la société QFX Software. Cet anti-keylogger agit comme un keylogger et intercepte les frappes claviers des applications afin de chiffrer le contenu. D’après nos tests, KeyScrambler protège de l’enregistrement de frappe clavier sur les navigateurs internet.
Le chiffrement des claviers se fait au niveau kernel.
> Télécharger KeyScrambler
Ainsi, avec un keylogger de type userland, effectivement cela fonctionne, qui ne parvient pas à récupérer les frappes clavier.
ou encore cet autre Trojan RAT, qui ne parvient pas à récupérer les frappes clavier du navigateur internet.
Zemana AntiLogger
Zemana
AntiLogger est un anti-keylogger gratuit qui protège de la récupération
de frappes clavier et analyse l’ordinateur à la recherche de logiciels
malveillants. L’utilisation est très simple avec une gestion de la quarantaine. D’après nos tests, Zemana AntiLogger réussi bien à protéger contre les keyloggers.
SpyShelter Anti-Keylogger fonctionne lui par des détections de comportements.
Le but est donc de détecter les menaces informatiques et trojans qui
tentent d’enregistrer les frappes claviers, effectuer des captures
d’écran etc.
> Télécharger SpyShelter Anti Keylogger
Sur le Trojan suivant, cela fonctionne bien. Toutes les actions (keylogger, surveiller le presse papier, activer la webcam) sont détectés.
SpyShelter Anti-Keylogger va emétre des alertes sur la plupart de vos applications. Ce sera à l’utilisateur de statuer sur celle-ci.
Les programmes peuvent alors être ajoutées dans une liste blanche.
Les anti-keylogger en vidéo
En démonstration, une vidéo qui montrent les anti-keylogger en action :
Conclusion autour des anti-keylogger
Faut-il nécessairement installer un anti-keylogger ?
Non… les keylogger sont très souvent des fonctions de cheval de troie, or si on suit la logique des éditeurs, il faudrait installer un antivirus, un pare-feu, un anti-ransomware, un anti-keylogger.
Bref, on en finit plus d’acheter des logiciels et pour les petites
configurations, cumuler tous ces programmes peuvent conduire à de forts
ralentissements. Les keyloggers sont distribués comme des malwares
classiques, ainsi, il faut simplement se protéger en amont et surtout
avoir de bonnes habitudes pour ne pas infecter son ordinateur. Connaître la manière dont sont distribués les malwares est donc la première chose à savoir. Pour éviter les virus, il faut savoir comment les pirates s’y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Dans la série des utilitaires simples et très utile, voici SysHardener. Ce dernier permet de désactiver des fonctions de Windows, assez inutiles et qui sont généralement utilisées pour propager des logiciels malveillants. L’utilitaire est gratuit et édité par NoVirusThank, dont nous avions déjà par le passé parlé d’OSArmor.
SysHardener : sécuriser Windows facilement contre les virus
SysHardener
est donc un utilitaire gratuite qui permet d’activer ou désactiver des
fonctions de Windows afin de sécuriser Windows. Son utilisation est donc simple, vous devez simplement cocher et décocher certains éléments pour activer ou non ces fonctions. Cela peut permettre d’optimiser Windows puisqu’il permet de désactiver des services de Windows. Télécharger SysHardener
SysHardener reprend une partie des tutoriels suivants qui permettent de limiter certains fonctions utilisés par les logiciels malveillants pour infecter Windows :
Smb, le serveur de partage de fichiers peut aussi être désactivé.
Restriction Powershell
Des restrictions PowerShell peuvent aussi être mis en place pour lutter contre les virus Powershell.
Désactiver les extensions dangereuses
En plus de désactiver Windows Script Host, il est aussi possible de changer l’extension de fichiers qui peuvent être utilisées par des malwares. On trouve les extensions liées aux scripts : VBS, VBE, JS, JSE, WSF, WHM, HTA mais certains exécutables comme .SCR ou PIF. Enfin les extensions de fichiers liées à Java avec JAR.
Désactiver des Services Windows
Et puis vous pouvez désactiver les services Windows inutiles. Par exemple, vous pouvez désactiver le contrôle d’ordinateur à distance (Remote Desktop Services). Une liste des services à désactiver est aussi abordée sur la page : Optimiser Windows 10 : les services Windows à désactiver
Sécuriser Office et Adobe
Ensuite SysHardener permet de sécuriser les applications Adobe et Office.
Il s’agit de désactiver le JavaScript dans Adobe Reader qui peut-être
utilisés dans des PDF malveillants utilisés dans des campagnes de mails malveillants. De même, cela permet de sécuriser Office en désactivant DDE (Lire Vulnérabilité (?) DDE sur Word et mails malveillants), OLE et ActiveX.
Dans le même style, il existe Hardentools qui permet aussi de sécuriser Windows en désactivant des fonctions utilisés par les malwares.
Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
Depuis le mois de décembre, les experts en cybersécurité
regardent avec inquiétude grossir à toute vitesse un botnet baptisé
Satori. Ce dernier s'ajuste en permanence aux contre-mesures, et a la
particularité de se loger dans tout objet mal protégé et connecté à
Internet.
Parmi les cibles favorites de Satori, les thermostats, les TV
connectées, les systèmes d'infotainment dans les voitures, mais surtout
les routeurs. Une fois massif, le botnet pourrait servir à des attaques
en déni de service (DDoS).
Déjà 40.000 zombies
En japonais, son nom signifie illumination, compréhension, éveil. Une
notion d'une haute valeur philosophique, bien loin des objectifs et des
méthodes du malware baptisé Satori. Repéré en décembre dernier, ce code
malicieux se loge dans toutes sortes d'objets connectés au Net et les
asservit, tels des zombies, pour constituer un puissant botnet, une
armée de machines à la main de son ou ses maîtres.
Satori n'est pas encore très gros : il aurait sous sa coupe environ
40.000 appareils, mais il grandit vite. Les experts observent avec
inquiétude la discipline de son ou ses auteurs, qui modifient
régulièrement leur tactique d'infection. Le moment venu, Satori pourrait
servir à expédier des millions de spams, ou noyer sous des requêtes
simultanées venant de chaque objet infecté les serveurs d'une compagnie,
d'un hébergeur ou d'une institution.
Le digne héritier de Mirai
Des pans entiers du code source de Satori sont identiques à celui de
Mirai, un botnet qui paralysa en 2016 plusieurs structures critiques du
web en Amérique du Nord. L'attaque de Mirai fit tomber notamment
Twitter, les sites d'Airbnb et du New York Times. Au faîte de sa
gloire, Mirai enrôlait des centaines de milliers de routeurs, de webcam,
et de toutes sortes d'objets connectés corrompus.
Les trois auteurs de Mirai ont été arrêtés mi-décembre par le FBI, mais
leur créature a ouvert la voie à d'autres. Pour se protéger de Satori,
plusieurs mesures s'imposent : changer tout d'abord les mots de passe
par défaut de vos objets connectés, et les mettre à jour si l'éditeur
vous le propose. Si votre bande passante baisse, vous pouvez demander
une vérification à votre FAI. Satori a la particularité de se propager
rapidement à tous les objets d'un même réseau, notamment domestique.
Par le passé, les hackers ont utilisé maints procédés pour se
servir de la puissance calculatrice de votre ordinateur, dans leur
intérêt et à votre insu bien sûr. Le dernier en date : le minage caché
de cryptomonnaie, directement depuis votre navigateur.
Une fenêtre très bien cachée, voici comment l'identifier
Jérôme Segura, analyste chez Malwarebytes, société américaine spécialiste de la cybersécurité, vient de détailler sur le blog
de son entreprise le fonctionnement de cette arnaque. Tout d'abord, les
hackers ont repéré un site peu protégé et qu'ils ont réussi à infecter
avec un JavaScript. En l'occurrence, il s'agit d'un site pornographique
ayant déjà la réputation de propager des malwares sur les ordinateurs de
ses visiteurs. Une fois lancé, le site force l'ouverture d'une nouvelle
fenêtre (le célèbre « tab-under
»), mais cette fois-ci, elle est toute petite et s'ouvre en bas à
droite de l'écran, derrière l'horloge. Sur les ordinateurs où la barre
du bas de l'écran n'est pas configurée pour être semi-transparente
(comme c'est le cas dans le thème par défaut dans Windows 7), de prime
abord, on ne l'aperçoit même pas.
Mais trois moyens existent tout de même pour la détecter. On peut par
exemple agrandir la barre d'en bas, dans ce cas-là la fenêtre devient
visible. Deuxième moyen : si l'on regarde l'icône du navigateur sur la
même barre, on remarquera qu'elle est sur un fond plus clair, ce qui
veut dire que le logiciel est actuellement lancé. Dernier moyen : faire «
Ctrl + Alt + Suppr » sur votre clavier pour ouvrir le gestionnaire des
tâches. Vous y apercevrez alors chrome.exe en tant que « processus actif
».
Un code ingénieux qui s'exécute sur tous les navigateurs et tous les systèmes d'exploitation
Que se passe-t-il donc dans cette fenêtre cachée ? Un code s'y lance qui
mine de la cryptomonnaie Monero. Afin de ne pas créer de soupçons, il
est paramétré pour ne pas consommer trop de ressources de l'ordinateur.
On peut le voir en lançant le gestionnaire des tâches et en basculant
sur l'onglet « Performance ». La puce de l'ordinateur est chargée à 50 %
environ. Ce n'est pas énorme dans l'absolu, mais en comparaison avec
les ressources que nécessite un site « normal », ça l'est. Sans
surprise, il suffit de fermer la fenêtre malveillante pour voir le
pourcentage chuter brutalement.
Afin de lancer leur code, les hackers se servent du réseau publicitaire
Ad Maven, qui s'avère facile à pirater. Une suite de codes, domicilés
sur des domaines différents, est alors lancée. Le code malveillant (le
dernier maillon de la chaîne), domicilé sur hatevery[.]info, fait appel à
l'API de Monero, appelé « cryptonight ».
Afin de ne pas tomber victime de cette arnaque, deux conseils : suivre
scrupuleusement les demandes de blocage des réseaux publicitaires
qu'émet votre antivirus, et ne pas aller sur des sites réputés pas
fiables.
Saviez-vous que vous faisiez peut-être partie d'un réseau de
minage de cryptomonnaies ? Non ? C'est normal : les hackers préfèrent
que vous ne le sachiez pas, puisqu'ils n'ont aucune intention de vous
reverser une partie des bénéfices. Ils utilisent donc des scripts
permettant de miner des cryptomonnaies sans vous le dire et consomment
votre électricité pour arriver à leurs fins.
La technique semble se généraliser, notamment grâce à une petite
extension qui permet de miner des cryptomonnaies avec la puissance de
calcul du processeur et non de la carte graphique : CoinHive. CoinHive
ne permet que de miner la monnaie Monero (donc pas des Bitcoins).
Les sites pirates friands du minage caché de cryptomonnaies
Après un micro-scandale sur le site TorrentFreak, qui avait installé ce
code javascript avant de le désinstaller devant le tollé provoqué,
d'autres sites s'y sont essayés. Les sites de streaming vidéo illégal,
notamment, semblent friands de cette technique puisque leurs
utilisateurs passent des dizaines de minutes voire des heures sur les
pages pour regarder films et séries. Autant de temps qui peut être dédié
au minage de cryptomonnaies à l'insu des utilisateurs.
Selon les chercheurs d'AdGuard,
qui ont publié les résultats de leur étude mercredi 13 décembre 2017,
des scripts permettant de miner des cryptomonnaies à l'insu des
utilisateurs ont été repérés sur de nombreux sites. Ils estiment que
près d'un milliard de visites de ces sites de streaming (donc pas un
milliard d'utilisateurs) pourraient avoir permis le minage secret de
cryptomonnaies, qui a désormais son propre terme : le cryptojacking.
Le Wifi de Starbucks hacké pour miner ?
Les chercheurs d'AdGuard estiment que certains administrateurs des sites
pourraient eux-mêmes avoir été utilisés : certains ne seraient pas au
courant de la présence du script. Les hackers, eux, auraient miné
l'équivalent de 320.000 dollars de cryptomonnaies chaque mois grâce à
cette technique de cryptojacking.
La tendance est telle que certains hackers commencent même à s'en
prendre aux réseaux Wifi publics. A Buenos Aires, en Argentine, le Wifi
d'un Starbucks local a été épinglé par le PDG de l'entreprise Stensul :
le Wifi proposé par le café utilisait l'ordinateur des utilisateurs
pour miner des cryptomonnaies pendant 10 secondes avant d'autoriser la
connexion. Après avoir signalé les faits à Starbucks le 2 décembre 2017,
le géant a déclaré avoir résolu le problème.
Trojan avancé : fonctionnement de cheval de troie plus complexe
Un article sur les trojans avancés et sophistiqués.
En général, il s’agit de Trojan banker ou stealer, c’est à dire trojans spécialisés dans le vol de données contenus sur l’ordinateur.
Quand
on parle de sophistication ce sont les méthodes de chargement et de
fonctionnement du cheval de troie, le but est de se rendre le plus
discret possible et contourner les antivirus.
On se rapproche des rootkits en terme de complexité.
L’article est donc plutôt technique et tente d’expliquer le fonctionnement d’un point de vue système.
Le but étant de bien comprendre les points de chargements et le fonctionnement général de ces trojans complexes.
Vous trouverez à la fin de cet article des vidéos illustratives de la théorie.
Dans
un premier temps, il faut connaître un minimum le fonctionnement des
chevaux de troie, pour cela, rendez-vous sur la page : Comment fonctionnent les trojans
Il y a déjà quelques articles et vidéos concernant ce type de Trojans sophistiqués sur le site.
Afin de bien comprendre de ce qu’il est question, vous pouvez lire la page : Trojan RAT (Remote Access Tool).
Dans la capture d’écran ci-dessous de Process Explorer, on peut facilement « voir » les processus
malicieux avec l’habitude.
C’est la même chose, si vous effectuez une surveillance de Windows avec le gestionnaire de tâches.
Le point de chargement, une clé Run classique est aussi visible à partir de l’utilitaire msconfig ou l’onglet Démarrage du gestionnaire de tâches.
En clair donc, pour un utilisateur avancé, ces processus visibles et
clés ne sont pas très discrètes et
peuvent attirer l’attention.
Un cheval de troie plus avancé, est plus discret et n’utilise pas de processus apparents.
Ces derniers sont souvent la forme de fichiers DLL et injectent des processus système Windows
Une
DLL ou librairie, est un fichier avec l’extension .DLL, une exécutable
(fichier .exe) pour charger des DLL en mémoire. Cela permet de partager
des codes et bibliothèques entre processus sans avoir à
recoder à chaque
fois ces parties et ainsi alléger l’utilisation mémoire. Plus
d’informations, lire le premier paragraphe de la page : Réparer les fichiers systèmes de Windows.
Fonctionnement trojan sophistiqué
Comment se présentent ces trojans plus sophistiqués ?
Le cheval de troie est sous la forme d’un fichier DLL et non un binaire .exe qui peut se charger au
démarrage par une clé Run.
Le fichier DLL se « greffe » à un fichier système de Windows (explorer.exe par exemple) ce qui lui
permet de contrôler le processus et effectuer des actions sous nom.
Ainsi, si vous listez les processus dans le gestionnaire de tâches de Windows, rien n’est apparent, vous
avez vos processus systèmes habituels.
Au niveau du chargement du cheval de troie au démarrage de Windows, là aussi, c’est plus discret.
Ci-dessous un exemple avec le Trojan Sathurbot, le chargement se fait à partir d’une clé du registre Windows moins connue et qui permet de charger une DLL dans le processus explorer.exe.
Si on liste les programmes au démarrage de Windows, on ne voit pas cette DLL, puisque l’onglet
démarrage du gestionnaire de tâches se borne à lister les clés Run et les programmes qui se lancent à
partir de ces clés.
La DLL va se charger dans le processus explorer.exe, ce qui va permettre de contrôler ce dernier.
Il s’agit ici d’une injection de DLL.
En résume donc :
Le Trojan n’est pas visible dans les processus de
Windows, du moins, il n’ajoute pas un
nouveau processus qui pourrait
attirer l’attention.
Le cheval de troie sophistiqué a de forte
chance d’utiliser d’autres points de chargement de
Pour
s’assurer qu’un cheval de troie de ce type ne soit pas actif et
installé dans Windows, il faut
inspecter plus profondément Windows.
L’utilisation d’outil comme Autoruns ou FRST est nécessaire pour trouver le point de restauration.
Comme
vous pouvez le constater, ces trojans sont plus complexes à dénicher au
sein du système, bien entendu, si la DLL est détectée par l’antivirus,
une analyse du disque peut trouver l’intru.
Windows Defender ne détecte rien, pendant que Malwarebytes Anti-Malware (MBAM) détecte Trojan.Sathurbot
Les protections peuvent aussi détecter les connexions vers le serveur de contrôle du Trojan.
On notera ici que le processus qui initie la connexion est explorer.exe puisque c’est le processus contrôlé
par le cheval de troie.
Les avantages
Outre
le fait, qu’il est plus difficile de détecter manuellement en
inspectant le système, du fait que, le
trojan se présente sous la forme
d’une DLL camouflée dans un processus système.
L’avantage aussi de
contrôler un processus système et de l’utiliser pour établir les
connexions sortantes permettent aussi de tirer partie de règles de
pare-feu trop laxistes.
Si les règles de pare-feu sont mal faites, trop larges ou étendues, la connexion pourra s’effectuer sans problème depuis le processus.
C’est une manière de contourner les firewall,
là où avec un nouveau processus, ce dernier pourrait
émettre une alerte
pour demander si ce nouveau processus peut se connecter à internet.
En vidéo
Voici quelques vidéos montrant des Trojans évolués.
En vidéo avec le Trojan Sathurbot :
En vidéo les injections de processus effectuées par le Trojan Bedep :
Enfin dans la vidéo suivante, comment détecter une injection de DLL non signée provenant du Trojan Bedep :
Trojan FileLess
Et puis il existe des cheval de troie tout aussi complexe sans fichier « FileLess ».
Pour faire simple, ce sont des chevaux de troie sous la forme de scripts PowerShell qui se lancent au démarrage de Windows.
Ce script permet ensuite de charger une DLL en mémoire et s’injecter dans un processus système.
Il existe des dossiers qui décrivent ces menaces informatiques.
Se reporter au pages suivantes :
Résumer tout le monde des trojans et logiciels malveillants serait très compliqués.
Pour la partie fonctionnement des cheval de troie : Comment fonctionne les trojans ?
Il
existe divers types et de familles plus ou moins évolués selon le but
recherché par les pirates, voler des infos bancaires, mot de passe ou
permettre le contrôle de l’ordinateur.
Vous trouverez une liste des familles de cheval de troie sur la page : Index des menaces et programmes malveillants/Malwares
Concernant les Trojans spécialisés dans le vols de données bancaires, vous pouvez lire la page : Les Trojans Banker
Les liens généraux sur les menaces informatiques :
Il circule beaucoup de mythes &
légendes à propos des virus informatiques. Un des plus
coriaces consistent à croire qu’il est possible d’être infecté simplement en ouvrant un e-mail ! C’était peut-être vrai avec la première version d’Outlook, mais ce n’est heureusement plus le cas aujourd’hui.
Pourquoi ne peut-on pas être infecté en ouvrant un e-mail ?
Les e-mails contiennent du texte ou du code HTML. Le HTML est le
langage utilisé pour construire les pages web, comme celle que vous
lisez actuellement. Un e-mail rempli de texte ou de HTML ne peut absolument pas nuire à votre ordinateur.
Fût une époque, Outlook (le client mail de Microsoft) exécutait le
code Javascript que pouvait contenir les e-mails. Le Javascript est un
autre langage utilisé pour le web qui peut, contrairement au HTML, nuire
à l’utilisateur.
Cette époque est révolue : aucun client mail digne de ce nom n’exécute le Javascript qui pourrait être inséré par un pirate dans des e-mails.
Outre ces légendes urbaines, il existe
des faits avérés assez incroyables dans le monde des virus. En voici 3
qui ont retenu mon attention et qui vous plairont sûrement.
1. Le virus le plus couteux de l’histoire de l’humanité
En 2004, un virus dénommé MyDoom fait
son apparition. Le mode de propagation était classique : une fois qu’il
avait infecté un ordinateur, le MyDoom envoyait des e-mails vérolés à
tous les contacts du propriétaire pour les infecter à leur tour (grâce à
une pièce jointe attrayante).
Le virus servait à prendre le contrôle des ordinateurs
infectés pour envoyer du spam mais aussi pour lancer des attaques
contre des entreprises comme Google, Microsoft ou encore SCO,
une boite de sécurité informatique.
Les experts de MessageLabs, une
entreprise d’emailing, ont rapporté 7,4 millions d’e-mails contenant le
virus MyDoom. Toujours selon eux, 1 e-mails vérolé sur 41 infectait
véritablement le destinataire (ce qui est monstrueux). La société
d’antivirus Kaspersky estimait à 700.000 le nombre de PC infectés en 2004 (ça aussi c’est monstrueux).
Comme je l’ai dis plus haut, le virus
lançait différentes attaques grâce à ses ordinateurs zombies. Des
attaques ont eu lieu contre SCO, Microsoft et Google. Microsoft dépensa 5 millions de dollars pour aider le FBI à trouver le créateur + 250.000$ de récompense à quiconque donnerait des informations sur lui.
En Juillet 2004, Google a cessé de fonctionner pendant une journée entière
suite à une attaque d’une variante de MyDoom. Difficile à imaginer
aujourd’hui…. La dernière fois que Google a flanché violemment, c’était à
la mort de Mickael Jackson. Le moteur a eu du mal à ingérer les
millions de requêtes par seconde qu’il recevait.
Bref, au total, le virus MyDoom aura coûté approximativement 38 milliards de dollars à l’État américain et à toutes les entreprises attaquées entre 2004 et 2007. 38 milliards. Pour info, le déficit de la sécu en France s’élève à 11 milliards d’euros…. soit à peine 13 milliards de $.
L’auteur du virus, vraisemblablement Russe, n’a jamais été retrouvé. La v1 de MyDoom a été programmée pour arrêter sa propre diffusion à une date donnée
(février 2004) ce qui a valu la découverte de dizaines de dérivées du
virus qui prenaient la relève à chaque fois. Tous les dérivés semblent
avoir été écrits par la même personne.
2. Le tout premier virus de l’histoire a été créé par 2 frères Pakistanais
Il s’appelait Brain et voici ses créateurs :
Les deux frères ont conçu ce virus en
1986 pour protéger leur logiciel d’analyse médical des pirates. En
clair, chaque personne qui utiliserait une copie illégale de leur
logiciel médical serait infecté par Brain ! La sentence était assez
terrible, puisque l’ordinateur affichait cet écran au démarrage sans
moyen d’aller plus loin :
On pouvait y voir inscrit (à droite de la capture ci-dessus) :
Ils donnaient leur adresse et leur numéro de téléphone pour que les victimes se fassent dépanner (“contactez-nous pour la vaccination“) ! Ils n’avaient pas prévu que des milliers de personnes allaient se faire piéger et appèleraient. Leur ligne a été totalement saturée et les médias se sont emparés de l’histoire.
Leur entreprise actuelle, Brain Net,
est l’un des plus célèbres fournisseurs d’accès Internet au Pakistan.
Ils avouent eux-même que Brain a été un bon tremplin À l’occasion de l’anniversaire des 25 ans de Brain, les deux auteurs ont accepté de participer à un documentaire intéressant sur le sujet.
3. Le plus grand réseau d’ordinateurs zombies… oscar à Zeus !
Zeus est un virus type trojan, qui
permet d’espionner et de prendre le contrôle d’un ordinateur
infecté. Majoritairement utilisé par des groupes purement criminels type
mafias organisées, Zeus a servi à voler des millions de numéros de cartes de crédit. Les débits bancaires pouvaient être de plusieurs dizaines de milliers d’euros pour les victimes !
Des mules étaient employées pour
récupérer l’argent volé déposé sur des comptes bancaires. Ces mules
étaient engagées par Internet par les hackers pour récupérer en cash
l’argent dans un distributeur et leur amener en Europe de l’Est.
Hamza Bendelladj, arrêté en 2013 par le FBI, semble avoir été la tête pensante du réseau criminel derrière Zeus.
Sur le Darknet, le virus coûtait entre 3000 et 4000$ minimum à celui qui voulait se le procurer,
sans compter certains modules supplémentaires. Le module qui permettait
par exemple de récupérer toutes les données du navigateur Firefox sur
l’ordinateur de la victime coûtait 2000$ de plus. Le module qui
permettait de faire tourner le virus sur Windows Vista et Windows 7 coûtait 2000$ lui aussi.
A titre personnel, je crois
avoir rencontré des réseaux d’affiliation qui permettaient de gagner
entre 40 et 50$ par ordinateur que l’on infectait avec Zeus et que l’on
“offrait” ensuite au réseau. Pourquoi pas après tout ! Plus on est de
fous, …
Conclusion
L’historique des virus informatique est
vraiment passionnant. Ces 3 faits sont ceux qui m’ont le plus marqués
pendant mes recherches, mais je ne doute pas qu’il en existe d’autres
aussi excitants. Je pense notamment aux virus qui détruisent du matériel civil ou militaire.
Un virus informatique a infecté les cockpits des drones Predator et
Reaper de l'Amérique, enregistrant les frappes des pilotes lors de leurs
missions à distance en Afghanistan et dans d'autres zones de guerre. Le
virus, détecté pour la première fois il y a presque deux semaines par
le système de sécurité basé sur l'hôte de l'armée, n'a pas empêché les
pilotes de la base aérienne de Creech au Nevada d'effectuer leurs
missions outre-mer. Il n'y a pas non plus eu d'incidents confirmés d'informations classifiées perdues ou envoyées à une source extérieure. Mais
le virus a résisté à de multiples efforts pour le retirer des
ordinateurs Creech, disent les spécialistes de la sécurité réseau. Et l'infection souligne les risques de sécurité en cours dans ce qui
est devenu le système d'armes le plus important de l'armée américaine. "Nous
continuons à l'essuyer, et il ne cesse de revenir", dit une source
familière avec l'infection du réseau, l'un des trois qui a dit à Danger
Room sur le virus. "Nous pensons que c'est bénin, mais nous ne savons pas." Les
spécialistes de la sécurité des réseaux militaires ne sont pas sûrs de
savoir si le virus et sa charge utile dite "keylogger" ont été
introduits intentionnellement ou par accident; il peut s'agir d'un malware commun qui vient d'arriver dans ces réseaux sensibles. Les spécialistes ne savent pas exactement dans quelle mesure le virus s'est propagé. Mais ils sont sûrs que l'infection a frappé à la fois les machines classifiées et non classées chez Creech. Cela soulève au moins la possibilité que des données secrètes aient
été capturées par le keylogger, puis transmises par Internet à une
personne extérieure à la chaîne de commandement militaire. Les
drones sont devenus l'outil de prédilection de l'Amérique dans ses
guerres conventionnelles et d'ombre, permettant aux forces américaines
d'attaquer des cibles et d'espionner ses ennemis sans risquer des vies
américaines. Depuis
que le président Obama a pris ses fonctions, une flotte d'environ 30
drones dirigés par la CIA a atteint plus de 230 cibles au Pakistan; tout compte fait, ces drones ont tué plus de 2000 militants présumés et civils, selon le Washington Post. Plus
de 150 drones Predator et Reaper supplémentaires, sous le contrôle de
l'US Air Force, surveillent les combats en Afghanistan et en Irak. Les drones militaires américains ont frappé 92 fois en Libye entre la mi-avril et la fin août. Et à la fin du mois dernier, un drone américain a tué le terroriste
principal Anwar al-Awlaki - dans le cadre d'une escalade de l'assaut
aérien sans pilote dans la Corne de l'Afrique et le sud de la péninsule
arabique. Mais malgré leur utilisation répandue, les systèmes de drones sont connus pour avoir des failles de sécurité. De nombreux Reapers et Predators ne cryptent pas la vidéo qu'ils transmettent aux troupes américaines sur le terrain. À
l'été 2009, les forces américaines ont découvert «les jours et les
heures et les heures» des images de drones sur les ordinateurs portables
des insurgés irakiens. Un logiciel de 26 $ a permis aux militants de capturer la vidéo. La
plus grande partie des missions américaines de drones sont pilotées par
des pilotes de l'armée de l'air stationnés à Creech, un petit
avant-poste dans le désert aride du Nevada, à 20 miles au nord d'une
prison d'état et adjacent à un casino d'un étage. Dans
un bâtiment quelconque, dans un couloir peu marqué, se trouve une série
de pièces, chacune avec un rack de serveurs et une station de contrôle
au sol, ou GCS. Là, un pilote de drone et un opérateur de capteur s'assoient dans leurs combinaisons de vol devant une série d'écrans. Dans la main du pilote se trouve le joystick qui guide le drone alors
qu'il survole l'Afghanistan, l'Irak ou un autre champ de bataille. Certaines des GCS sont classifiées secrètes et utilisées pour le devoir de surveillance conventionnel des zones de guerre. Les GCS manipulant des opérations plus exotiques sont top secret. Aucun des cockpits distants n'est censé être connecté à l'internet public. Ce qui signifie qu'ils sont censés être largement immunisés contre les virus et autres menaces de sécurité réseau. Mais
maintes et maintes fois, les soi-disant «entrefers» entre les réseaux
classifiés et publics ont été comblés, principalement grâce à
l'utilisation de disques et de lecteurs amovibles. À
la fin de 2008, par exemple, les lecteurs ont aidé à introduire le ver
agent.btz sur des centaines de milliers d'ordinateurs du département de
la Défense. Le Pentagone est toujours en train de désinfecter les machines, trois ans plus tard. L'utilisation des disques est maintenant sévèrement restreinte dans l'armée. Mais la base de Creech était l'une des exceptions, jusqu'à ce que le virus frappe. Les
équipes Predator et Reaper utilisent des disques durs amovibles pour
charger les mises à jour de cartes et transporter les vidéos de mission
d'un ordinateur à l'autre. Le virus est censé se propager à travers ces lecteurs amovibles. Les unités de drones d'autres bases de l'armée de l'air à travers le
monde ont maintenant reçu l'ordre d'arrêter leur utilisation. Entre-temps, les techniciens de Creech tentent d'éliminer le virus des machines GCS. Cela n'a pas été facile. Au début, ils ont suivi les instructions de suppression affichées sur le site de la société de sécurité Kaspersky. "Mais le virus n'arrêtait pas de revenir", explique une source proche de l'infection. Finalement,
les techniciens devaient utiliser un outil logiciel appelé BCWipe pour
effacer complètement les disques durs internes du GCS. "Cela signifiait les reconstruire à partir de zéro" - un effort de longue haleine. La Force aérienne décline a commenter directement sur le virus. «En
général, nous ne discutons pas des vulnérabilités, des menaces ou des
réponses spécifiques à nos réseaux informatiques, car cela aide les
personnes qui cherchent à exploiter ou attaquer nos systèmes pour
affiner leur approche», explique le lieutenant-colonel Tadd Sholtis, qui supervise les drones et tous les autres avions tactiques de la Force aérienne. «Nous
investissons beaucoup dans la protection et la surveillance de nos
systèmes pour contrer les menaces et assurer la sécurité, ce qui inclut
une réponse complète aux virus, vers et autres logiciels malveillants
que nous découvrons.» Cependant, les initiés disent que les officiers
supérieurs de Creech sont informés quotidiennement virus ". Cela attire beaucoup l'attention", indique la source. "Mais
personne ne panique, pourtant." Photo publiée avec l'aimable
autorisation de Bryan William Jones Voir aussi: - Insiders Doubt 2008 Le
Pentagone Hack était une attaque espion étrangère sous l'assaut d'un
ver Intercepter la vidéo Drone en cas de violation de sécurité de taille normale.
Fabar Recovery Scan Tool (FRST) n’est pas un antivirus mais un outil de diagnostique comme OTL.
Le programme analyse le système et génère un ou plusieurs rapports qui peuvent être analysés par exemple avec le service pjjoint afin de déceler des menaces informatiques (Trojan, Adwares etc).
Le tutoriel vous explique comment générer les rapports et les envoyer à http://pjjoint.malekal.com qui va vous retourner un lien à donner à l’interlocuteur qui vous aide.
Si vous avez été redirigé ici depuis un forum de désinfection, le but
est de faire passer les rapports FRST à la personne qui vous aide à
travers le service pjjoint afin
que celui-ci puisse déterminer si l’ordinateur est infecté et
éventuellement vous passer un “fix”, c’est à dire les commandes FRST qui
vont bien pour désinfecter votre ordinateur.
Ce tutoriel est disponible sous forme de vidéo et en image.
Il est conseillé de suivre les deux… Ce n’est pas compliqué, prenez votre temps et lisez bien.
Voici les liens de téléchargements de FRST qui renvoie vers le site officiel BleepingComputer.
Deux versions selon l’architecture de votre ordinateur :
Cliquez sur le bouton Download à droite pour obtenir le programme
depuis telecharger-malekal.com afin d’ouvrir la page de téléchargement
de BleepingComputer.
Si cela est plus simple, voici le tutoriel en vidéo, n’hésitez pas à suivre le tutoriel en image en parallèle : SmartScreen peut émettre une alerte – vous pouvez forcer l’exécution en cliquant sur informations complémentaires puis exécuter quand même.
Avast! et
Norton peuvent bloquer le programme… Désactiver le, le temps de
l’utiliser : clic droit sur l’icône en bas à droite côté de l’horloge
puis Gestion des agents Avast => Désactiver définitivement.
Après avoir téléchargé le programme FRST, ce dernier doit se trouver dans votre dossier Téléchargement.
Pour faciliter l’utilisation de FRST, placez FRST sur le bureau de votre ordinateur, suivez ces instructions :
Ouvrez le dossier de Téléchargement, faites un clic droit sur FRST puis Couper.
Placez vous sur votre Bureau en faisait clic droit puis Coller. (Attention à ne pas créer un raccourci de l’application FRST)
Cela va placer FRST sur le bureau.
Lancez FRST qui se trouve maintenant sur votre bureau.
Accepter les modifications de l’ordinateur en cliquant sur Oui.
Acceptez les Clauses de non responsabilité (Dislaimer) en cliquant sur le bouton YES.
Cochez les options comme indiqué dans la fenêtre ci-dessous (à savoir il faut cocher Shortcut.txt qui ne l’est pas par défaut).
Cliquez sur le bouton Analyser/Scan pour démarrer l’analyse.
L’analyse se lance, les éléments scannés apparaissent en haut.
Version Française :
Version en anglais :
Laisser bien l’analyse aller au bout un message doit vous indiquer quand le scan est terminé.
Une fois le scan terminé, les rapports s’ouvrent sur le bloc-note :
FRST.txt, Shortcut.txt et Addition.txt, suivez le paragraphe suivant
pour les partager à un tiers qui vous aide à désinfecter votre
ordinateur des adwares, virus, trojan et autre cheval de troie.
Envoyer les rapports d’analyse sur pjjoint
Les rapports d’analyse doivent être communiqués à un tiers, pour
cela, vous pouvez utiliser le site pjjoint qui permet de partager des
documents : https://pjjoint.malekal.com
En outre le site pjjoint permet d’analyser automatiquement les rapports
FRST pour déceler des infections, ceci nest pas évoqué sur cette page,
reportez-vous à la page : Tutoriel désinfection et suppression de virus
Ces trois rapports se trouvent sur le bureau avec le programme FRST.
Ouvrez le site http://pjjoint.malekal.com afin d’y déposer les rapports pour une consultation par un tiers.
Le principe est simple, vous envoyez chacun des rapports, à chaque
fois un lien menant à ces rapports vous sera donné. Il faut donner ce
lien à votre interlocuteur afin qu’il puisse lire les rapports.
Sur pjjoint, dans la partie, Chemin du fichier à soumettre, cliquez sur Parcourir.
Sélectionnez le fichier FRST.txt qui se trouve sur votre bureau.
Cliquez sur Envoyer le fichier pour téléverser le rapport :
Le site pjjoint, vous donne en retour un lien qui mène à ce rapport afin d’être consulter.
Le but est de transmettre ce lien à votre interlocuteur, pour cela : Il suffit pour cela, de faire un clic droit sur le lien donné par pjjoint puis “Copier l’adresse du lien”.
En réponse sur le forum, dans un nouveau message, faites un clic droit et coller.
Répétez l’opération pour le fichier Additionnal.txt et transmettez le lien pjjoint de votre rapport Additionnal.txt
Voici un exemple de ce qu’un partage de rapports FRST pour une désinfection de virus peut donner au final :
Correction (fix) avec FRST
Si vous vous faites aider sur un forum, il est possible que l’on vous
fournisse un script qui permet d’être joué par FRST afin d’effectuer
des commandes, notamment pour supprimer des éléments malicieux sur votre
ordinateur.
Le script est transmis en retour de réponse des rapports donnés précédemment. Le script donné doit être enregistré dans un fichier fixlist.txt qui doit se trouver dans le même dossier que le programme FRST.
FRST doit se trouver sur votre bureau, il faut donc enregistrer le fichier fixlist.txt sur le bureau.
Pour cela :
Ouvrez le Bloc-Note- Touche Windows +R et dans le champs exécuter, saisir notepad et OK.
C’est un éditeur de texte vide, Coller le script que l’on vous a fourni.
Ci-dessous un exemple de script : Cliquez sur le menu Fichier puis Enregistrez-sous :
1/ Placez-vous sur le bureau en cliquant sur bureau à gauche.
2/ Saisir dans le nom du fichier : fixlist.txt
3/ Cliquez sur le bouton Enregsitrer : fixlist.txt est enregistré sur le bureau. Relancez FRST qui doit aussi se trouver sur votre bureau.
Cliquez sur le bouton Corriger / fix. La correction doit s’effectuer, il
est possible que la correction nécessite le redémarrage de
l’ordinateur.
Si vous avez une erreur “fixlist.txt not found”, cela signifie que FRST ne trouve pas le fichier fixlist.txt
Soit vous n’avez pas enregistré le fichier sous le nom fixlist.txt, soit
le fichier fixlist.txt ne se trouve pas dans le même dossier que FRST.
Encore une fois, FRST et fixlist.txt doivent se trouver sur votre bureau.
Note informative
FRST créé un dossier C:/FRST dedans se trouvent un dossier Logs où
sont automatiquement enregistrés les rapports mais aussi un dossier
Quarantine où se trouve les fichiers qui ont été supprimés depuis
l’application.
Farbar et CD Live Malekal
Si le programme est executé en environnement CD Live, ce dernier va scanner le Windows hôte (comme le fait OTLPE).
Cela permet de générer un rapport depuis un environnement CD Live afin de diagnoster les infections et les faire supprimer.
Se reporter au paragraphe FARBAR sur la page CD Live Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/