Blogue a T30du113 !

lundi 28 septembre 2015

Winsock : Reset du catalogue

Winsock est l'interface qui permet de gérer les envoies/réception de paquets.
Il y est possible de charger des DLL, si une DLL chargée dans la chaîne Winsock est supprimée, celle-ci est brisée et le réseau ne fonctionne plus.
Il faut alors faire un reset du catalogue, voici comment faire.

Manuellement

Windows Vista/Seven :
- Menu Démarrer => Tous les programmes et Accessoires.
- Sur L'invite de commandes, faire un clic droit et "exécuter en tant qu'administrateur
Windows 8.1 :
- Faites un clic droit sur le bouton "Démarrer" en bas à gauche puis cliquez sur invites de commandes (admin)
Une fois dans la fenêtre d'invite, saisissez la commande netsh winsock reset catalog
Cela doit vous dire que l'opération a réussi et vous devez redémarrer l'ordinateur

Redémarrez l'ordinateur

Avec des programmes

Des programmes permettent de corriger la couche Winsock.
Notamment :

Complete Internet Repair
Windows Repair (Repair Winsock & DNS)

Source.:

360 Total Security , un antivirus chinois

360 Total Security est un antivirus chinois qui intègre les définitions virales de BitDefender et Antivir.
Ce dernier offre aussi quelques fonctionnalités d'optimisation et de nettoyage.
360 Total Security existe en version gratuite et possède les modules :

Protection de fichiers et WEB
Protection contre certainement modification du registre Windows.
Sandbox pour exécuter un fichier dans un environnement hors systèmes et déceler des infections.
Nettoyage de fichiers temporaires et traces dans les navigateurs WEB
Un module qui vérifie la configuration Wifi (si sécurisé ou non).
Une partie optimisation, désactiver des tâches planifiées ou programmes au démarrage, mesurer le temps de démarrage Windows.

360 Total Security est disponible dans divers langue mais pas encore en langue française.

Le site Officiel : http://www.360totalsecurity.com/en/feat ... essential/

L'installation :

La protection avec des modules de protection WebCam et infections USB.

Toutes les options ne sont pas activées par défaut, dans mon cas,
les détections Antivir et BitDefender ne le sont pas.
Le scan à l'ouverture de fichiers.
La protection Webcam et Keylogger.

Au démarrage, 360 Total Security effectue un checkup de l'ordinateur, ici sur une VM infectée avec des adwares, 6 éléments sont détectés :

La partie antivirus de 360 Total Security - l'icône BitDefender et le parapluie Antivir indique si ces derniers sont bien actifs.

Vérifiez donc bien que ces deux icônes soient bien actives.

Les 6 détections :

En analyse complète, on passe à 26 éléments malicieux :

Le log du scan :

360 Total Security Scan Log

Scan Time:2015-09-26 12:09:01
Time Taken:00:06:05
Object(s) Scanned:56527
Threat(s) Found:25
Threat(s) Resolved:25

Scan Settings
----------------------
Compressed Files Scan:No
Scan Engine:Avira and Bitdefender engines are disabled

Scan Scope
----------------------
Full Scan

Scan Result
======================
High-risk Items
----------------------
C:\Program Files\Fast-Search\ACDLL.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Program Files\Fast-Search\lengine.exe HEUR/QVM10.1.Malware.Gen Resolved
C:\Program Files\Fast-Search\acengine.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Google\Chrome\User Data\Default\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi\1.26.99_0\extensionData\plugins\356.js Win32/Virus.WebToolbar.700 Resolved
C:\Users\Marjorie\AppData\Local\Cinema_Plus3.1V28.09-BrowserExtensionUninstall\35dd5712-396b-4bc3-9c87-d587907131ec-3.exe HEUR/QVM10.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Cinema_Plus3.1V28.09-BrowserExtensionUninstall\75761a69-ea42-4d7f-b575-17f8fbc4e740.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Cinema_Plus3.1V28.09-BrowserExtensionUninstall\utils.exe HEUR/QVM20.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Cinema_Plus3.1V28.09-BrowserExtensionUninstall\UninstallBrw.exe HEUR/QVM10.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Cinema_Plus3.1V28.09-BrowserExtensionUninstall\Uninstall.exe HEUR/QVM10.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D5JQLK1F\installer[1].exe HEUR/QVM10.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Temp\cofedbarar.exe HEUR/QVM07.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Temp\scp42939\tmp\mal\conveyancing formless tangy.exe HEUR/QVM20.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Roaming\Mozilla\Firefox\Profiles\hidw8yil.default\extensions\AVJYFVOD75109374@HCDE39471360.com\extensionData\plugins\356.js Win32/Virus.WebToolbar.700 Resolved
C:\Users\Marjorie\AppData\Local\Temp\is-D1DPD.tmp\gcpum.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Users\Marjorie\Desktop\mal\bc.exe Trojan.Generic Resolved
C:\Users\Marjorie\Desktop\mal\bla.exe HEUR/QVM10.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Temp\is-D1DPD.tmp\Hajfo.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Temp\is-QFAVD.tmp\Hajfo.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Temp\is-QFAVD.tmp\gcpum.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Temp\is-QFAVD.tmp\InoDll.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Users\Marjorie\AppData\Local\Temp\is-D1DPD.tmp\InoDll.dll HEUR/QVM30.1.Malware.Gen Resolved
C:\Users\Marjorie\Desktop\mal\amt_omniboxes.exe HEUR/QVM10.1.Malware.Gen Resolved
C:\Users\Marjorie\Desktop\mal\setup.exe HEUR/QVM20.1.Malware.Gen Resolved
C:\Users\Marjorie\Desktop\mal\setup_mbot_fr.exe HEUR/QVM06.1.Malware.Gen Resolved
C:\Users\Marjorie\Desktop\mal\setupfa_4435.exe HEUR/QVM42.1.Malware.Gen Resolved

Les outils :

360 Total Security permet de protéger contre les modifications de page de démarrage :

La partie SpeedUp pour optimiser le démarrage de Windows.
Ce dernier permet de maitriser les programmes au démarrage mais aussi désactiver les tâches planifiées.

Ci-dessous, une entrée malicieuse non détecté par l'antivirus. Dommage.

360 Total Security mesure le temps de démarrage de Windows et vous indique si celui-ci est correct.
Les temps de démarrage sont enregistrés, accessibles depuis un graphique.

Enfin la partie CleanUP qui permet de supprimer les traces et fichiers temporaires.

360 Total Security possède aussi un module Patch Up pour gérer les mises à jour Windows et permettre leur installation/désinstallation.

Côté détections,

Un trojan détecté par 360 Total Security :

Une modification sensible du registre Windows détecté par l'antivirus :

Une injection de processus détecté, ici l'adware CinemaPlus qui tente d'injecter Google Chrome.

Ici plutôt bizarre la détection a lieu après l'ouverture du programme malicieux.

Autre fonctionnalité sympa, 360 Total Security est incapable de détecter les problèmes catalogue Winsock et propose de réparer si la connexion internet ne fonctionne pas.
Notamment ici dans le cas de l'adware abengine.

L'antivirus semble avoir un impact assez bas sur le système pour les ralentissements et possède des fonctionnalités sympa.
La protection WEB semble aussi assez inexistant, je n'ai pas été capable d'avoir des détections dessus.

Source.:

jeudi 24 septembre 2015

Plus d’une centaine d’applications infectées sur l’AppStore

Oui,tout ça pour que les hackers nous donne des apps gratuites prête a cracker,ou simplement avoir accès a vos compte iTunes,comme a chaque année ;-)

Apple nettoie tant bien que mal son Apple Store depuis qu’il a découvert qu’un Malware s’était glissé dans certaines applications, le fameux XcodeGhost. Apple a créé une liste avec les 25 applications les plus populaires qui sont infectées.
Mieux vaut prévenir que guérir, comme dirait l’adage, car une fois l’application lancée, s’en est fini. Le malware s’est déjà répandu à vitesse grand V dans votre iPhone ou iPad. Apple a donc établi une liste d’une vingtaine d’applications très populaires concernées par ce problème (à partir de l’App Store chinois). On note la présence de WeChat, Angry Bird 2 et de Heroes of Order & Chaos.

-WeChat
-DiDi Taxi
-58 Classified – Job, Used Cars, Rent
-Gaode Map – Driving and Public Transportation
-Railroad 12306
-Flush
-China Unicom Customer Service (Official Version)*
-CarrotFantasy 2: Daily Battle*
-Miraculous Warmth
-Call Me MT 2 – Multi-server version
-Angry Bird 2 – Yifeng Li’s Favorite*
-Baidu Music – A Music Player that has Downloads, Ringtones, Music Videos, Radio, and Karaoke
-DuoDuo Ringtone
-NetEase Music – An Essential for Radio and Song Download
-Foreign Harbor – The Hottest Platform for Oversea Shopping*
-Battle of Freedom (The MOBA mobile game)
-One Piece – Embark (Officially Authorized)*
-Let’s Cook – Receipes [sic]
-Heroes of Order & Chaos – Multiplayer Online Game*
-Dark Dawn – Under the Icing City (the first mobile game sponsored by Fan BingBing)*
-I Like Being With You*
-Himalaya FM (Audio Book Community)
-CarrotFantasy*
-Flush HD
-Encounter – Local Chatting Tool

Cependant, il y a bien plus d’applications affectés que cela. BGR en a recensé 85 :

-air2
-AmHexinForPad
-Angry Birds 2
-baba
-BiaoQingBao
-CamCard
-CamScanner
-CamScanner Lite
-CamScanner Pro
-Card Safe
-China Unicom Mobile Office
-ChinaUnicom3.x
-CITIC Bank move card space
-CSMBP-AppStore
-CuteCUT
-DataMonitor
-Didi Chuxing
-Eyes Wide
-FlappyCircle
-Flush
-Freedom Battle
-golfsense
-golfsensehd
-guaji_gangtai en
-Guitar Master
-High German map
-Himalayan
-Hot stock market
-Icalled MT
-I called MT 2
-IFlyTek input
-IHexin
-immtdchs
-InstaFollower
-installer
-iOBD2
-iVMS-4500
-Jane book
-jin
-Lazy weekend
-Lifesmart
-Mara Mara
-Marital bed
-Medicine to force
-Mercury
-Micro Channel
-Microblogging camera
-MobileTicket
-MoreLikers2
-MSL070
-MSL108
-Musical.ly
-NetEase
-nice dev
-OPlayer
-OPlayer Lite
-PDFReader
-PDFReader Free
-Perfect365
-Pocket billing
-PocketScanner
-Poor tour
-Quick asked the doctor
-Quick Save
-QYER
-Railway 12306
-SaveSnap
-SegmentFault
-snapgrab copy
-Stocks open class
-SuperJewelsQuest2
-Telephone attribution assistant
-The driver drops
-The Kitchen
-Three new board
-ting
-TinyDeal.com
-Wallpapers10000
-Watercress reading
-WeChat
-WeLoop
-WhiteTile
-WinZip
-WinZip Sector
-WinZip Standard

Source

Virus: Des images contenant du javascript (vulnérabilité XSS)

Le site Imgur.com a été utilisé afin d'effectuer une attaque, les motivations n'ont pas encore été établies avec certitudes.
Une vulnérabilité a été utilisée permettant d'envoyer des images contenant du javascript (vulnérabilité XSS) sur le site imgur.com
L'attaquant a utilisé cette vulnérabilité pour charger une applet Flash (swf) hébergé sur 8chan, cette applet placée est placé favoris pour les domaines 8chan et devient persistante sur le navigateur WEB. Cette applet s'active à chaque visite d'une page du site 8chan.

L'applet SWF contient un Javascript qui va pinguer un domaine créé par l'attaquant 8chan.pw, ce domaine contient une page contenant à son tour un JavaScript afin d'exécuter le code souhaité par l'attaquant.
Le site 8chan.pw sert donc en quelque sort de Command&Control, un peu comme dans le cas d'une machine infectée.
On peut parler ici en quelque sorte de XSS worm.

Concrètement donc, si un visiteur charge une image imgur contenant le Javascript puis le site 8chan, l'applet se charge et se connecte au site de l'attaquant 8chan.pw.

Imgur dit avoir corrigé la vulnérabilité :

: Imgur.com et XSS Worm

Malwarebytes a bloqué le site imgur.

Certains sites de news et Malwarebytes parlent donc d'attaques DoS contre 8chan (les navigateurs WEB faisant des requêtes sur le site 8chan), mais il semblerait plutôt que le site ait été utilisé simplement comme support afin d'exécuter l'applet SWF.

imgur a corrigé la vulnérabilité permettant d'exécuté le JavaScript.
8chan a aussi bloqué l'exécution d'applet SWF.

Néanmoins, l'applet SWF étant persistante car contenu dans le cache de votre navigateur WEB (LocalStorage)
Il faut vider le cache de votre navigateur WEB afin de supprimer l'applet Flash.

Quelques discussions sur l'attaques :
https://www.reddit.com/r/KotakuInAction ... rity_hole/
https://www.reddit.com/r/technology/com ... os/cv9tzzm
https://puu.sh/kjvLI/f57b37ccc0.png

Source.:

mardi 22 septembre 2015

Comment supprimer EpicScale ? (le malware présent dans uTorrent)

Après une mise à jour du client uTorrent, des utilisateurs se sont rendu compte que celui-ci avait installé sur leur machine Windows et à leur insu, un malware. Ce malware baptisé EpicScale tourne en tâche de fond sur l'ordinateur pour miner des cryptomonnaies (Bitcoin, LiteCoin, DogeCoin...etc). Et vous vous en doutez, ça fait ramer l'ordi !!
Cette installation forcée n'a pas eu lieu sur l'intégralité des 150 millions de clients uTorrent présents dans le monde mais ça vaut quand même le coup de vérifier, surtout que pour pas mal d'antivirus, cet outil est légitime (et donc non détecté).
Malheureusement, en plus de l'installation en mode fourbe, la désinstallation de cette merde n'est pas propre. Alors si vous êtes vous aussi infecté, voici comment faire.
Rendez-vous tout d'abord dans les paramètres, Ajout/Suppression de programme et désinstallez le machin baptisé "EpicScale Application"
Ensuite, ouvrez un explorateur de fichier en ayant pris soin d'activer l'affichage des fichiers cachés, et rendez-vous dans le répertoire C:\ProgramData\. Supprimez le sous-dossier EpicScale.
Faites une vérif aussi dans les dossiers C:\Program Files et C:\Program Files (x86) et supprimez les répertoires EpicScale si vous en trouvez.
Lancez ensuite l'éditeur de base de Registre (Exécuter -> Regedit). Rendez-vous ensuite dans la clé de registre "HKEY_CURRENT_USER\Software" et supprimez "EpicScale".

Même chose ici : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (et supprimez la clé EpicScale si elle s'y trouve).
Voilà, en toute logique, vous devriez êtes débarrassé de ce truc.
Source

Rechercher sur ce blogue