Prévention et Sécurité (version courte)

parpfryingpanInternet και Εφαρμογές Web

28 Ιουν 2012 (πριν από 5 χρόνια και 23 μέρες)

464 εμφανίσεις

Prévention & Sécurité sur internet (version courte)
Aout 2011
Dossier
Prévention et Sécurité (version courte)
v 201108
page
1
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Sommaire
1- Pourquoi des infections ?
2- Infection à travers les sites WEB : simplement en surfant
3- Les Rogues/Scareware : Faux Antivirus
4- Les infections par disques amovibles (Clef USB/Disque dur externe)
5- Mail : Infections / Hoax / Scam / Phishing
6- Cracks Keygens et P2P
7- Vers et arnaques sur MSN
8- Conclusion
page
2
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
1-
Pourquoi des infections ?
Les infections sont devenues en quelques années avec l'expansion d'internet, une véritable machine à

faire de l'argent.
Les moyens pour faire de l'argent sont diverses,
Ce ne sont pas seulement les groupes qui mettent en ligne les infections qui touchent de l'argent,

Certains groupes développent et vendent les trojans avec un service après vente.
D'autres groupes vendent des WebMalware Kit etc.
il existe donc tout un écosystème autour des infections.
Voici quelques exemples utilisés pour faire l'argent via des infections :

Transformer votre machine en
PC Zombis / botnet
.

Les pirates constituent un réseau de PC infectés qu'ils contrôlent et peuvent louer pour une

somme d'argent pour effectuer divers tâches. Vous pouvez lire cette page pour plus

d'informations :
Botnet Business
En général, ces tâches sont :

Utiliser les ordinateurs infectés pour effectuer des attaques vers des sites PC zombies à

sa disposition pour effectuer ses attaques. Imaginez 10 000 PC avec des connexions

ADSL effectuant des requêtes en continu sur un site WEB !

Utiliser les ordinateurs infectés pour relayer des mails de spams pour des produits

commerciaux.

Faire de l'argent via la publicité. infecter les ordinateurs des internautes avec
des Adwares
.

Les pirates créent des Adwares qui affichent des popups de publicités ou des infections qui

redirections lors des recherches Google
. Le pirate gagne alors un certains nombres d'argent

par popup de publicités ouverte donc plus le nombre d'ordinateur qui ouvre des popups est

grand, plus le pirate se fera d'argent.

Tromper les internautes en vendant de faux antispywares que l'on nomme
Rogues/Scareware

-
Notion de PPC/CPC

Les rogues génèrent à eux seuls des milliers de dollars voir :

http://www.secureworks.com/research/threats/rogue-antivirus-part-1/
et

http://www.secureworks.com/research/threats/rogue-antivirus-part-2/

Ce sont des coquilles vides.. Une simple interface graphique ressemblant à des

antispywares classiques mais sans mise à jour, sans procédures de nettoyage. Le but est

très simple. Les auteurs de ces faux-antispywares inondent le WEB de publicités via les

régies de pubs (ce sont les sociétés qui s'occupent d'afficher les publicités sur les sites

WEB, concrètement en quelques secondes, plusieurs millions/millions de sites WEB

peuvent afficher la même publicités pour le même produit), généralement avec de fausses

alertes de sécurités indiquant que votre ordinateur est infecté proposant de télécharger,

comme solution, ces faux-antispywares.

Les pirates créent des infections qui affichent des alertes indiquant que votre ordinateur

est infecté (fond d'écran modifié avec messages en rouges, icônes en bas à droite à côté

de l'horloge indiquant que votre ordinateur est infecté) en proposant de télécharger,

page
3
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
comme solution, ces faux-antispywares. Si l'utilisateur est naïf... voyant ces alertes, il va

télécharger et acheter ce faux produit qui ne va rien nettoyer sur son ordinateur.

De faux blogs de sécurité

pour vendre des antispywares ce sont créés. Ces derniers

touchent un % sur les ventes. Imaginez les créateurs de rogues qui en plus créent des

blogs avoir des sois disant recette de désinfection via des antispywares et touche un % au

passage...

Promouvoir l'installation de programmes malicieux (inclus rogues et scamwares) - notion de
]
PPI - Pay-Per-Install
. Un groupe peut se concentrer sur la promotion de programmes

malicieux sans l'avoir développer lui même (Affiliation).

Récupérer des informations tels que les adresses email, numéro carte bancaire (
carding
) etc..

afin de les revendre soit via des infections (
Zbot
, Banker etc).. soit via du phishing.

Récupérer les identifiants de compte de jeu en ligne pour les revendre : voir
fraude jeux en

ligne
comment prendre les joueurs à l'hameçon

Divers autres arnaques par mail comme les arnaques
Scam 419 / Scam nigérian
ou le

phishing
.

Etc.
Vous trouverez d'autres informations et exemples sur la page :
Business malwares : le Pourquoi des

infections,
Pour infecter les internautes, les auteurs de malwares utilisent divers subterfuges, cela va à

l'exploitation de la crédulité des internautes ou tirer parti de la méconnaissance de l'outil informatique.
Cet article a pour but de vous donner les grandes lignes à travers des exemples des moyens utilisés

pour infecter les ordinateurs à grandes échelles, le but étant à travers ces exemples de mieux

comprendre comment les infections se propagent pour les éviter.
page
4
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
2-
Infection à travers les sites WEB : simplement en surfant
Les auteurs des malwares hack en permanence une multitude de sites WEB afin d'infecter les

internautes.
Si possible des sites à forte audience ou sur des thèmes susceptibles d'amener un maximum de

personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent

alors une
iframe
de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et

le fichier à l'origine de l'infection
.
C'est d'autant plus facile que créer un site ou un forum est devenu chose aisée. Malheureusement

ces webmasters en herbe n'ont pas forcément les connaissances informatiques ou de sécurité

minimales pour ne pas se faire hacker.
Les auteurs de malwares ajoutent alors une iframe invisible (ou un bout de code javascript) à la page

d'accueil du site WEB en question. Les navigateurs WEB des visiteurs vont alors exécuter de manière

automatique le contenu de l'iframe et être redirigé vers une adresse tiers contenant un ou plusieurs

exploits, si une faille est présente sur le système d'exploitation ou un logiciels tiers, c'est l'infection (je

passe outre le fait que l'antivirus peut détecter et bloquer la tentative d'infection).
Voici un exemple d'exploitation de vulnérabilité sur Acrobat Reader :
La visite d'un site avec Internet Explorer 7 qui execute PDF malicieux, IE lance Acrobat Reader

(AcroRd32.exe) pour lire ce PDF.
page
5
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Acrobat Reader souhaite ensuite se connecter à une adresse (195.242.161.100) afin de télécharger le

code malicieux...
page
6
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Le code malicieux est téléchargé et Acrobat Reader tente de l'exécuter sous le nom de fichier ~.exe
Si le fichier est exécute ce dernier installe l'infection sur le système.
page
7
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Dans l'exemple ci-dessus, il n'y a qu'un exploit sur Acrobat Reader mais lors de la visite d'un site

hacké, ce sont des séries d'exploits qui sont testés afin d'avoir une chance que l'un d'eux fonctionne,

cela peut aller facilement à une vingtaine visant des logiciels différents : Quicktime, Winzip,

RealPlayer et bien souvent
Flash, Java et Adobe Reader via des PDF malicieux
.
Ce qu'il faut comprendre, c'est que pour avoir plus de chance d'infecter votre ordinateur, c'est une

série d'exploits visant Windows ou des logiciels tiers qui sont testés.
Le but étant pour les auteurs de malwares d'augmenter les chances d'infection en tentant d'attaquer

un maximum de logiciels différents puisque les chances qu'un logiciel non à jour sur le système visé

soit présent sont fortes.
Depuis mi-2008, c'est surtout les logiciels tiers et notamment les plugins de votre navigateur WEB qui

sont visés, le simple fait de ne pas maintenir à jour ces programmes permet l'infection de votre PC.
Vous trouverez des exemples et explications supplémentaires sur les pages suivants :

Exploits sur site WEB

page
8
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011

Flash, Java et Adobe Reader via des PDF malicieux

.

Le danger des failles de sécurité

Il faut donc bien comprendre qu'il est important de maintenir son système MAIS AUSSI ses logiciels à

jour, la simple présence d'un logiciel non à jour suffit pour infecter votre ordinateur. Je répète, c'est la

simple présence du logiciel non à jour qui met votre système en danger, logiciel utilisé ou non genre

rien, d'ailleurs dans le cas d'un logiciel non utilisé, il vaut mieux le désinstaller, vous gagnez en

sécurité car vous risquez d'oublier de le mettre à jour.
Conclusion : au lieu de vous demander quel est le meilleur antivirus, commencez par prendre

l'habitude de maintenir votre système et vos logiciels à jour.
Pour maintenir son système à jour, faites un
Scan de vulnérabilités
et
mettez vos logiciels à jour
.
page
9
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
3-
Les Rogues/Scareware : Faux Antivirus
Les rogues sont de faux antispywares ou programmes détectant des erreurs dans le registre

Windows, disque etc et vous propose de les réparer.
Les détections faites par ces programmes sont imaginaires et créer afin de vous proposer une version

payante pour soit disant désinfecter ou réparer.
Ce sont donc des arnaques. A ~ 40 euros le rogue, ces arnaques génèrent plusieurs milliers d'euros

par an.
Exemple d'un rogue indiquant avoir détecté des menaces :
Les rogues peuvent s'installer automatiquement avec un pack d'infection.
Ces infections affichent des alertes constantes afin de faire croire à l'internaute qu'il est infecté. Ces

alertes reprennent certains éléments de Windows afin de tromper l'internaute et lui faire croire que ces

alertes viennent bien de Windows rendant ces alertes légitimes.
Ces alerte sont sous forme de bulles provenant d'une icône en bas à droite à côté de l'horloge :
page
10
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Les infections peuvent aussi modifier le fond d'écran avec des couleurs généralement vives afin de

faire peur à l'internaute :
Enfin très souvent ces infections affichent d'innombrables popups d'alertes et redirigent l'internaute

vers des pages de téléchargement de rogues :
page
11
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Pour mieux tromper l'internaute certaines fenêtres reprennent des éléments de Windows comme par

exemple le centre de sécurité.
Pour beaucoup d'internautes, il est difficile de faire la différence, d'autant que certains noms de rogues

prennent des noms comme "Windows Antivirus" et certaines couleurs de Windows/Microsoft (bleu

etc).
L'internaute débutant peut alors croire que l'antivirus est tout simplement édité par Microsoft.
Fausse page de centre de sécurité :
Fausse page alerte Internet Explorer :
page
12
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Enfin certaines infections peuvent aussi effectuer
des redirections lors des recherches Google
afin

toujours d'afficher de fausses pages d'alertes de scan.
page
13
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Ces fausses pages de scans ne sont que des animations mais pour un internaute débutant, ce dernier

peut croire que c'est bien son disque dur qui est scanné et que des éléments néfastes sont bien

détectés.
A l'issu de ces faux scans un rogue est proposé en téléchargement pour désinfecter votre PC.
Depuis 2008, de nouvelles méthodes sont utilisés par les auteurs de malwares pour toucher plus

d'internautes.
Les auteurs de malwares :

créé d'innombrables "faux sites" contenant des mots clefs susceptibles d'être tapé dans les

moteurs de rechercher par les internautes. En cliquant sur un de ces "faux sites" depuis le

moteur de recherche, l'internaute sera redirigé vers une fausse page de scan.
Principe du

SEO poisoning
.

créé de fausses bannières de publicités (malvertizement), ces dernières peuvent se retrouver

sur des sites WEB légitimes et souvent à forte audiance. Un internaute qui visite ces sites

peut alors être redirigé vers une fausse page de scan. Exemple avec
malvertizement sur

jeuxvideo.com
Ces infections utilisent
le social engineering
à outrance pour tromper les internautes.
page
14
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Pour beaucoup d'internautes, la confusion peut être faite entre savoir si son PC est réellement infecté

par un malware qui ouvre de fausses popups d'alertes ou redirige lors des recherches Google.
Au delà cela, un internaute débutant qui n'est pas au fait de ces menaces et qui ne maitrise pas l'outil

informatique peut avoir du mal à faire la différence entre vrai et fausses alertes.
Encore une fois, informez vous avant de faire l'acquisition d'un programme.
Quelques liens sur le sujet :

Qu'est-ce que les Rogues/Scareware


Liste des rogues


Rogues et alertes de sécurité


Les faux codecs vecteurs d'infections rogues

page
15
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
4-
Les infections par disques amovibles (Clef USB/Disque dur externe)
Les infections par disques amovibles sont les infections qui se propagent par clef USB, appareil

photos numériques, disques durs externes etc.
Les clefs USB sont devenues des outils indispensables pour échanger des fichiers, on les branche

chez des amis, à l'école, dans un cyber café.... oui mais voilà les infections utilisent, de plus en plus,

ces supports pour se propager.
La simple utilisation de ces périphériques sur un ordinateur vérolé et votre périphérique est infecté et

permet l'infection des ordinateurs sur lesquels le périphérique sera branché, de retour chez vous, vous

branchez votre périphérique et vous infectez votre PC .
A son tour, tout appareil inséré sur votre PC nouvellement infecté sera vérolé, de quoi infecter à son

tour, tout votre entourage et ainsi de suite.
Il convient donc de faire attention sur quels PC vous insérez vos supports USB mais aussi les

supports USB utilisés sur votre PC (faites notamment attention lorsque vous laissez vos amis

brancher leurs clefs USB). Certains endroits sont plus propices pour récupérer ces infections

notamment les écoles, cyber cafés etc.. bref les lieux où beaucoup de clefs USB sont susceptibles

d'être branchés.
Il est possible de sécuriser son PC et périphérique pour éviter ces infections, vous trouverez aussi des

explications détaillées sur le fonctionne et les bonnes habitudes à prendre.
Une fois que vous aurez compris comment ces infections fonctionnent, vous pourrez les éviter :

Les infections par disques amovibles


Les infections par disques amovibles 2


Sécurité : Maitriser ses médias amovibles

page
16
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
5-
Mail : Infections / Hoax / Scam / Phishing
Comme beaucoup de gens, vous recevez peut-être plusieurs emails dont vous ne connaissez pas le

destinataire qui vous incite à cliquer sur un lien ou à ouvrir une pièce jointe. La règle est plutôt simple :

si vous ne connaissez pas le destinataire, supprimez le message. Même si le message paraît venir de

Microsoft ou de votre meilleur ami, vous devez faire attention, car l'adresse peut très bien avoir été

falsifiée ou votre meilleur ami peut très bien être infecté sans le savoir. Notez aussi que par exemple

si en plus, l'e-mail est écrit en anglais ou en français mal traduit, cela peut être un indice quant à la

dangerosité de l'e-mail.
En effet, certains de ces e-mails dont l'expéditeur est inconnu ou falsifié peut contenir, dans sa pièce

jointe ou dans un lien présent dans le message, une infection.
Faites donc preuve d'une grande attention, au moment d'ouvrir une pièce jointe ou de cliquer sur un

lien présent dans l'e-mail.
Les hoax sont des courriers électroniques propageant une fausse information.

Ces rumeurs tentent souvent de toucher la susceptibilité du destinataire avec des informations

négatives, afin de le pousser à transmettre le mail à ces proches. Les sujets abordés sont

souvent : des alertes virus, disparitions d'enfant, promesse de bonheur, pétition, etc..

A l'inverse, certains hoax tentent à faire passer de fausses informations en construisant une

forte argumentation, en mélangeant le vrai et le faux, en étalant leurs argumentations des vrai

chiffres comme des faux... En règle général, ces hoax ne donnent pas la source des chiffres.

Les hoax se terminent souvent par une phrase incitant le destinataire à propager la rumeur à

son tour en l'envoyant à ses proches : "Passez l'information, ça pourrait sauver une vie !"[/list]
Plus d'informations sur les hoax.
Le « scam » (« ruse » en anglais), sont des arnaques en général envoyées par e-mail.
Le Scam 419 / Scam nigerian est l'un des plus actif, d'origine africaine, consistant à extorquer des

fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un

pourcentage. L'arnaque du scam est issue du Nigeria, ce qui lui vaut également l'appellation « 419 »

en référence à l'article du code pénal nigérian réprimant ce type de pratique.
Cette arnaque se présente toujours sous la forme d'un courrier (ou aujourd'hui d'un pourriel), dans

lequel, par exemple, un jeune Africain appartenant à une riche famille vous explique son besoin de

transférer rapidement de l'argent à l'étranger pour une quelconque raison (principalement à cause de

la guerre civile régnant dans son pays). Il demande votre aide pour ce transfert d'argent, en échange

de quoi il vous offre un pourcentage sur la somme à transférer.
Une autre variante consiste à vous faire croire que vous êtes l'heureux gagnant d'une loterie ... à

laquelle vous n'avez même pas participé.
Ces arnaques promettent une grosse somme d'argent sous divers prétexte (transfert d'argent, loterie)

pour au final en extorquer.
Comment déceler un scam ?

L'e-mail est bourré de fautes d'orthographe ou français approximatif. (Traducteur

automatique)

Le domaine de l'adresse de l'expéditeur et son extension (@domaine.com) sont souvent

incohérents. (Un e-mail d'un prétendu nigérian, avec l'extension en .sk, Slovaquie. Un e-mail

d'une certaine loterie de Microsoft avec un domaine en yahoo.com …)

etc.
page
17
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Plus d'informations sur le scam, avec des exemples illustrés.
Enfin depuis peu, ces arnaques se sont diversifiées et sont maintenant présentes sur ebay ou le

boncoin sous forme de petites annonces très alléchantes.
Vous avez aussi une autre variante sous forme de chantage par webcam

:

http://www.malekal.com/2011/06/08/scam-419-police-de-linternet/
Via des sites de rencontre, vous entrez en contact avec une femme qui vous demande de vous

déshabiller par webcam.
Une fois que c'est fait, on vous fait chanter par des mails de la «

police internet

» en disant que vous

êtes pédophiles, le policier réclame de l'argent pour se taire, ou en vous menaçant de mettre la vidéo

en ligne ou à l'envoyer à vos amis contre de l'argent.
Le « Phishing » (« Hameçonnage » en français) est une technique frauduleuse utilisé par des pirates

afin d'obtenir des informations personnelles.
La plupart du temps, le but de cette technique est d'obtenir des informations bancaires afin de les

utiliser à mauvais escient. Le Phishing peut s'exercer, le plus souvent, soit par e-mail, soit par le biais

de sites web falsifiés.
La technique est simple, faire croire à l'internaute que l'e-mail ou le site web falsifié sur lequel il se

trouve, est véritablement celui de sa banque.
Heureusement, un détail peut vous permettre de reconnaitre ce genre d'e-mails ou de sites web :

L'adresse n'est jamais la même, même si elle y ressemble en général.
Par ailleurs, vous devez absolument retenir que JAMAIS votre banque ne vous demanderai par e-mail

vos informations bancaires, ils connaissent les risques du Phishing.
Retenez également que le Phishing ne s'utilise pas exclusivement pour voler des informations

bancaires, cela peut arriver aussi pour voler vos identifiants PayPal, ou encore vos informations de

comptes de jeux vidéos ...
Plus d'informations sur le Phishing.
page
18
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
6-
Cracks Keygens et P2P
Pas de leçon de morale sur le piratage, juste quelques informations pour mesurer les risques...
Pour utiliser des logiciels payants sans débourser le moindre centime, nombreux sont ceux qui

enlèvent les protections à l'aide d'un programme appelé communément crack ou inscrivent un numéro

de série généré par un keygen. Toutes ces applications facilitant le piratage ne sont pas forcément

contaminées, mais les auteurs de malwares profitent de l'intérêt pour ce genre de programmes pour

faire passer leurs créations malignes.
Ainsi, en pensant faire sauter la protection d'un logiciel, l'utilisateur trop confiant exécute un

programme malveillant avec ses droits d'administrateur, ce qui permettra l'infection du système.
L'infection
Bagle
qui désactive les Antivirus et les systèmes de nettoyage...
Extrait de scan chez Virus Total:
File keygen.exe received on 10.21.2008 12:41:09 (CET)
Current status: finished
Result: 10/36 (27.78%)
Compact Compact
AntiVir 7.9.0.5 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20
Win32/Themida
BitDefender 7.2 2008.10.21 -
CAT-QuickHeal 9.50 2008.10.21
(Suspicious) - DNAScan
F-Secure 8.0.14332.0 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.21
Trojan-Downloader.Win32.Bagle.aed
[
McAfee 5409 2008.10.21 -
Microsoft 1.4005 2008.10.21 -
NOD32 3541 2008.10.21
Win32/Bagle.QA
[
Panda 9.0.0.4 2008.10.21 -
PCTools 4.4.2.0 2008.10.20 -
Symantec 10 2008.10.21 -
TheHacker 6.3.1.0.121 2008.10.21
W32/Behav-Heuristic-064
TrendMicro 8.700.0.1004 2008.10.21 -
On note que beaucoup d'antivirus sont passés à côté de l'infection. Dans ce cas, un utilisateur d'avast

ou de panda (par exemple) aurait laissé se charger l'infection sans rien voir passer.
La palme des infections liées aux cracks revient à
Virut/Virtob
:
Extrait de scan chez Virus Total:
Fichier Rising_Star_188846661_svchost.exe reçu le 2009.02.13 11:18:51 (CET)
Antivirus
Version
Dernière mise à jour
Résultat
a-squared
4.0.0.93
2009.02.13
Virus.Win32.Virut.q!IK
page
19
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
AntiVir
7.9.0.76
2009.02.13
W32/Virut.Gen
n
Avast
4.8.1335.0
2009.02.12
-
AVG
8.0.0.237
2009.02.13
Win32/Virut
BitDefender
7.2
2009.02.13
-
DrWeb
4.44.0.09170
2009.02.13
Win32.Virut.56
GData
19
2009.02.13
-
K7AntiVirus
7.10.628
2009.02.12
Virus.Win32.Virut.CF1
Kaspersky
7.0.0.125
2009.02.13
Virus.Win32.Virut.ce
[
McAfee
5524
2009.02.12
W32/Virut.n.gen
[
Microsoft
1.4306
2009.02.13
Virus:Win32/Virut.BM
NOD32
3850
2009.02.13
Win32/Virut.NBK
Norman
6.00.02
2009.02.12
W32/Virut.BS
Panda
10.0.0.10
2009.02.12
Suspicious file
Sophos
4.38.0
2009.02.13
W32/Scribble-A
Symantec
10
2009.02.13
W32.Virut.CF
TrendMicro
8.700.0.1004
2009.02.13
PE_VIRUX.A-4
[/quote]
Ce virus est capable d'infecter des centaines de fichiers légitimes en quelques heures. Pas d'autre

solution que le formatage.
Il a fait beaucoup de ravages au début de l'année 2009 comme le souligne le Groupe antimalware du

Forum Futura dans son article:
Virut/Scribble : le retour d'une infection redoutable

.

Plus d'informations sur Virut/Virtob
.
Sachez que les auteurs de malwares créent de faux sites de cracks où tous les cracks proposés sont

infectieux, d'autres sites contiennent des exploits, si votre navigateur n'est pas à jour, c'est l'infection

assurée.
En outre, certaines infections issues de cracks proposés sur les réseaux P2P, une fois installées,

mettent à disposition des cracks piégés sur le réseau P2P pour que d'autres internautes les

téléchargent et s'infectent :
exemple avec l'infection Security Toolbar 7.1
Comment éviter ce genre de mésaventure...

En préférant les
logiciels libres
ou les
]freewares/gratuiciels
.

Pour les accrocs, dans la majorité des cas, un simple scan de fichier chez
Virus Total

permettrait d'éviter la catastrophe. Sauf en cas d'une infection encore inconnue des éditeurs

antivirus.
Pour aller plus loin:

Cracks/P2P


Le danger des cracks !

page
20
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
7-
PUP/LPI

: Logiciels potentiellement indésirables - Adwares, barres d'outils etc
Une nouvelle vague de logiciels potentiellement indésirables est en pleine expansion.
Le but est simple proposer des logiciels en y ajoutant des logiciels additionnels

: barre d'outils,

adwares ou autres.
L'éditeur du logiciel gagne de l'argent à chaque installation du logiciel additionnel réussie.
Seulement afin de gagner plus d'argent, des éditeurs de logiciel ont recours à des méthodes plus que

discutables.
Outre le fait que les procédés sont discutables, l'accumulation de ces programmes additionnels non

essentiels councourent à ralentir condésirablement l'ordinateur (peux aussi faire planter les

navigateurs WEB).
Certains font aussi du tracking anonymes (récupérations des thématiques de sites visités).
Ces logiciels sont proposés via des publicités commerciales sur les moteurs de recherche ou via des

publicités.
Se reporter à la page

:
Détection PUP/LPI : Potentially Unwanted Program
Sur les forums de désinfection, on retrouve souvent les mêmes programmes qui posent problème, à

savoir :
page
21
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Faux plugins VLC :
avec les packs ShoppertsReports, Zango, Hotbar, QuestScan etc
Les programmes type
Offerbox, SweetIM, FissaSearch
Search Settings / Dealio Toolbar / PDFForge Toolbar
WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player
Les programmes Eorezo
/
PCTuto
FoxTab FLV Player : DealPly / Babylon Toolbar
Par exemple dans la capture ci-dessous, la popup jaune imite la barre de proposition d'installation de

plugin de Firefox – ce qui peux tromper les internautes

- afin de faire installer un VLC avec des

programmes additionnels :
Ce qui donne ceci

:
page
22
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
page
23
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Des éditeurs prennent donc des logiciels libres, développés par des personnes passionnées et les

redistribuent en y ajoutant des logiciels additionnels afin de gagner de l'argent

:

http://www.malekal.com/2011/07/24/kreaffiliation-aedge-performance-faux-vlc-compagnies/
Ces programmes se désinstallent bien en général, voir la page

:

http://www.malekal.com/2011/08/15/desinstaller-un-programme-et-extensions-firefox/
Attention donc
aux sources de téléchargements
et privilégiez, les sites sûr comme Clubic par

exemple.
page
24
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
8-
Vers et arnaques sur MSN/Facebook
Les vers MI ( messagerie instantanée ) se propagent via les logiciels correspondant à cela ( MSN ,

Yahoo Messenger , ICQ etc ) et se présentent sous la forme d'un message prétendument envoyé par

un contact (Cela peut aussi se produire même quand le contact est Hors-Ligne). Il existe exactement

la même chose sur Facebook via des messages de commentaires avec des liens.
Quelques exemples de message :

défaut de la reproduction sonore ! regard à cette vieille image que j'ai trouvé :

mes photos chaudes :D

haha vous devriez rendre ceci votre défaut pic sur le myspace ou quelque chose :D

j'ai fais pour toi ce photo album tu dois le voire :p

hé veux tu voir mes image de vacance??

le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci

hé je vais mettre cette image de nous sur mon myspace :>

Check out my nice photo album. :D

wanna see the pics from my vacation? :>

OMG YOU HAVE TO SEE THIS PICTURE!!!! :D

IS THIS REALLY YOU ??? i cant remember who sent it to me...

My friend took nice photos of me.you Should see em loL!

I found these old school pictures... LOL :)

Here are my private pictures for you [/list]
Voici le rapport de
VirusTotal*

de l'un des fichiers téléchargés :
Fichier viewimage.php reçu le 2009.02.08 21:57:53 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours

d'analyse terminé NON TROUVE ARRETE
Résultat: 17/39 (43.59%)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.08
Backdoor.Rbot!IK
AhnLab-V3 5.0.0.2 2009.02.07 -
AntiVir 7.9.0.76 2009.02.08
DR/Agent2.dfj
Authentium 5.1.0.4 2009.02.08 -
Avast 4.8.1335.0 2009.02.08 -
AVG 8.0.0.229 2009.02.08 -
BitDefender 7.2 2009.02.08
MemScan:Backdoor.RBot.YBJ
CAT-QuickHeal 10.00 2009.02.07
TrojanDropper.Agent.yyg
ClamAV 0.94.1 2009.02.08 -
Comodo 971 2009.02.08 -
page
25
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
DrWeb 4.44.0.09170 2009.02.08
BackDoor.IRC.Sdbot.3762
eSafe 7.0.17.0 2009.02.08
Win32.VirToolCeeInje
eTrust-Vet 31.6.6346 2009.02.07 -
F-Prot 4.4.4.56 2009.02.08 -
F-Secure 8.0.14470.0 2009.02.08 -
Fortinet 3.117.0.0 2009.02.08 -
GData 19 2009.02.08
MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2009.02.08
Backdoor.Rbot
K7AntiVirus 7.10.623 2009.02.07 -
Kaspersky 7.0.0.125 2009.02.08
Trojan.Win32.Agent2.dfj
McAfee 5520 2009.02.08 -
McAfee+Artemis 5520 2009.02.08
Generic!Artemis
Microsoft 1.4306 2009.02.08
VirTool:Win32/CeeInject.gen!J
NOD32 3836 2009.02.07 -
Norman 6.00.02 2009.02.06
Ircbot.AMAM.dropper
nProtect 2009.1.8.0 2009.02.08
MemScan:Backdoor.RBot.YBJ
Panda 9.5.1.2 2009.02.08 -
PCTools 4.4.2.0 2009.02.08 -
Prevx1 V2 2009.02.08 -
Rising 21.15.50.00 2009.02.07 -
SecureWeb-Gateway 6.7.6 2009.02.08
Trojan.Dropper.Agent2.dfj
Sophos 4.38.0 2009.02.08
Mal/Behav-243
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.08
Backdoor.IRC.Bot
TheHacker 6.3.1.5.249 2009.02.08 -
TrendMicro 8.700.0.1004 2009.02.06 -
VBA32 3.12.8.12 2009.02.08 -
ViRobot 2009.2.6.1594 2009.02.06 -
VirusBuster 4.5.11.0 2009.02.08
Trojan.DR.Agent.Gen.15
Information additionnelle
File size: 102913 bytes
MD5...: 891accd8bec7b745a893e140857b642b
SHA1..: e3607a8c2e4609dcd7659f4dcd1d8c31147739bd
* VirusTotal est un site où on upload un fichier pour le faire analyser par un grand nombre d'antivirus.

Ceci permet de mieux juger un fichier sur lequel on a des doutes.
Conclusion : Ne télécharger jamais un fichier provenant d'un lien envoyé par vos contacts -

surtout si le contact est hors ligne.
page
26
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Pour plus d'informations sur les vers MSN, lire la page
Virus MSN : explications, fonctionnement et

parade
Il existe aussi maintenant la même chose au niveau des réseaux sociaux, via des commentaires avec

des liens qui redirigent vers de fausses pages de vidéos

:
Exemple avec
Net-Worm.Win32.Koobface sur FaceBook et MySpace
page
27
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Depuis un an, une autre forme d'arnaque est apparu.
Des sites proposent de vérifier si vos contacts vous ont bloqué.. Pour cela, vous devez saisir les

informations de connexion MSN (nom d'utilisateur et mot de passe)... Ces services, une fois en

possession de ces identifiants vont se connecter avec votre compte et envoyer des messages pour

faire de la publicité pour ces services.
page
28
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
En général, les conditions d'utilisation (souvent en anglais) expliquent clairement que le service va

utiliser le compte pour faire de la publicité.
page
29
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
Conclusion :

Ne donner jamais vos informations de connexion surtout lorsqu'il s'agit de votre mot de passe

Lisez les conditions d'utilisation et en cas de doute, n'utilisez pas le service.
page
30
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
9-
Conclusion
En espérant que cet article vous ouvrira les yeux sur les menaces sur Internet.
Si vos logiciels de protection sont des alliés, ils ne font pas tout... un minimum de connaissance

informatique et sur les propagations des menaces, de bonnes habitudes vous permettront de ne plus

infecter votre PC.
Vous trouverez de plus amples informations sur la propagation des menaces sur la page :
Sécuriser

son ordinateur et connaître les menaces
.
La sécurité de votre PC ne se résume pas aux logiciels installés, lire :
La sécurité de son PC, c'est

quoi ?
Si vous souhaitez participer à la lutte AntiMalware, vous pouvez diffuser ce document sur votre site,

forum, envoyer la version PDF par mail à vos amis ou simplement mettre la bannière en lien.
Le code html :
<a href="http://www.malekal.com/ProjetAntiMalwares.php"><img style="border: 0px solid ; width:

262px; height: 150px;" alt="Projet AntiMalware"
src="http://www.malekal.com/fichiers/projetantimalwares/campagne_fightantimalware.gif"></a>
<br>
Le code html :
<a href="http://www.malekal.com/ProjetAntiMalwares.php"><img alt="Projet AntiMalware"

src="
http://www.malekal.com/fichiers/projetantimalwares/campagne_fightantimalware2.gif
"

width="453" height="144"></a>
<br>
Si vous êtes simple membre d'un forum, vous pouvez mettre cette bannière en signature!
page
31
/
32
Prévention & Sécurité sur internet (version courte)
Aout 2011
code bbcode pour signature :
[url=http://www.malekal.com/ProjetAntiMalwares.php]
[img]http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif[/img][/url]
Plus d'informations :
http://www.malekal.com/ProjetAntiMalwares.php
Remerciements à Sham-Rock, BlackTig3r, Soni93200, tetar159 et Shimik_Root
page
32
/
32