Tutoriel Farbar Recovery Scan Tool (FRST) : Analyse et désinfection de virus

Fabar Recovery Scan Tool (FRST) n’est pas un antivirus mais un outil de diagnostique comme OTL.
Le programme analyse  le système et génère un ou plusieurs rapports qui peuvent être analysés par exemple avec le service pjjoint afin de déceler des menaces informatiques (Trojan, Adwares etc).
Le tutoriel vous explique comment générer les rapports et les envoyer à http://pjjoint.malekal.com qui va vous retourner un lien à donner à l’interlocuteur qui vous aide.
Si vous avez été redirigé ici depuis un forum de désinfection, le but est de faire passer les rapports FRST à la personne qui vous aide à travers le service pjjoint afin que celui-ci puisse déterminer si l’ordinateur est infecté et éventuellement vous passer un “fix”, c’est à dire les commandes FRST qui vont bien pour désinfecter votre ordinateur.
Ce tutoriel est disponible sous forme de vidéo et en image.
Il est conseillé de suivre les deux… Ce n’est pas compliqué, prenez votre temps et lisez bien.

Table des matières [masquer]

• 1 Lancer une analyse FRST
• 2 Envoyer les rapports d’analyse sur pjjoint
• 3 Correction (fix) avec FRST
• 4 Note informative
• 5 Farbar et CD Live Malekal
• 6 Désinfection FRST autonome
• 7 Lien connexes à la désinfection virale

Lancer une analyse FRST

Voici les liens de téléchargements de FRST qui renvoie vers le site officiel BleepingComputer.
Deux versions selon l’architecture de votre ordinateur :

• 32-bits : http://telecharger.malekal.com/download/frst/
• 64-bits : http://telecharger.malekal.com/download/frst-64-bits/

(Pour savoir si vous êtes en 32-bits ou 64-bits, lire la page : Comment vérifier si Windows est en 32-bits ou 64-bits)

• Cliquez sur le bouton Download à droite pour obtenir le programme depuis telecharger-malekal.com afin d’ouvrir la page de téléchargement de BleepingComputer.

Si cela est plus simple, voici le tutoriel en vidéo, n’hésitez pas à suivre le tutoriel en image en parallèle :
SmartScreen peut émettre une alerte – vous pouvez forcer l’exécution en cliquant sur informations complémentaires puis exécuter quand même.

Avast! et Norton peuvent bloquer le programme… Désactiver le, le temps de l’utiliser : clic droit sur l’icône en bas à droite côté de l’horloge puis Gestion des agents Avast => Désactiver définitivement.

Après avoir téléchargé le programme FRST, ce dernier doit se trouver dans votre dossier Téléchargement.

Pour faciliter l’utilisation de FRST, placez FRST sur le bureau de votre ordinateur, suivez ces instructions :

• Ouvrez le dossier de Téléchargement, faites un clic droit sur FRST puis Couper.
• Placez vous sur votre Bureau en faisait clic droit puis Coller. (Attention à ne pas créer un raccourci de l’application FRST)
• Cela va placer FRST sur le bureau.

• Lancez FRST qui se trouve maintenant sur votre bureau.
• Accepter les modifications de l’ordinateur en cliquant sur Oui.
• Acceptez les Clauses de non responsabilité (Dislaimer) en cliquant sur le bouton YES.
• 
• Cochez les options comme indiqué dans la fenêtre ci-dessous (à savoir il faut cocher Shortcut.txt qui ne l’est pas par défaut).
• Cliquez sur le bouton Analyser/Scan pour démarrer l’analyse.
• L’analyse se lance, les éléments scannés apparaissent en haut.

Version Française :

Version en anglais :

Laisser bien l’analyse aller au bout un message doit vous indiquer quand le scan est terminé.

Une fois le scan terminé, les rapports s’ouvrent sur le bloc-note : FRST.txt, Shortcut.txt et Addition.txt, suivez le paragraphe suivant pour les partager à un tiers qui vous aide à désinfecter votre ordinateur des adwares, virus, trojan et autre cheval de troie.

Envoyer les rapports d’analyse sur pjjoint

Les rapports d’analyse doivent être communiqués à un tiers, pour cela, vous pouvez utiliser le site pjjoint qui permet de partager des documents : https://pjjoint.malekal.com
En outre le site pjjoint permet d’analyser automatiquement les rapports FRST pour déceler des infections, ceci nest pas évoqué sur cette page, reportez-vous à la page : Tutoriel désinfection et suppression de virus

• Ces trois rapports se trouvent sur le bureau avec le programme FRST.
  

Ouvrez le site http://pjjoint.malekal.com afin d’y déposer les rapports pour une consultation par un tiers.

Le principe est simple, vous envoyez chacun des rapports, à chaque fois un lien menant à ces rapports vous sera donné. Il faut donner ce lien à votre interlocuteur afin qu’il puisse lire les rapports.

• Sur pjjoint, dans la partie, Chemin du fichier à soumettre, cliquez sur Parcourir.
• Sélectionnez le fichier FRST.txt qui se trouve sur votre bureau.

Cliquez sur Envoyer le fichier pour téléverser le rapport :

Le site pjjoint, vous donne en retour un lien qui mène à ce rapport afin d’être consulter.
Le but est de transmettre ce lien à votre interlocuteur, pour cela : Il suffit pour cela, de faire un clic droit sur le lien donné par pjjoint puis “Copier l’adresse du lien”.

En réponse sur le forum, dans un nouveau message, faites un clic droit et coller.
Répétez l’opération pour le fichier Additionnal.txt et transmettez le  lien pjjoint de votre rapport Additionnal.txt

Voici un exemple de ce qu’un partage de rapports FRST pour une désinfection de virus peut donner au final :

Correction (fix) avec FRST

Si vous vous faites aider sur un forum, il est possible que l’on vous fournisse un script qui permet d’être joué par FRST afin d’effectuer des commandes, notamment pour supprimer des éléments malicieux sur votre ordinateur.
Le script est transmis en retour de réponse des rapports donnés précédemment.
Le script donné doit être enregistré dans un fichier fixlist.txt qui doit se trouver dans le même dossier que le programme FRST.
FRST doit se trouver sur votre bureau, il faut donc enregistrer le fichier fixlist.txt sur le bureau.
Pour cela :

• Ouvrez le Bloc-Note- Touche Windows +R et dans le champs exécuter, saisir notepad et OK.
• C’est un éditeur de texte vide, Coller le script que l’on vous a fourni.

Ci-dessous un exemple de script :
Cliquez sur le menu Fichier puis Enregistrez-sous :
1/ Placez-vous sur le bureau en cliquant sur bureau à gauche.
2/ Saisir dans le nom du fichier : fixlist.txt
3/ Cliquez sur le bouton Enregsitrer : fixlist.txt est enregistré sur le bureau.
Relancez FRST qui doit aussi se trouver sur votre bureau.
Cliquez sur le bouton Corriger / fix. La correction doit s’effectuer, il est possible que la correction nécessite le redémarrage de l’ordinateur.


Si vous avez une erreur “fixlist.txt not found”, cela signifie que FRST ne trouve pas le fichier fixlist.txt
Soit vous n’avez pas enregistré le fichier sous le nom fixlist.txt, soit le fichier fixlist.txt ne se trouve pas dans le même dossier que FRST.
Encore une fois, FRST et fixlist.txt doivent se trouver sur votre bureau.

Note informative

FRST créé un dossier C:/FRST dedans se trouvent un dossier Logs où sont automatiquement enregistrés les rapports mais aussi un dossier Quarantine où se trouve les fichiers qui ont été supprimés depuis l’application.

Farbar et CD Live Malekal

Si le programme est executé en environnement CD Live, ce dernier va scanner le Windows hôte (comme le fait OTLPE).
Cela permet de générer un rapport depuis un environnement CD Live afin de diagnoster les infections et les faire supprimer.
Se reporter au paragraphe FARBAR sur la page CD Live Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/

Désinfection FRST autonome

Se rendre sur le tutoriel : Désinfection manuelle de Windows (Trojan, Adware etc)
Tout y est expliqué afin d’analyser les rapports FRST et produire le fixlist.txt en conséquence.

Lien connexes à la désinfection virale

Désinfection virus :

• supprimer-virus un site de désinfection informatique : http://supprimer-virus.com
• Virus : Analyser son ordinateur
• Supprimer les adwares (publicités) et programmes parasites ou Supprimer les publicités et adwares

et pour la prévention informatique :

• Logiciels potentiellement indésirables et popups publicités
• Vecteur d’infections et désinfection
• Comment sécuriser son ordinateur ?

REF.:

Désinfection manuelle de Windows (Trojan, Adware etc)

Dans cet article, j’explique le principe des désinfections manuelles qui s’effectuent généralement sur les forums.
Cela peut servir aux geek de la famille à qui on ramène les Windows malades.
Le but est de bien comprendre sur quoi repose ces désinfections de virus et comment procéder.
Ceci est donc une illustration des désinfections faites à partir de l’utilitaire FRST.
Cette page est donc à destination des personnes à l’aide en informatique et ayant une connaissance minimale en informatique et Windows.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Table des matières [masquer]

• 1 Principe
• 2 Analyse rapport FRST
  • 2.1 FRST.txt
  • 2.2 Addition.txt
• 3 Désinfection virus
  • 3.1 Startup, clé Run et services Windows
  • 3.2 Clé IFEO
  • 3.3 Extension malveillante sur Chrome
  • 3.4 Drivers malveillants
  • 3.5 Trojan RAT
  • 3.6 Malware Filess
  • 3.7 Signature fichiers systèmes
• 4 Correction FRST
• 5 En vidéo
• 6 Liens autour de la suppression de virus

Principe

Avant d’entrer dans le vif du sujet, il faut comprendre sur quoi repose ces désinfections.
Tout d’abord, nous allons juste rappeler de quoi est composé un logiciel malveillant.

• Une partie active, c’est le processus en mémoire actif qui effectue les actions, ce pourquoi, le logiciel malveillant a été conçue. Ce processus peut prendre la forme d’un .exe ou d’une DLL
• L’utilisation d’un point de chargement de Windows, cela permet au virus informatique de se charger à chaque démarrage de Windows. Il existe beaucoup de point de chargement sur Windows.

Bien entendu, on a toujours des exceptions, comme par exemple, le remplacement de fichiers systèmes : Trojan Patched et remplacement de fichiers systèmes de Windows.
FRST est un programme qui effectue un analyse de Windows et génère des rapports.
Ces rapports contiennent des points de chargements de Windows, les processus en cours d’exécution, une partie des DLL chargées en mémoire, les derniers fichiers modifiés dans le système et bien d’autres données.
A partir, d’une analyse de ces informations, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST et qui indique les fichiers, clés et autres éléments à supprimer de Windows.

Pour les plus anciens des internautes, il s’agit du même principe que le fameux HijackThis qui est devenu trop limité sur le contenu de l’analyse système et plus maintenu.

Avec une bonne pratique, les avantages sont de pouvoir vérifier et supprimer les virus qui ne sont pas détectés par les programmes traditionnels : RogueKiller, ZHPCleaner, AdwCleaner, Malwarebytes-Anti Malware.
On se rapproche plutôt des outils proposés sur cette page : Comment vérifier si ordinateur a été hacké ou piraté ?
A travers l’analyse des processus en cours de chargement et des points de chargement de Windows.
L’inconvénient concerne ceux qui ne veulent pas avoir à réfléchir et passer des outils automatiques.
pjjoint est l’outil idéal, ce dernier permet d’analyser les rapports FRST, ainsi vous pouvez avoir déjà un aperçu à travers une base de données recensant les programmes légitimes.

Analyse rapport FRST

Quelques informations sur les rapports FRST et leur composition.
Les rapports FRST sont composés de trois rapports (si vous cochez bien les options comme indiqué dans le tutoriel FRST)

• FRST.txt : contient les processus, clés RUN, informations navigateurs WEB, pilotes et derniers fichiers modifiés
• Addition.txt : liste les programmes installés, les tâches planifiées

Les couleurs de pjjoint :

• En rouge gras : connus pour être malveillant
• En rouge : détection générique afin d’attirer l’attention, pas forcément malveillant mais peut l’être
• En vert : légitime
• En gris : pas de statut

FRST.txt

L’en-tête fournit les informations du rapport FRST.txt, l’utilisateur Windows et les versions de Windows.
puis la liste des processus en cours d’exécution durant le scan FRST.

Vient ensuite les clés Run et startup.
On peut aussi y trouver les clés IFEO.

puis la configuration des navigateurs WEB, listant les extensions installées.

puis les services Windows et pilotes.

les derniers fichiers modifiés ou créés, sur un mois.


Enfin le rapport FRST se termine par les hashs de fichiers systèmes afin de détecter d’éventuel patch.
FRST indique si les fichiers systèmes sont signés numériquement.
Si l’option BCD a été coché, le contenu du BCD est donné.

Addition.txt

Les rapports Addition.txt ne sont pas évalués par pjjoint.
Voici l’en-tête du rapport Addition.txt assez similaire à FRST.txt
puis on enchaîne sur les informations utilisateurs, ainsi que les antivirus installés.
Du moins, la liste retournée par Windows (qui peut-être fausse).
puis la liste des programmes installés dans Windows.

puis les raccourcis, souvent modifiés par des Browser Hijacker pour forcer des moteurs de recherche.
Les modules chargés dans explorer.exe
Puis les tâches planifiées de Windows.

Pour les raccourcis, vous pouvez générer un fichier Shortcut.txt qui liste tous les raccourcis et permet de récupérer les raccourcis Windows modifier afin de faire lancer un moteur de recherche en particulier. Exemple launchpage.org où on voit que Shortcut.txt en liste beaucoup plus :


puis d’autres infos dont un aperçu du fichier HOSTS de Windows qui peut-être modifiés (Hijack.HOSTS).
On trouve aussi les informations DNS.
et les entrées mconfig, si l’utilisateur a désactivé certains programmes au démarrage de Windows.

les règles du pare-feu de Windows

Quelques informations comme les points de restauration de Windows, puis les périphériques non installés (gestionnaires de périphériques) et certains contenu de l’observateur d’événements de Windows.

Enfin la configuration matérielle de l’ordinateur.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Désinfection virus

Aidez vous de pjjoint pour analyser les rapports FRST.
En cas de doute sur un fichier ou autres, vous pouvez :

• une analyse VirusTotal de ce fichier,
• une recherche Google incluant si possible le chemin complet avec des “, exemple : “C:\Windows\system32\csrss.exe”
• vérifiez avec herdprotect, exemple sur Google : herdprotect c:\windows\system32\csrss.exe

Pjjoint aide à mettre de côté les fichiers légitimes. Avec l’habitude, vous verrez que c’est à peu près toujours les mêmes programmes qui reviennent.
Le but est de noter chaque ligne malveillante et liés à des cheval de troie, virus et autres afin de constituer une correction FRST.
C’est parti pour quelques exemples et subtilités.

Startup, clé Run et services Windows

Rien d’exception, il suffit de vérifier ces derniers.
En général, pjjoint les reconnaît.

Prêtez une attention au fichier non signé numériquement.

Clé IFEO

Les clés du registre Windows IFEO pour Image File Execution Options sont des clés, initialement prévus pour débugger permettant l’exécution d’un exécutable lorsqu’un exécutable en particulier se lance.
La clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options suivi du nom de l’exe.
Dans l’exemple ci-dessous, à chaque exécution de GoogleUpdate.exe (légitime), un exécutable avec des chiffres (malveillant) sera aussi lancé.

Si aucun exécutable n’est spécifié alors le fichier ne pourra se lancer.
Ci-dessous, le gestionnaire de tâches (taskmgr.exe) ne pourra être démarré.

Même chose ci-dessous pour prévenir de l’exécution de FRST, HijackThis etc :

Malwarebytes Anti-Malware peut détecter ces derniers en PUP.Optional.IFEO

Extension malveillante sur Chrome

Les extensions malveillantes (Adwares/PUPs)  sur Chrome et Firefox sont identifiées par des ID.
Il suffit alors d’effectuer une recherche Google afin de vérifier si celle-ci se trouve dans le magasin de Chrome et si elle est “connue”.

Drivers malveillants

Exemple de pilotes malveillants avec ucguard / UCBrowser et Netutils

Trojan RAT

Quelques exemples de rapports FRST avec des Trojans RAT.
La plupart du temps, ces derniers se chargent par des clés RUN ou Startup.
Parfois des tâches planifiées.
La tâche planifiée et les dossiers du Trojan RAT qui correspondent :



Un Trojan RAT qui se chargent par des clés RUN et Startup :

De multiples dossiers dans %APPDATA%, l’attribut H montre que ces derniers sont attributs cachés (hidden).

Malware Filess

Ces derniers se chargent par des clés Run qui contiennent un script dans la clé.
Plus d’infos : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit et les Les virus ou trojan Powershell
Clé Run avec mshta :

Signature fichiers systèmes

Ci-dessous un exemple de fichier système patché (modifié afin d’effectuer des opérations malveillantes).
Le fichier dnsapi.dll est modifé et donc, il n’est plus signé numériquement.
FRST indique le MD5 du fichier, vous pouvez éventuellement effectuer une recherche sur Google.

Correction FRST

Une fois, les lignes malveillantes repérées et notées.
Vous pouvez effectuer une correction FRST afin de supprimer les logiciels malveillants de Windows.
Pour cela, il faut créer un fichier fixlist.txt qui doit impérativement se trouver dans le même dossier que Windows.

• CreateRestorePoint: demande la création d’un point de restauration système.
• CloseProcesses: tue tous les processus non essentiels de Windows
• cmd: permet de lancer une commande cmd, dans l’exemple on vide le catalogue Winsock.
• reg: permet de passer une commande reg, même syntaxe que celle de l’invite de commandes de Windows.
  • reg add, vous pouvez créer des clés en indiquant la valeur etc
  • reg delete, vous pouvez supprimer des clés du registre Windows
• HOSTS: vide le fichier HOSTS de Windows.
• EmptyTemp : vide les fichiers temporaires
• RemoveProxy : supprimer tous les proxys de Windows
• Reboot: fait redémarrer l’ordinateur une fois la correction effectuée.

Vous pouvez donc indiquer les clés Run, Services et autres directement, ainsi que les lignes de fichiers modifiés.
Vous pouvez aussi donner le chemin complet d’un fichier ou dossier afin de faire supprimer ce dernier.

Pour une syntaxe complète des scripts FRST, rendez-vous sur la page:  FRST Tutorial – How to use Farbar Recovery Scan Tool

Relancez alors FRST puis cliquez sur le bouton Correction (Fix en anglais) pour lancer l’opération.

En vidéo

Exemple de suppression de cheval de troie et désinfection Windows en vidéo :

Liens autour de la suppression de virus

• Tutoriel désinfection et suppression de virus
• Les outils de désinfection et de suppression de virus
• Procédure désinfection adwares/popups publicités

Sans oublier, le menu du site : Virus & Sécurité.

REF.:

Le Peer-to-peer (P2P) et les virus

Le Peer-to-Peer (P2P) est un mode d’échange de fichiers entre internautes qui a très vite permis de mettre en ligne des fichiers illégalement, en échappement aux droits d’auteurs.
Parmi ces fichiers, on trouve beaucoup de logiciels crackés, c’est à dire soit modifié, soit contenu un petit programme qui permet de mettre en veille ou contourner la licence de l’application afin de pouvoir l’utiliser gratuitement. Ainsi, le P2P est donc aussi très vite devenu populaire.
Cette popularité est exploitée par les auteurs de virus en mettant en ligne des programmes malveillants à travers ces applications crackées.
Voici un tour d’horizon des menaces qui ont pu exister et comment elles se sont propagés à travers le P2P.

Introduction au P2P

Avant de commencer sur le côté virus, il existe plusieurs protocoles différents et plusieurs logiciels, qui ont aussi évolués dans le temps.
Le fonctionnent est grosso modo identique mais avec quelques variantes, dans tous les cas, l’internaute fait client/serveur, c’est à dire qu’il peut téléchargé chez les autres des morceaux du fichiers souhaités tout en les mettant à disposition des autres internautes. C’est la force du P2P.
En gros les modes P2P les plus connus sont :

• Emule où l’age d’or se situe plutôt entre 2002 et 2013, ce dernier fonctionne avec des serveurs centralisés, on s’y connecte, on a obtient la liste des programmes mis en ligne par les internautes, que l’on peut télécharge et mettre en ligne à son tour.
• Bittorrent qui a maintenant supplanté Emule, il s’agit de serveurs décentralisés, chaque client fait ensuite office de noeud. L’internaute télécharge un .torrent qui récupère une liste de noeuds. Le client P2P s’y connecte afin de mettre à jour et pouvoir ensuite téléchargé les morceaux du fichiers en ligne. Actuellement, le client Bittorent le plus populaire est utorrent.

En contrôlant les ordinateurs infectés, il peut être possible de partager ensuite des fichiers malveillants, ainsi l’ordinateur infecté est aussi utilisé, à travers le P2P pour infecter d’autres internautes.
C’est le principe des vers informatiques ou worm en anglais.

Les virus sur Emule

Emule a très vite été utilisé pour diffuser des logiciels malveillants, ainsi, le principe est assez simple, une fois contaminé, le virus va créer des zip de cracks dans le répertoire de partage de l’utilisateur.
Les internautes vont télécharger ces derniers et se mettre ensuite à diffuser ces cracks malveillants.
Par exemple, dans les années 2007 et 2008, Bagle était très actif de ce côté là : Bagle/Beagle/Trojan.Tooso.R

Cette vidéo montre la création des cracks vérolés par Bagle lorsque l’ordinateur est infecté par ce trojan :

Les virus en torrent

Les torrents peuvent renfermer aussi des logiciels malveillants.
Les auteurs de malwares peuvent tout simplement mettre en ligne des logiciels embarquant des trojan, et autres logiciels malveillants.
Parmi les cheval de troie assez élaboré et utilisant les torrents pour se diffuser, on peut Trojan.Sathurbot.


Une fois l’ordinateur infecté par Trojan.Sathurbot, l’ordinateur va tenter d’attaquer des sites internet en WordPress, si le piratage fonctionne, le contenu du site internet sera modifié pour mettre en ligne de fausses pages de logiciels torrent.
Si un internaute tombe dessus et télécharge ce torrent, en exécutant le contenu, il va infecter son ordinateur qui à son tour va tenter d’attaquer des sites internet.
Le Trojan Sathurbot en vidéo avec le mode de propagation avec par des attaques par brute force  :

L’éditeur d’antivirus ESET s’est aussi fait l’écho d’un ransomware visant Mac propagé à travers des torrent piégés : New crypto-ransomware hits macOS
Là aussi, on met en ligne des cracks, par exemple pour Adobe Premiere Pro comme le montre cette capture d’écran :

Le zip renferme un fichier “patcher” qui s’avère être le ransomware.

Client Torrent et PUP

Enfin les clients torrent, comme tout logiciels peuvent proposer l’installation de programmes potentiellement indésirable (PUP) qui s’avèrent être la plus part du temps des adwares.
Plus d’informations, se reporter aux pages :

• uTorrent et les virus
• Dossier Adwares/PUPs : programmes indésirables et parasites

Conclusion

Comme vous pouvez le constater, il est relativement simple d’utiliser le P2P pour propager des virus, tout simplement car le contenu n’est pas centralisé.
Cela permet donc très facilement mettre en ligne du contenu malveillant.
Le problème de télécharger des cracks par P2P rentre dans le cadre du téléchargement de sources non sûres.
Les fichiers sont mis en lignes par des inconnus, vous ne savez pas ce qui est au bout, sauf après avoir exécuter sur votre ordinateur le contenu, or souvent, il est trop tard.
C’est tout simplement la loterie.
Ces sources non sûres valent aussi pour le téléchargement de fichiers comme 1fichiers, uptobox ou mega. D’ailleurs, il se passe la même chose avec les virus sur Youtube : Arnaques et virus sur Youtube
En clair donc, télécharger depuis ces sources non sûrs est à l’extrême opposé des bons réflexes de la sécurité informatique.

Liens autour des virus et cracks

Pour aller plus loin dans les virus par cracks :

• Le danger des cracks et keygen !
• Faux site de crack : ça marche encore bien
• Les sites de streaming et les virus 

REF.:

Toutlemondeenblogue, le bonne endroit pour les Blogues

REF.:

Hackers: Le plus grand cybercriminel est Russe

Au F.B.I., Evgeniy M. Bogachev est le cybercriminalisme le plus recherché au monde. Le bureau a annoncé une prime de 3 millions de dollars pour sa capture, le plus montant d'argent jamais offert pour des crimes informatiques, et ont a tenté de suivre ses mouvements dans l'espoir de l'attraper s'il s'est éloigné de son territoire domestique en Russie.Il a été inculpé aux États-Unis, accusé de créer un réseau étendu d'ordinateurs infectés par le virus pour siphonner des centaines de millions de dollars de comptes bancaires à travers le monde, ciblant n'importe qui avec suffisamment d'argent pour voler - d'une société de lutte antiparasitaire en Caroline du Nord a un service de police du Massachusetts à une tribu des Amérindiens à Washington.En décembre, l'administration Obama a annoncé des sanctions contre M. Bogachev et cinq autres en réponse aux conclusions des agences de renseignement selon lesquelles la Russie s'est entachée lors de l'élection présidentielle. Publicement, les responsables de l'application de la loi ont déclaré que ce sont ses exploits criminels qui ont débarqué M. Bogachev sur la liste des sanctions, pas un rôle spécifique dans le piratage du Comité national démocrate.Mais il est clair que pour la Russie, il est plus qu'un simple criminel. À un moment donné, M. Bogachev contrôlait jusqu'à un million d'ordinateurs dans plusieurs pays, avec un accès possible à tout, depuis les photographies de vacances familiales et les documents à terme jusqu'à des propositions d'affaires et des informations personnelles hautement confidentielles. Il est presque certain que les ordinateurs appartenant à des fonctionnaires et entrepreneurs dans un certain nombre de pays figuraient parmi les dispositifs infectés. Pour la communauté russe du renseignement obsédée par la surveillance, les exploits de M. Bogachev ont peut-être créé une occasion irrésistible d'espionnage.Tandis que M. Bogachev évacuait les comptes bancaires, il semblait que les autorités russes regardaient par-dessus son épaule, cherchant les mêmes ordinateurs pour les fichiers et les courriels. En effet, ils ont greffé une opération de renseignement sur un système de cybercriminalité de grande envergure, épargnant le lourd travail de piratage dans les ordinateurs eux-mêmes, selon les responsables.
Les Russes étaient particulièrement intéressés, semble-t-il, par les informations des services militaires et de renseignement concernant les combats dans l'est de l'Ukraine et la guerre en Syrie, selon les responsables de l'application de la loi et la firme de cybersécurité Fox-IT. Mais il semble également y avoir eu des tentatives d'accès à des informations militaires et d'intelligence confidentielles sur les ordinateurs infectés aux États-Unis, consistant souvent à rechercher des documents contenant les mots «top secret» ou «ministère de la Défense».Le gouvernement russe dispose de ses propres outils de cyberespace pour recueillir des renseignements. Mais le survol des activités de M. Bogachev offre des indices de l'ampleur et de la créativité des efforts d'espionnage de la Russie à un moment où les États-Unis et l'Europe luttent contre les attaques de plus en plus sophistiquées capables de détruire les infrastructures critiques, de perturber les opérations bancaires, de voler des secrets gouvernementaux et Sapant les élections démocratiques.

Cette relation est illustrée par le mélange improbable de personnages ciblés par les sanctions annoncées par l'administration Obama. Quatre étaient des officiers supérieurs avec la puissante agence de renseignement militaire russe, le G.R.U. Deux étaient des cyberthèmes suspectés dans la liste la plus recherchée de F.B.I.: une Russe ethnique de Lettonie a nommé Alexsey Belan avec une coupe de cheveux Justin Bieber teinté de couleur rouge, et M. Bogachev, dont F.B.I. Le fichier comprend une photo de lui tenant son chat tacheté du Bengale tout en portant un ensemble assorti de pyjama imprimé léopard. 

Du voleur à l'actif russe?Son implication dans l'intelligence russe peut aider à expliquer pourquoi M. Bogachev, âgé de 33 ans, n'est guère responsable. FBI. Les fonctionnaires disent qu'il vit ouvertement à Anapa, une station balnéaire dégradée sur la mer Noire dans le sud de la Russie. Il a un grand appartement près du rivage et peut-être un autre à Moscou, disent les officiels, ainsi qu'une collection de voitures de luxe, bien qu'il semble favoriser la conduite de son Jeep Grand Cherokee. Les enquêteurs américains disent qu'il aime naviguer et possède un yacht.en Russie, une station balnéaire sur la mer Noire où vit M. Bogachev.  

L'exécution du régime pénal était un travail acharné. M. Bogachev se plaignait souvent d'être épuisé et «d'avoir trop peu de temps pour sa famille», a déclaré Aleksandr Panin, pirate russe, maintenant dans une prison fédérale au Kentucky pour la fraude bancaire, qui communiquait avec M. Bogachev en ligne. "Il a mentionné une femme et deux enfants pour autant que je me souvienne", a déclaré M. Panin dans un courriel.Au-delà, on sait peu de choses sur M. Bogachev, qui a préféré opérer anonymement derrière différents noms d'écran: slavik, lachez le en personne ou connaissait son vrai nom. "Il était très, très paranoïaque", a déclaré J. Keith Mularski, F.B.I. Superviseur à Pittsburgh, dont l'enquête sur M. Bogachev a conduit à un acte d'accusation en 2014. «Il n'a pas confiance en personne.» La Russie n'a pas de traité d'extradition avec les États-Unis, et les responsables russes disent que tant que M. Bogachev n'a pas  commis un crime sur le territoire russe, il n'y a pas lieu de l'arrêter. Les tentatives de contact avec M. Bogachev pour cet article ont échoué. En réponse aux questions, son avocat à Anapa, Aleksei Stotskii, a déclaré: "Le fait qu'il soit recherché par le F.B.I. M'empêche moralement de tout dire. "Une ligne dans le dossier de M. Bogachev avec le ministère ukrainien de l'Intérieur, qui a aidé le F.B.I. Suivre ses mouvements, le décrire comme «travaillant sous la supervision d'une unité spéciale du F.S.B.», se référant au service fédéral de sécurité, principal service de renseignement de la Russie. Le FSB n'a pas répondu à une demande de commentaire. Que M. Bogachev reste en liberté "est l'argument le plus puissant" qu'il est un atout du gouvernement russe, a déclaré Austin Berglas, qui était un agent spécial adjoint chargé des cyberinvestigations Du bureau de terrain du FBI de New York jusqu'en 2015. Les pirates comme M. Bogachev sont des «lutteurs de la lune», a déclaré M. Berglas, «faisant l'offre des services de renseignement russes, qu'il s'agisse d'espionnage économique ou d'espionnage direct». Un tel arrangement offre Le Kremlin est une histoire de couverture pratique et une occasion facile de jeter un coup d'oeil sur les vastes réseaux d'ordinateurs infectés par des pirates russes, disent les experts en sécurité. Les agences de renseignement russes semblent également utiliser occasionnellement des outils de logiciels malveillants développés à des fins criminelles, y compris le populaire BlackEnergy, pour attaquer les ordinateurs des gouvernements ennemis. Les récentes révélations de WikiLeaks au sujet de C.I.A. Les outils d'espionnage suggèrent que l'agence a également gardé une grande bibliothèque de référence de trousses de piratage, dont certaines semblent avoir été produites par la Russie. Elle suggère également de lutter pour recruter les meilleurs talents. Un travail avec les agences de renseignement russes ne commande pas le prestige qu'il a fait à l'ère soviétique. L'Etat russe doit rivaliser avec le rêve des salaires à six chiffres et des stock-options dans Silicon Valley. Un poste de recrutement depuis quelques années pour la brigade de cyberguerre du ministère de la Défense a offert aux diplômés du collège le grade de lieutenant et un lit dans une pièce avec quatre autres personnes. Le procureur général adjoint de Photoshop, Leslie R. Caldwell, de la Division criminelle du ministère de la Justice, a annoncé la Effort pour perturber GameOver ZeuS en 2014. Des accusations criminelles contre M. Bogachev ont également été exclues. Crédit Gary Cameron / ReutersAnd, alors le Kremlin tourne parfois vers le "dark web" ou les forums de langue russe consacrés au cyberfraud et au spam. M. Bogachev, selon les documents judiciaires de son cas criminel, vendait des logiciels malveillants sur un site appelé Carding World, où les voleurs achètent et vendent des numéros de cartes de crédit volés et des trousses de piratage, selon F.B.I. Une publication récente a offert de vendre des informations de carte de crédit américaines avec des numéros de sécurité CVV pour 5 $. Un utilisateur nommé MrRaiX vendait un logiciel malveillant supposé conçu pour piloter des mots de passe de programmes comme Google Chrome et Outlook Express. Plus que de fermer ces sites, comme F.B.I. Tente généralement de le faire, les agents de renseignement russes semblent les avoir infiltrés, selon les experts de la sécurité. Certains des forums affirment spécifiquement que presque n'importe quel type de criminalité est autorisé: la fraude bancaire, la contrefaçon de documents, les ventes d'armes. L'une des rares règles: pas de travail en Russie ou dans l'ancienne Union soviétique. Dans Carding World et dans de nombreux autres forums, une violation entraîne une interdiction à vie. La Lettre d'interprète Comprend le monde avec une perspicacité et des commentaires sur les principales nouvelles de la semaine. Voir la politique de confidentialité de l'exemple Désactiver ou nous contacter en tout temps The F.B.I. A longtemps été bloqué dans ses efforts pour obtenir des cybercriminels russes. Pendant un certain temps, le bureau avait de grands espoirs que ses agents et enquêteurs russes avec le F.S.B. travailleraient ensemble pour cibler les voleurs russes qui avaient fait une spécialité de voler les informations sur les cartes de crédit des Américains et de casser leurs comptes bancaires. "Voici des recherches approfondies", F.B.I. Et les agents de F.S.B. se ravisaient dans les steaks de Manhattan lors de visites périodiques de confiance, a déclaré M. Berglas. Mais l'aide a rarement semblé se concrétiser. Au bout d'un moment, les agents se sont inquiétés du fait que les autorités russes recrutaient les suspects que le F.B.I. Poursuivait. La blague parmi les fonctionnaires du ministère de la Justice était que les Russes étaient plus susceptibles d'épingler une médaille sur un pirate informatique suspect que d'aider le F.B.I. "Presque tous les pirates informatiques qui ont été annoncés par le gouvernement américain par des actes d'accusation sont immédiatement suivis par le gouvernement russe", a déclaré Arkady Bukh, un avocat basé à New York qui représente souvent des pirates russes arrêtés aux États-Unis. "Tout le temps, on leur demande de fournir des ressources logistiques et techniques support
"Alors qu'il s'agissait d'un soupçon largement répandu, il est difficile de prouver le lien entre les cyberthèmes et les renseignement russes. Mais dans un cas, M. Berglas a dit, F.B.I. Les agents surveillant un ordinateur infecté ont été surpris de voir un pirate qui a été la cible de leur enquête de partager une copie de son passeport avec une personne le F.B.I. Considéré comme un agent russe du renseignement - un signal probable que le suspect était recruté ou protégé. "C'était le plus proche que nous ayons jamais vécu", a-t-il déclaré. Pêche pour Top SecretsM. 

 La carrière de piratage de Bogachev a débuté il y a plus d'une décennie, ce qui a conduit à la création d'un logiciel malveillant appelé GameOver ZeuS, qu'il a réussi avec l'aide d'environ une demi-douzaine d'associés proches qui se sont appelés le Business Club, selon le F.B.I. Et des chercheurs en sécurité. En travaillant 24 heures sur 24, son groupe criminel a infecté un réseau d'ordinateurs en constante augmentation. Il a pu contourner les mesures de sécurité bancaire les plus avancées pour vider rapidement les comptes et transférer l'argent à l'étranger à travers un réseau d'intermédiaires appelés mules d'argent. FBI. Les fonctionnaires ont déclaré que c'était le système de larcement en ligne le plus sophistiqué qu'ils avaient rencontré - et pendant des années, il était impénétrable.M. Bogachev est devenu extrêmement riche. À un moment donné, il possédait deux villas en France et gardé une flotte de voitures garées dans toute l'Europe, de sorte qu'il n'aurait jamais à louer un véhicule en vacances, selon un responsable ukrainien chargé de l'application de la loi ayant connaissance de l'affaire Bogachev, qui a demandé l'anonymat à Discuter de l'enquête continue. Les officiels disent qu'il a eu trois passeports russes avec des alias différents lui permettant de voyager sous le couvert. 

Donnez-vous un avis confidentiel? Le New York Times aimerait entendre les lecteurs qui souhaitent partager des messages et du matériel avec nos journalistes. Au plus fort de ses opérations, M. Bogachev avait entre 500 000 et un million d'ordinateurs sous son contrôle, ont déclaré des responsables américains. Et il est prouvé que le gouvernement russe s'intéresse à savoir ce qui était sur eux. En début d'année 2011, selon une analyse de Fox-IT, les ordinateurs sous le contrôle de M. Bogachev ont commencé à recevoir des demandes d'informations - pas sur les transactions bancaires, mais pour Des dossiers relatifs à divers développements géopolitiques ont été tirés des manchettes. Au cours de l'époque où l'ancien président Barack Obama a accepté publiquement de commencer à envoyer des armes légères et des munitions aux rebelles syriens, en 2013, les ordinateurs turcs infectés par le réseau de M. Bogachev ont été touchés par des recherches par mots-clés Les termes «livraison d'armes» et «livraison d'armes». Il y avait également des recherches pour «mercenaire russe» et «mercenaire caucasien», ce qui suggère des préoccupations concernant les citoyens russes qui se battent dans la guerre. En raison de l'intervention militaire de la Russie en Ukraine en 2014, les ordinateurs infectés étaient A cherché des informations sur les fichiers top-secret de la principale direction du renseignement du pays, le SBU Certaines des requêtes concernaient la recherche d'informations personnelles sur les responsables de la sécurité du gouvernement, y compris les courriels du service de renseignement étranger de la Géorgie, le ministère turc des Affaires étrangères et d'autres, a déclaré Michael Sandee, l'un des chercheurs de Fox-IT. Et à un certain point entre mars 2013 et Février 2014, il y avait des recherches pour des documents en langue anglaise, qui semblaient pêcher des documents américains sur l'armée et le renseignement. Les requêtes étaient pour les termes «top secret» et «Department of Defense», a déclaré Brett Stone-Gross, un analyste de la cybersécurité impliqué dans l'analyse de GameOver ZeuS. "Ils étaient en anglais", at-il dit. "C'était différent." Les experts en cybersécurité qui ont étudié l'affaire disent qu'il n'y a aucun moyen de savoir qui a commandé les requêtes. Mais ils étaient tellement déconnectés du vol et de la fraude qui ont poussé l'opération de M. Bogachev que les analystes disent qu'il ne peut y avoir d'autre motif que l'espionnage. Si les recherches ont révélé un document classifié ou un matériel gouvernemental sensible est inconnu, bien que les chances soient bonnes étaient un certain nombre d'employés du gouvernement fédéral ou d'entrepreneurs militaires avec des ordinateurs personnels infectés. "Ils avaient un tel nombre d'infections, je dirais qu'il est très probable qu'ils avaient des ordinateurs appartenant au gouvernement américain et aux employés des gouvernements étrangers", a déclaré M. Stone-Gross. Au cours de l'été 2014, le FBI, ainsi que des organismes d'application de la loi dans plus d'une demi-douzaine de pays, a mené l'opération Tovar, une attaque coordonnée contre l'infrastructure criminelle de M. Bogatchev qui a fermé son réseau et a libéré des ordinateurs infectés par GameOver ZeuS.Prosecutors Ont déclaré qu'ils discutaient avec le gouvernement russe, essayant d'assurer la coopération pour la capture de M. Bogachev. Mais le seul problème juridique apparent que M. Bogachev a rencontré en Russie était un procès déposé contre lui par une société immobilière en 2011 sur le paiement d'environ 75 000 $ sur son appartement à Anapa, selon les documents judiciaires. Et même qu'il a réussi à battre. 
Ces jours-là, les responsables croient que M. Bogachev vit sous son propre nom à Anapa et prend parfois en bateau en Crimée, la péninsule ukrainienne que la Russie a occupée en 2014. M. Mularski, le F.B.I. Superviseur, a déclaré que ses agents «continuaient à poursuivre des pistes».

REF.: