Powered By Blogger

Rechercher sur ce blogue

mercredi 28 mars 2012

Détection PUP/LPI : Potentially Unwanted Program

PUP est l’acronyme de Potentially Unwanted Program soit donc logiciels potentiellement indésirables (LPI). Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installé par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barre d’outils qui sont bundles avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voir pour certains ouvrir des popups de publicités pour rémunérer l’éditeur.
Le schéma général est de proposer un programme gratuit et en contre-partie une barre d’outils ou un adware.  Le fond du problème est que ces éditeurs ont en général des politiques assez aggressives voir trompeuses afin d’installer le plus possibles ces programmes (et donc gagner plus d’argent), l’utilisateur se laissent berner et installent ces programmes sans trop savoir ce qu’il en retourne, soit ils gagnent des popups de publicité, soit ils gagnent un packs complet de logiciels (barre d’outils, comparateur d’achats) qui a terme concours à ralentir l’ordinateur.
Ces programmes potentiellement indésirables ne sont pas à sous-estimer – Microsoft, via son rapport SIR, positionnant la France, fin 2011, comme championne des PUPs/Adwares.

Les méthodes de propagation

La proposition est en général via des bannières de publicités ou depuis les liens sponsoriés sur les moteurs de recherche – ici des liens Eorezo/PCTuto et des liens inconnus :
This image has been resized. Click this bar to view the full image. The original image is sized 1028x774px.
ici le programme réclame un SMS pour pouvoir s’installer…
This image has been resized. Click this bar to view the full image. The original image is sized 1022x768px.
Ou des bannières de publicités qui sont par exemple la promotion de Babylon Toolbar :
This image has been resized. Click this bar to view the full image. The original image is sized 1030x764px.
Détection PUP/LPI : Potentially Unwanted Program et donc aussi Google Adsense :
This image has been resized. Click this bar to view the full image. The original image is sized 921x229px.
This image has been resized. Click this bar to view the full image. The original image is sized 1314x303px.
ou des sites de téléchargements qui reprennent des programmes (en général gratuits ou libres) et qui les repacks pour y ajouter ces programmes additionnels et toucher de l’argent.
Cas de winportal.fr :
This image has been resized. Click this bar to view the full image. The original image is sized 1024x771px.
Adwares et winportal.fr ou ci-dessous, le site koyotesoft.com qui installe les PUP Bandoo.
This image has been resized. Click this bar to view the full image. The original image is sized 964x555px.
koyotesoft.com et bandoo ou des tutoriels qui installe un adware proposé par 01net – 01net touche un pourcentage à chaque installation réussie, c’est le système des affiliations :
This image has been resized. Click this bar to view the full image. The original image is sized 1027x767px.
01net et PCTuto Toujours chez 01net – ce dernier refourgue une barre d’outils à l’installation de certains programmes – lire : http://www.malekal.com/2012/02/03/01net-bundle-bfm-tv-toolbar/
This image has been resized. Click this bar to view the full image. The original image is sized 1029x744px.
01net bundle BFM TV Toolbar Autre cas des Faux plugins VLC qui imitent les barres jaunes ActiveX ou barres jaunes installation de plugins pour Firefox :
This image has been resized. Click this bar to view the full image. The original image is sized 1025x769px.
Faux Codecs VLC Les arnaques par SMS sont aussi proposés en résultats de liens commerciaux sur les moteurs de recherche : Faux sites d’affiliations : arnaque SMS

This image has been resized. Click this bar to view the full image. The original image is sized 1030x669px.
Arnaques par SMS
En vidéo :

D’où l’importance des  sources de téléchargementsNE PAS TELECHARGER de programmes proposés en publicités ou liens sponsorisés sur les moteurs de recherche.
Faire attention aussi durant l’installation car les sites de téléchargement s’y mettent, lire : On te pourrit le net (et vos PC) – Acte 3 : le tour des sites de téléchargement
Sur les forums de désinfection, on retrouve souvent les mêmes programmes qui posent problème, à savoir :
Si les éditeurs d’antivirus estiment que des procédés discutables sont utilisés pour faire installer ces programmes, alors le programme sera classé en PUP : Potentially Unwanted Program.
Notez que ces programmes se désinstallent correctement pour la majorité d’entre eux. Pas besoin de passer 50 antispywares, une simple désinstallation suffit. Dans le cas des détections présentes, il faut les prendre plus à titre informatique que pour ayant but d’éradiquer le programme.
Selon l’éditeur d’antivirus, les détections PUP ne sont pas activées par défaut ou lors de détection via un scanne, les éléments PUP ne sont pas cochés, c’est à l’utilisateur de cocher s’il ne souhaite pas garder le programme ou s’il ne sait pas d’où le programme vient afin de le faire supprimer par l’antivirus.
Survol rapide des PUP/LPI pour Avast!, AVG, Malwarebyte Anti-Malware. et Antivir.

Avast!

Exemple avec les faux plugins VLC- où Avast! ne bronche pas.
This image has been resized. Click this bar to view the full image. The original image is sized 1028x768px.
Détection PUP et AvastActivons la détection des logiciels indésirables. Pour cela, ouvrez l’interface d’Avast! Déroulez le menu des Protections résidentes.
Allez dans Agent des Fichiers. Cliquez à droite sur Réglages Experts
This image has been resized. Click this bar to view the full image. The original image is sized 1027x772px.
Détection PUP et AvastA gauche, dans la liste des onglets, cliquez sur Sensibilité.
Activez l’option Rechercher les logiciels potentiellement indésraibles (LPIs). Répétez l’opération pour l’agent WEB. Notez que le réglages Sensibilité disponible par agent, l’est aussi sur le réglage des scans afin d’activer les détections des LPIs lors des scans à la demande.
This image has been resized. Click this bar to view the full image. The original image is sized 1024x767px.
Détection PUP et Avast Avast! détecte maintenant le faux plugin en Win32:Zango [PUP]
This image has been resized. Click this bar to view the full image. The original image is sized 1023x768px.
Détection PUP et Avast
This image has been resized. Click this bar to view the full image. The original image is sized 1030x767px.
Détection PUP et Avast

AVG

Pour activer les détections des programmes potentiellement dangereux. Cliquez sur le menu Outils et Options avancées.
Déroulez le menu Analyses et pour Analyse Complète et Analyse contextuelle.
Activer « Signaler les programmes potentiellement dangereux et les spywares » ainsi que « Signaler le jeu amélioré de programmes potentiellement dangereux »
This image has been resized. Click this bar to view the full image. The original image is sized 1033x768px.
Détection PUP et AVG Répétez l’opération pour la partie Bouclier résident.
This image has been resized. Click this bar to view the full image. The original image is sized 1027x770px.
Détection PUP et AVG AVG signale maintenant les programmes potentiellements dangereux.
This image has been resized. Click this bar to view the full image. The original image is sized 1026x773px.
Détection PUP et AVG De même lors des scans à la demande.
This image has been resized. Click this bar to view the full image. The original image is sized 1031x769px.
Détection PUP et AVG

 Malwarebyte Anti-Malware

Les détections des PUP/LPI sont activées par défaut, mais ces dernières ne sont pas cochées lors des détections. C’est à l’utilisateur de sujet si le programme est le bienvenue sur son ordinateur et de le supprimer en cas de doute.
Plus d’informations sur la configuration de Malwarebyte Anti-Malware : Tutoriel Malwarebyte Anti-Malware.
This image has been resized. Click this bar to view the full image. The original image is sized 1031x769px.
Détection PUP et Malwarebyte

Antivir

Cliquez en haut à droite sur Configuration, déroulez ensuite Général et catégories de menaces et cocher les catégories adéquates (Logiciels frauduleux).
Plus d’informations sur la configuration d’Antivir : Tutoriel Antivir.
This image has been resized. Click this bar to view the full image. The original image is sized 1033x770px.
Détection PUP et Antivir

WOT

WOT peux s’avérer être une extension assez utile pour identifier les sites de téléchargements trompeurs : http://www.malekal.com/2011/01/09/wot-web-of-trust/
Plus globalement, dans le cas de Firefox, se reporter à la page : Sécuriser le navigateur WEB Firefox

HOSTS Anti-PUPs/Adwares

HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

Conclusion

Les programmes potentiellement indésirables sont de plus en plus présents sur les forums de désinfection puisque que les éditeurs sont de plus en plus aggressifs afin d’installer un maximum de ces logiciels sur les PC et donc gagner un maximum d’argent.
Je vous conseille donc d’activer les détections PUP/LPI, surtout si vous êtes plusieurs utilisateurs sur le PC (surtout avec les ados), cela peux limiter la casse, néanmoins la meilleur protection reste la vigilance, n’installez pas les programmes proposés (surtout par des publicités), dans le cas d’un téléchargement, visez plutôt les sites connus (Clubic, Commentcamarche etc).
Évitezles barres d’outils qui ralentissent l’ordinateur (lire : Les toolbars c’est pas obligatoire!) – N’acceptez aucune installation d’aucune barre d’outils ou logiciels additionnels contenu dans celui que vous comptez installer.
Éventuellement faire un scan sur Pjjoint – ce dernier énumère ce genre de programmes que vous pouvez désinstaller manuellement : http://pjjoint.malekal.com/presentation.php
Pour mieux comprendre les détections des antivirus, vous pouvez aussi vous reporter à la page : Index des menaces et programmes malveillants/Malwares


REF.:

Index des menaces et programmes malveillants/Malwares

Index des menaces et programmes malveillants/Malwares

Messagede Malekal_morte » 31 Jan 2009 19:32
Voici une liste des différents catégories de malwares et détections des menaces des antivirus.
Le but de cette page étant de vous aider à mieux comprendre les types de menaces qui existent et de mieux comprendre à quoi vous avez à faire lors d'une éventuelle détection par votre antivirus.

En espérant que cette page vous aidera à y voir plus clair lors d'une détection éventuelle par votre antivirus ou lors de l'utilisation de VirusTotal

Catégorie de menaces

Adware : Logiciel publicitaire qui ouvre des popups de publicités. Des adwares peuvent être installés par des programmes dits gratuits pour rémunérer les auteurs.
voir Prévention : Logiciels et sources de téléchargements

Backdoor : Malware permettant le contrôle à distance d'un PC par un pirate. Un réseau de PC infectés est un botnet.
Il existe ensuite des sous familles Backdoor.SDBot / Backdoor.IRC
Se reporter à PC Zombi

Stealer : : Trojan de catégorie Stealer qui comme son nom l'indique a pour but de dérober des informations.
Les trojans peuvent être décliner en Trojan-PWS dans le cas où le but est simplement de voler des mots de passe.
Les moyens pour se faire peuvent être divers (sniffer le réseau ou capacité de keylogger ou injecter des pages dans le cas de sites de banques [le nom peut-être alors être Trojan-Banker], etc).
Les plus répandus sont Zbot/Zeus, Qakbot/QuakBot, SpyEye – Trojan.Pincav et plus ancien Goldun/Haxdor etc.

Trojan : Malware conçu pour effectuer divers tâches à l'insu de l'utilisateur. Cela peut aller d'installer d'autres malwares, à désactiver certains logiciels de protections (antivirus, pare-feu etc), envoyer des mails de SPAM ou bien d'autres fonctionnalités.

Keylogger : Malware enregistrant les frappes claviers afin de dérober des mots de passe ou autres informations suceptibles d'être reccueillies par un pirate pour les revendre (adresse email, CB etc), obtenir un accès sur un serveur etc.

Spyware : Malware conçu pour dérober/collecter des informations/données. Un spyware peut avoir des fonctionnalités de keylogger.

Ransomware : Malware qui a pour but d'empécher l'accès aux documents à l'utilisateur du PC (en général en encryptant les documents), une somme est en suite demander à l'utilisateur pour lui donner à nouveau accès à ses documents.

RiskTool/HackTool : Outils qui peuvent être utilisés par des pirates pour infecter ou accéder à l'ordinateur.
Le "peuvent" est important, un RistkTool en français outils à risque n'est pas forcément néfaste tout dépend de l'utilisation que l'on en fait.
Par exemple un RiskTool peut être un programme qui permet de redémarrer l'ordinateur ou arreter un processus tiers. Un pirate peut utiliser ce programme pour arreter le processus d'un antivirus mais le programme peut aussi être utilisé pour arreter un processus néfaste dans le cas d'un fix.
Lors d'une détection d'un RiskTool, c'est à l'utilisateur d'évaluer si ce dernier est néfaste ou pas.

PUP (Potentially Unwanted Programs) / LPI (Logiciels Potentiellement Indésirables) :
Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installé par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barre d’outils qui sont bundles avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voir pour certains ouvrir des popups de publicités pour rémunérer l’éditeur.
Plus d'informations : http://www.malekal.com/2011/07/27/detec ... d-program/

Détections par type / nom générique

Ces détections désignes des types de Trojans.
Certaines peuvent donner des indications quant au but du malware (spammer, voler des données etc) mais ce n'est pas nécessairement le cas.

La détection peut-être de type générique, on trouve alors souvent la notation .gen ou generic dans la détection ou une signature.
Certains antivirus utilisent des . pour séparer les informations dans les détections, d'autres des /

Les différentes détections ajoutées sont mentionnés par une suite de lettre ou des chiffres.
Par exemple chez Kaspersky, c'est une suite de lettre à la fin Trojan-Downloader.Win32.Agent.bfyq, le prochain Trojan-Downloader.Win32.Agent ajouté sera donc .bfyr etc.
Dr.Web lui utilise des chiffres BackDoor.IRC.Sdbot.4591
Avira utilise aussi des suites de lettres mais par exemple dans le cas de SDBot, ce dernier utilise la taille de fichiers : DR/Sdbot.97792

Certains malwares peuvent entre englobés dans divers types différents.
Par exemple, un malware peut se propager par MSN (IM-Worm) mais aussi par disques amovibles (Worm.Autorun), dans le cas d'un scan VirusTotal, on peux donc obtenir sur les antivirus des noms/types différents.

Backdoor : : Désigne des malwares donnant la possibilité de contrôle à distance aux pirates transformant donc le PC en question en PC Zombi. Le malware peut être un simple processus ou un rootkit.
De même, la manière de prise de contrôle peut être différente. Par exemple, sur une Backdoor.IRC, la prise de contrôle se fait à partir d'un réseau IRC alors que d'autres contrôles peuvent se faire par HTTP etc.

Exploit.HTML - Bloodhound.Exploit.196 (Symantec) : Exploit en HTML, la pluspart du temps se trouve dans le cache internet. Sert donc de tremplin pour infecter un PC en exploitant une faille sur le système ou un logiciel tiers.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés

Exploit.PDF / Exploit.Win32.Pdf.G / EXP/PDF / Mal/PDFEx-X (Sophos) : Exploit sous la forme d'un PDF exploit une vulnérabilité sur editeur PDF (souvent celui d'Adobe Reader car le plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
L'exploit peut être sous la forme d'un JS contenu dans le stream du PDF, dans ce cas l'exploit peut prendre le nom : Exploit.Win32.Pdfjsc.G / Exploit.PDF-JS.Gen

Exploit.SWF : Exploit sous la forme d'un SWF (Flash) exploitant une vulnérabilité sur un player Flash (souvent celui d'Adobe car le plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.

HTML.IFrame / Trojan.IFrame.HTML / HTML/Infected.WebPage.Gen : IFrame ou Javascript infection contenu sur une page WEB (HTML) infectieuse.
L'iframe peut rediriger vers un exploit (donc Exploit.HTML) pour infecter l'ordinateur.
Elle peut etre de la forme Trojan-Clicker.HTML bouclant sur des publicités/ouvrant de multiples popups de pubs, etc.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés

IM-Worm.xxx Vers se propage par messagerie instannée.

Rootkit.Agent : Désigne un rootkit au sens large du terme. Notation chez Dr.Web : Trojan.NtRootKit.xxx

SpamTool.Win32.xxxx / Trojan.Spambot / Email-Worm.Win32.xxx (Kaspersky) : Trojan qui a pour but d'envoyer des mails de SPAM. Exemple : Win32/SpamTool.Agent.NAJ SpamTool.Win32.Agent.n

Sdbot / Rbot / Spybot : : Désigne un type de malware se propageant via des failles systèmes à distance RPC etc. (comme le faisait Blaster dans le temps).
Un Sdbot / Rbot / Spybot peut aussi être une Backdoor.IRC puisque ce dernier peut se connecter à un réseau IRC afin que le PC puisse être contrôlé par le pirate.

Trojan.Agent : Désigne un trojan au sens large du terme. Le trojan peut avoir divers buts. Exemple : TR/Agent.NWI.1 (Antivir),

Trojan.BHO : Trojan installé en BHO sur le système.

Trojan.BOT : Trojan qui permet de prendre le contrôle du PC en le faisant joindre un botnet. Le PC est alors transformé en PC en PC Zombi.
Exemple :
Il existe divers types comme SDBot/RBot, SpamBot, IRCBot etc.
ou familles : Backdoor.Win32.VanBot.cg

Trojan-Clicker : Trojan qui surfe à l'insu de l'utilisateur. Ce dernier peut faire des requetes sur des moteurs de recherches pour augmenter le ranking de certains sites.
Surfer sur des sites pour augmenter les hits, revenus pubs etc.

Trojan.Delf : Désigne un trojan en Delphi.

Trojan.Dropper : Trojan droppant un malware sur le système. Exemple : Win32/TrojanDropper.Delf.NFK - Trojan Dropper écrit en Delphi.
Si le dropper installe une famille de malware spécifique, le nom de la famille peut apparaître. Exemple : Trojan-Dropper.Win32.BeJoin.c

Trojan.Downloader : Trojan qui télécharge d'autres malwares. Le Trojan.Downloader peut être décliné avec divers autres infos comme par exemple Trojan.Downloader.Small (Trojan Downloader de petite taille), Trojan-Downloader.JS : Trojan Downloader en JavaScript.

FraudTool.Win32.RogueSecurity / Win32/RogueSecurity!generic / Trojan.FakeAV / Mal/FakeAV-AD /Trojan:Win32
/Winwebsec :

diverses détections pour les Rogues/Scarewares - ex security-tool-t21189.html#p174197

Note dans le cas de Trojan:Win32/Winwebsec (Microsoft) cela peut désigner une sous famille de rogue. Winwebsec étant à la base le rogue Winweb Security qui a été décliné en plein d'autres familles, voir : est-que-les-rogues-scareware-t589.html#p127033
Ces familles étant mis en avant par des infections spécifiques et très présentes.

Enfin Trojan-Downloader.Win32.FraudLoad - Désigne un Trojan qui télécharge un rogue - ex : advanced-virus-remover-t19613.html


Trojan.Inject : Malware capable d'injecter des données dans des processus en mémoire. Par exemple, cela peut être utilisé pour manipuler svchost.exe afin de télécharger des codes malveillants.

Trojan.OnlineGames ou W32/OnlineGames ou Trojan.PSWLineage ou Trojan-GameThief : Désigne une catégorie de trojans qui ont pour but de voler les informations de connexions de jeu en ligne. Le but étant de revendre les objets etc pour faire de l'argent.

Trojan.Win32.Obfuscated.gl

Trojan.Patched / Trojan.Win32.Patched : Fichiers systèmes Windows légitimes patchés par une infection. Les fichiers peuvent être winlogon.exe, svchost.exe ou des drivers ndis.sys etc.

Trojan.Proxy : Trojan permet l'utilisation du PC infecté comme proxy. Le pirate peut se connecter ou effectuer divers actions (scans etc) en utilisant le PC infecté pour se cacher.

Trojan.PWS / Trojan.PSW : Désigne un trojan qui a pour but de voler des informations/données, PWS voulant dire password (mot de passe). Le nom derrière peut être suivant d'une informations supplémentaire par exemple Trojan-PSW:W32/OnlineGames vole les informations des comptes de jeu en ligne, Trojan.PWS.Banker est axé sur les informations de comptes de banque. Le nom derrière peut désigner une famille de malware

Trojan.Ransom : Trojan Ransom est un type de trojan qui encrype les fichiers documents et demande une "rançon" à l'utilisateur afin que ce dernier puisse à nouveau accéder à ses documents.

Trojan.Small : Désigne un trojan de petite taille de fichiers.

Trojan.Tiny : Désigne un trojan de petite taille de fichiers.

Trojan.VB : Désigne un trojan écrit en Visual Basic. Exemple : Trojan.Win32.VB.xxx / W32/VB.BFB

Trojan.Winlock : Malware qui bloque le chargement de Windows et l'utilisation du PC.
Une rançon est demandée soit par envoie, soit par SMS afin de débloquer Windows.
C'est donc une version "spéciale" d'un Trojan.Ransomware.
Exemple :
sms-ransomware-trojan-winlock-t21772.html
http://www.malekal.com/2011/04/27/ranso ... x00874324/
flash-player-exe-ransomware-t26652.html
http-mms2u-info-exe-php-6067178d6665bcfe-t26727.html#p216584

Dernièrement des versions "Fake.Police" ont vu le jour, le message d'alerte est soit disant envoyer par la Police.
Différentes versions existent selon le pays.
Se reporter à la page : http://www.malekal.com/2011/11/30/troja ... us-police/


Worms.Autorun : Désigne un ver ayant la possibilité de se propager par disques amovibles (création de fichiers autorun.inf).

Quelques détections heuristiques/génériques selon les antivirus.
Ces détections permettent de détecter un code malveillant mais ne donne aucune indication quant aux types de menaces auquels on a affaire. Il se peut aussi que la menace n'en soit pas une!
Mal/Heuri-xxx (Sophos)
Heuristic.Malware (Prevx)
HEUR/Malware (Antivir)
Win32:Trojan-gen. {Other} (Avast!)
VIPRE.Suspicious (Sunbelt)
Malware Generic ou Suspicious file (Panda)
Generic.Malware.SYBddld!.xxxxxxx (BitDefender)
New Malware.xxx (McAfee)
Heuristic. (Kaspersky)

Quelques détections de packers :
TR/Crypt.XPACK.Gen - PCK/FSG - TR/Crypt.Morphine.Gen (Antivir)
Trojan.Win32.Pakes.xxxx (F-Secure / Kaspersky)
VirTool:Win32/Obfuscator.x (Microsoft)
Packed.Win32.CryptExe (F-Secure / Kaspersky)
Cryp_Morphine (Trend-Micro)
Trojan.Packed.xxx (Dr-Web)

Famille de malwares

Quelques familles de malware... ce sont les plus courantes.

Adware:Win32/AdRotator - Adware/TrafficSol - Spyware.Adssit.A : Adware ouvrant des popups de publicités.
Ce dernier était très courant via des download sur P2P et notamment Limwire (une formidable poubelle à virus) : voir Ads served by Dcads (Adware Fotomoto).
Cet adware peut aussi être installé par des infections tiers afin de gagner des $ sur les popups de publicités, c'était notamment le cas passé un moment de certains variantes de faux codecs : voir Renos/Zlob : "you have a security problem" : codec.xxx.exe

Backdoor.Win32.Goolbot - Bot permettant le contrôle de l'ordinateur - souvent présent sous le nom de fichier C:\WINDOWS\system32\msxslt3.exe - voir : restorer64-exe-backdoor-win32-harebot-t21539.html#p177654

Qakbot/QuakBot : Famille de type Stealer, vole des données (mot de passe, adresse email etc).

Backdoor.Win32.HareBot : Bot permettant le contrôle de l'ordinateur et télécharge d'autres malwares - ouvent présent sous le nom de fichier C:\WINDOWS\system32\restorer64_a.exe è voir : restorer64-exe-backdoor-win32-harebot-t21539.html#p177654

Backdoor/Win32.Cycbot : Malware ajoutant un proxy qui permet d'effectuer des redirections Google et de voler des informations transistant par le WEB (mot de passe, cookie de session etc).
Voir : http://www.malekal.com/2010/11/15/svcho ... gomeo-etc/

Navipromo / Magic.Control : Adware installé via des programmes gratuits, ce dernier est très implanté en France.
Les programmes installant cet adware sont proposés via bannières publicitaires, vous trouverez la liste des programmes et plus d'informations sur cette infection sur la page : Supprimer Navipromo / Magic.Control

Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft) / Trojan.Botnetlog.x (Dr.Web) / Backdoor.Win32.Zdoogu (Kaspersky) : créé le fichier C:\Windows\System32\digeste.dll.
Voir la page : digeste.dll : Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft) / Trojan.Botnetlog.x (Dr.Web) Malware

Trojan.Carberp : : Famille de Stealer comme Spyeye ou Zbot/Zeus.
=> http://www.malekal.com/2011/06/26/troja ... t-rootkit/

Trojan.DNSChanger : Trojan.DNSChanger est un malware modifiant les adresses DNS afin d'effectuer des redirections lors des recherches Google.
La variante se propageant par disques amovibles est détecté en Win32:Fabot par Avast!

Pandex / CutWail / Trojan.Kobcka (BitDefender) /
Backdoor.Win32.HareBot :
Rootkit Cutwail destiné à spammer. Voir la page Trojan.Cutwail/Trojan.Srizbi

Trojan-Downloader.Win32.Karagany : Trojan qui se fait passer pour Adobe Reader.
Plus d'infos : http://www.malekal.com/2010/12/11/suppr ... -karagany/

Trojan.Slenfbot : Slenfbot est une famille de Backdoor IRC qui se propage par MSN et disques amovibles.

SpyEye – Trojan.Pincav : stealer, vole de données (mot de passe, adresse email etc).

Le malware intègre divers mécanismes de protections pour empécher sa détection/désinfection.
Il empèche entre autre les antivirus et empêche leurs mises à jour en bloquant les adresses via le fichier HOSTS de Windows
Voir : Protections Malwares : rendre la désinfection plus difficile.

Voir : slenfbot-t16743.html


TrojanSpy:Win32/Ambler / Trojan-Spy.Win32.Banker : Trojan destiné à voler les informations de connexion aux comptes de banque en ligne.
La majorité des variantes viennent du Brésil.

Trojan.Banload : Trojan installant un Trojan.Banker

Trojan.Goldun/Haxdoor : Malware souvent sous la forme d'un rootkit accompagné d'une DLL ayant des fonctionnalités de keylogger qui a pour but de voler des données (mot de passe, accès banque etc).
Voir Backdoor/Rootkit Haxdoor / Goldun

Win32/Tedroo / Win32:Walivun : %windir%\services.exe / Email-Worm.Win32.Joleee.xx (Kaspersky) : Trojan envoyant des mails de SPAM (spambot), ce dernier créé un fichier %windir%\services.exe
Il se propage bcp via des exploits sur site WEB :
viewtopic.php?f=62&t=18339
viewtopic.php?f=62&t=17844&p=142258&hilit=Tedroo#p142258
viewtopic.php?f=62&t=17773&p=141659&hilit=Tedroo#p141659
viewtopic.php?f=62&t=17538&p=139427&hilit=Tedroo#p139427
viewtopic.php?f=62&t=15039&p=116561&hilit=Tedroo#p116561

Email-Worm.Win32.Iksmas : se copie en C:\WINDOWS\Temp\_ex-08.exe
Voir :
security-tool-t21189.html#p177955
security-tool-t21189.html#p179938

Email-Worm.Win32.Gibon : se copie en
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
peux deux fichiers exécutables dont le nom peut changer, ex : wininet.exe/winint.exe
Voir : trojan-win32-scar-email-worm-win32-gibon-msxslt3-exe-t21726.html

Trojan.Sasfis / Trojan:Win32/Oficla.A / Backdoor.Bredavi :
voir la page suivante : trojan-sasfis-trojan-win32-oficla-trojan-win32-oficla-t19649.html

Trojan.Tdss / Trojan.Alueron : Désigne un trojan qui a des fonctionnalités de rootkit très sophistiqués :
trojan-alureon-trojan-tdss-t21456.html
rootkit-tdss-tmp-tmp-atapi-sys-patch-t22604.html

Trojan:Win32/Opachki : Malware qui se charge via des DLL et qui provoque des redirections lors des recherches Google
Voir la fiche Trojan:Win32/Opachki

Trojan.Win32.Rabbit aka Dropper.Cutwail : Drop le malware CutWail
Mi-2009 Kaspersky a ajouté une détection sur le packer de ce malware répondant au nom de Packed.Win32.Katusha.b

Ajoute la clef Run :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* {User Name} = "%User Profile%\{User Name}.exe /i"

Si votre nom d'utilisateur est Malekal_morte, le fichier portera alors le nom Malekal_morte.

Une vidéo démontrative est visualisable avec le processus Malekal_morte et CutWail en action sur ce lien : les-pc-zombis-botnet-t1020.html#p153175

Trojan.Win32.Buzus / Worm.Win32.Rimecud : Ce sont les vers qui se propagent par MSN ou disques amovibles.
Se reporter à la page MSN du forum : virus-msn.html

Trojan.Vundo / Virtumonde : Adware ouvrant des popups de publicités et pouvant effectuer des redirections lors des recherches Google.
Voir la page Trojan.vundo

Trojan.Tofsee : Trojan.Tofsee est un malware conçu pour spammer. Ce dernier créé des fichiers avec des lettres aléatoires, très souvent dans la clef du registre ajoutée pour démarrer le processus, on retrouve à la fin du fichier un paramètre \s \u

Trojan.ZBot / Zeus / Trojan-Banker.Win32.Bancos : Trojan qui a pour but de voler des données/informations personnelles (numéro de tel, CB, mot de passe, etc).
Se reporter à la page Supprimer Trojan.Zbot

Win32:Daonol / Gumblar : Infection provoquant des redirections lors des recherches Google.
Se charge à partir de la clef aux de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
avec des fichiers de type sysaudio.sys, wdmaud.sys
Se reporter au sujet : Trojan.Daonol et redirections Google

Trojan-Downloader.Win32.CodecPack.dg / TR/Dldr.CodecPa.CU / TrojanDownloader:Win32/Renos : Trojan téléchargent de faux codec faisant la promotion de rogues.

Trojan.Downloader.Swizzor : Adware affichant des popups de pubs, connus aussi sous nom Lop.com

Trojan.Downloader.WMA.Wimad : Malware sous forme de fichiers multimédia, ce dernier est en général destiné à ouvrir des popups ou faire télécharge des ffaux codec.
Voir par exemple le sujet Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec

Trojan.Win32.Scar : Trojan Downloader qui se copie en C:\WINDOWS\system32\msxslt3.exe, voir : trojan-win32-scar-email-worm-win32-gibon-msxslt3-exe-t21726.html

Win32/Taterf : Vers se propageant par disques amovibles.
Ce dernier a pour but de voler les informations de connexions au jeu en ligne (dont World Of Warcraft), il peut donc avoir des noms génériques tels que :
Win32/PSW.OnLineGames.xxxx
TrojanGameThief.Magania.aukf
Worm.AutoRun.xxx
.

Voir :

TrojanTofsee : autres familles de SpamBot - voir : trojan-tofsee-spambot-t23007.html

Trojan.Furi / Trojan:Win32/Bohmin : Trojan ouvrant des popups de publicité.
Peut-être installé via des bannières publicitaires infectieuses ou intallé par des infections tiers afin de gagner des $ sur les popups ouvertes.
Voir http://www.malekal.com/Trojan.Furi_Trojan_Bohmin.php

Win32/Hoax.Renos.NCN / TrojanDownloader:Win32/Renos / Fake Alert : Trojan affichant de fausses alertes de sécurité faisant la promotion de rogues.

Trojan-Downloader.Win32.Bagle.bx : Trojan se propagent par des cracks sur P2P (Emule en général).
Voir la page Bagle/Beagle/Trojan.Tooso.R

Sinowal : Sinowal est un type de malware connu pour voler les données relatives aux comptes bancaires.
Une des dernières variantes de cette famille est le Rootkit MBR

Rustock : Rootkit destiné à Spammer.
Voir la page : Rustock et Rustock sur le forum

Backdoor.Bifrose : famille de backdoor permetant le contrôle du PC infecté par un pirate. Le PC devient donc un PC Zombi.

Win32/Pushbot : famille de backdoor qui utilise les IM comme moyen de propagation (voir Virus MSN : explications, fonctionnement et parade), ces dernier sont souvent type Backdoor.IRC / SDbot ou Spybot.

Win32/Sality : est un virus au sens litterale du terme puisqu'il infecte les fichiers exécutables (.exe et .scr). Ce dernier peut agir en tant que keylogger.

Worm:AutoIt/Sohanad : ver se propagent par IM (voir Virus MSN : explications, fonctionnement et parade) et par disques amovibles.

Vous trouverez d'autres informations sur d'autres menaces sur la page du site : Guide de suppression des spywares/malwares.
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Pétition contre les Adwares cachés
Pjjoint : Evaluer ses rapports HijackThis, OTL et ZPHDiag
Soutenez malekal.com en effectuant un don!
Projet-Antimalwares : Lutter contre les infections
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
 
 

lundi 26 mars 2012

NFC: Le paiement par mobile est-il sécuritaire?

Technologie NFC - Le paiement par mobile est-il sécuritaire?
 
© Shutterstock

Considéré sous l'angle pratique, le fait de pouvoir regrouper différentes cartes servant à effectuer des paiements sur une seule puce dans un téléphone est intéressant. Mais que se passe-t-il en cas de vol du téléphone, et comment être sûr que nos données ne se feront pas voler à distance?

CONSULTEZ NOTRE DOSSIER:
Êtes-vous prêts pour les modes de paiement de demain?
L'élément de sécurité permettant de garantir la confidentialité des paiements repose sur le constat que la puce n'émet pas de signaux.
De plus, «les informations ne passent pas dans le réseau, mais dans la transaction avec la banque. Les seuls qui vont posséder des informations personnelles et qui sauront ce que vous achetez sont les commerçants», explique Bruno Crispin, chef partenariats et solution d'affaires évoluées chez Rogers.
D'autres failles peuvent exister, mais dans les services qui ne sont pas proposés par les banques. Par exemple, celles qui ont affecté Google Wallet, le service de paiement de Google. En cas de vol, on pouvait effectuer des achats en remettant le téléphone à zéro («reset»). Il a été également possible d'obtenir le code de confirmation sur un téléphone débridé.
En cas de vol?
Si celui qui se retrouve en possession de votre téléphone, à la suite d'une perte ou d'un vol, connait vos codes d'accès, il pourra effectuer des paiements avant que le téléphone ne soit bloqué.
Est-elle sûre?
Avant la NFC, les cartes bancaires ont été sécuritaires jusqu'à ce qu'elles puissent être clonées.
La sécurité est-elle optimisée avec la NFC? Les clients seront-ils remboursés en cas fraude? Un responsable de la sécurité d'une institution financière qui a voulu garder l'anonymat explique: «Si les banques lancent cette technologie, c'est que les risques ont été évalués en amont. Quand une carte bancaire est clonée, les banques remboursent, car elles restent gagnantes», à la condition que le montant des pertes demeure inférieur à celui des gains apportés par les cartes de crédit.
«Il vaut mieux rembourser le montant de la fraude au client et conserver un business rentable, plutôt que de ne rien lui garantir et faire couler ce mode de paiement. Il existe un risque de piratage, et c'est normal vu qu'aucune technologie n'est 100% sécuritaire. Nous avons mis tellement de protection qu'il est extrêmement difficile, voire impossible, en ce moment de pirater le moyen de paiement du client».
Et si le chiffrage de données, c'est à dire la protection cryptée qui empêche de lire les informations transmises lors d'une transaction, pouvait être décodé dans le futur par des ordinateurs plus puissants? «Si de tels ordinateurs apparaissent, nous envisagerons alors un cryptage en 4096 bits avec une clé (mot de passe) qui changerait chaque minute.»
«Ceci signifie que pour casser ce type de cryptage sophistiqué, il faudrait découvrir la suite exacte composée de 4096 chiffres - composés 0 et 1 -, ce qui est actuellement impossible. Même si c'est faisable un jour, un pirate qui réussi ne pourra toujours pas faire de transaction, puisque la clé de cryptage changera la minute suivante», poursuit le responsable de la sécurité d'une institution financière.
Nous avons aussi contacté un pirate appartenant à la catégorie des «white hat», dont l'objectif est de trouver des failles de sécurité dans le but de les corriger. Il a indiqué que «pirater la NFC pour accéder aux informations stockées sur la puce (carte SIM) sur laquelle la technologie est intégrée est faisable, mais ça exige un niveau de compétence extrêmement élevé. Or, le piratage ne se fait pas en attaquant la puce directement, mais plutôt en exploitant les failles du téléphone, ce qui exige de connaitre plusieurs informations comme le modèle précis du téléphone ciblé».
Quant à savoir si la NFC représente une menace pour les consommateurs, il rejoint les propos de notre expert en sécurité en précisant que «Monsieur tout le monde a peu de chance de se faire pirater son téléphone, car ça exige beaucoup trop de moyens. Par contre, ceux qui peuvent craindre le NFC sont les personnes importantes comme les politiques, les grands dirigeants d'entreprises, ou même des personnalités qui pourront être des cibles de choix».


REF.: