Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

"Contrôle" sécurité

Vous avez des problèmes sur l'utilisation du forum ?
Des commentaires à faire ?
C'est ici !
Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

"Contrôle" sécurité

Message par Florian671 »

Voilà, j'ai donc décider de corriger au mieux la partie Sécurité, en espérant que personne ne l'ai fait avant. J'espère qu'il n'y aura aucune erreur de ma part sur les corrections, le cas échéant merci de me le signaler PDT_018 . Voilà j'expère que cela serviera à quelque chose et que ça t'aidera Malekal avec ton super site PDT_008.

La page est : https://www.malekal.com/outils_supprimer_spywares.php

Outils de détection et suppression de malwares/spywares

Il suffit de télécharger l'un de ces outils en fonction du malware qui infecte votre machine, et de l'executer, ce dernier va scanner l'ordinateur et supprimer le malware.

Je vous conseille aussi d'aller faire un tour sur la page des Removal Tool de Symantec
Si vous rencontrez toujours des problèmes, générez un log à l'aide d'HijackThis - mode d'emploi et venez le poster sur le forum
Vous pouvez aussi scanner votre ordinateur en ligne avec un antivirus en ligne

Notez enfin que vous trouverez une liste plus importante de programmes de sécurités dans la partie Programmes Utiles

Voici une liste de fix.
Une fix étant un programme qui supprime une infection particulière, veillez donc bien à vérifier qu'il correspond à l'infection que vous avez sinon ça ne sert à rien de l'utiliser.

CWS.SmartKiller et CWShredder permettent de supprimer CoolWWWSearch.SmartKiller et ses variantes :
1. CWS.SnugWeb
2. CWS.CoolSearchA
3. CWS.EZSearch
4. CWS.CraftSearch
5. CWS.FindOnline
6. CWS.ShopNav.D
7. CWS.WebSearch

PV.ZIP est un programme qui permet de supprimer des CWS qui possèdent des .dll cachées

SmitFraudFix est un utilitaire qui permet de supprimer les infections de types ( pas de "s" ) Desktop Hijack (détournement du bureau). SmitFraudFix supprime un grand nombre d'infections :
Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound, AlphaCleaner, AdwarePunisher, SpywareQuake, MalwareWipe, Spyware Soft Stop

Ces infections étant généralement utilisées par les auteurs de Rogues pour vendre leur "faux antispywares"

Combofix de sUBs permet de nettoyer :
Les infections Look2me
PurityScan
navipromo/Magic.Control
SurfSideKick / ToolBar888 / 888bar
Virtumonde / Win32:VBStat-c / Trojan-Spy.Win32.VBStat.c
Divers rootkits et divers backdoors.
Infections chinoises (version différente que celles citées ci-dessous)

lance la suppression, killbox vous demande à ( pas de "à") alors de redémarrer l'ordinateur si vous avez coché l'option Delete on Reboot

DelInvFile est un programme qui se fait fort de supprimer les fichiers avec un nom invalide en utilisant la forme UNC -> http://www.purgeie.com/delinv/index.htm (le lien n'est pas cliquable)

Delete FXP Files prétend supprimer les dossiers insupprimables -> http://www.jrtwine.com/Products/DelFXPFiles/index.htm (le lien n'est pas cliquable)

Certains malwares modifient le fichier HOSTS de Windows (plus d'informations sur le fichier HOST : Le fichier HOSTS dans la résolution DNS sous Windows et GNU/Linux) afin de vous empêchez de consulter les sites des éditeurs d'antivirus, effectuer des mises à jour, télécharger des anti-spywares etc..
Télécharger The Hoster

La suite se trouve dans le tableau des infections types :

Téléchargez : LQfix.zip
Lancez LQfix.bat

Téléchargez :
SpSeHjfix112.zip
SpSeHjfix112.zip

Telechargez Smitfraudfix
Dézipez le
cliquez sur Smitfraudfix.cmd
Lancez l'option 2 (ET PAS AUTRE CHOSE)

Téléchargez VundoFix.exe


Les lignes 015 peuvent être suppriméses (un "s" en trop entre le "é" et le "e") avec DelDomain.inf

Possibilité d'utiliser combofix avec l'option /v
Par exemple pour une ligne : O20 - Winlogon Notify: nnnmk - C:\WINNT\SYSTEM32\nnnmk.dll
--> combofix /v nnnmk

Utilisez combofix

FixeWareout

Utilisez le removetool de Norton

Utilisez haxfix

Pas la peine d'aller en mode sans échec :
Téléchargez et lancez LSPfix
Déconnectez-vous d'Internet et fermez toutes les fenêtres d'Internet Explorer.
Cochez la case "I know what I'm doing"
Sélectionnez toutes les instances des dll contenue dans 010 du rapport d'HijackThis
Faites glisser du panneau de gauche "keep" au panneau de droite "Remove".
Cliquez sur le bouton "Finish".

Téléchargez et enregistrez sur votre bureau win32delfkil et placez le sur votre bureau.
Double-cliquez sur win32delfkil.exe et cliquez sur installeren
dans le dossier win32delfkil, lancez fix.bat.
Le pc va redemarrer tout seul.

Dll utilisée par des Dialers
Se trouve dans le dossier Windows
Utilisez KillBox pour supprimer le fichier
Il est conseillé de scanner votre ordinateur en mode sans échec avec ewido

Télécharge The Hoster
-- Dézippez ce fichier sur votre bureau
-- Hors connexion navigateur fermé ainsi que toutes les applications en cours
-- Double-cliquez sur hoster.exe
-- Cliquez sur Restore Original Hosts et ensuite sur Ok
Dernière modification par Florian671 le 09 janv. 2008 20:29, modifié 1 fois.

Citoyen

Re: "Controle" sécurité

Message par Citoyen »

Salut.


Peaufinage de correction de ce qui précède, en orange

:bye2:

"Contrôle" sécurité



Outils de détection et suppression de malwares/spywares

Il suffit de télécharger l'un de ces outils en fonction du malware qui infecte votre machine, et de l'exécuter, ce dernier va scanner l'ordinateur et supprimer le malware.

Je vous conseille aussi d'aller faire un tour sur la page des Removal Tool de Symantec
Si vous rencontrez toujours des problèmes, générez un log à l'aide d'HijackThis - mode d'emploi et venez le poster sur le forum
Vous pouvez aussi scanner votre ordinateur en ligne avec un antivirus en ligne

Notez enfin que vous trouverez une liste plus importante de programmes de sécurité dans la partie Programmes Utiles

Voici une liste de fix.
Une fix étant un programme qui supprime une infection particulière, veillez donc bien à vérifier qu'il correspond à l'infection que vous avez sinon ça ne sert à rien de l'utiliser.

CWS.SmartKiller et CWShredder permettent de supprimer CoolWWWSearch.SmartKiller et ses variantes :
1. CWS.SnugWeb
2. CWS.CoolSearchA
3. CWS.EZSearch
4. CWS.CraftSearch
5. CWS.FindOnline
6. CWS.ShopNav.D
7. CWS.WebSearch

PV.ZIP est un programme qui permet de supprimer des CWS qui possèdent des .dll cachées

SmitFraudFix est un utilitaire qui permet de supprimer les infections de type Desktop Hijack (détournement du bureau). SmitFraudFix supprime un grand nombre d'infections :
Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound, AlphaCleaner, AdwarePunisher, SpywareQuake, MalwareWipe, Spyware Soft Stop

Ces infections étant généralement utilisées par les auteurs de Rogues pour vendre leur "faux antispywares"

Combofix de sUBs permet de nettoyer :
Les infections Look2me
PurityScan
navipromo/Magic.Control
SurfSideKick / ToolBar888 / 888bar
Virtumonde / Win32:VBStat-c / Trojan-Spy.Win32.VBStat.c
Divers rootkits et divers backdoors.
Infections chinoises (version différente que celles citées ci-dessous)

Lancez la suppression, killbox vous demande alors de redémarrer l'ordinateur si vous avez coché l'option Delete on Reboot

DelInvFile est un programme qui se fait fort de supprimer les fichiers avec un nom invalide en utilisant la forme UNC -> http://www.purgeie.com/delinv/index.htm

Delete FXP Files prétend supprimer les dossiers insupprimables -> http://www.jrtwine.com/Products/DelFXPFiles/index.htm

Certains malwares modifient le fichier HOSTS de Windows (plus d'informations sur le fichier HOST : Le fichier HOSTS dans la résolution DNS sous Windows et GNU/Linux) afin de vous empêcherde consulter les sites des éditeurs d'antivirus, effectuer des mises à jour, télécharger des anti-spywares etc..
Télécharger The Hoster

La suite se trouve dans le tableau des infections types :

Téléchargez : LQfix.zip
Lancez LQfix.bat

Téléchargez :
SpSeHjfix112.zip
SpSeHjfix112.zip

Téléchargez Smitfraudfix
Dézipez le
Cliquez sur Smitfraudfix.cmd
Lancez l'option 2 (ET PAS AUTRE CHOSE)

Téléchargez VundoFix.exe


Les lignes 015 peuvent être supprimées avec DelDomain.inf

Possibilité d'utiliser combofix avec l'option /v
Par exemple pour une ligne : O20 - Winlogon Notify: nnnmk - C:\WINNT\SYSTEM32\nnnmk.dll
--> combofix /v nnnmk

Utilisez combofix

FixeWareout

Utilisez le removeespacetool de Norton

Utilisez haxfix

Pas la peine d'aller en mode sans échec :
Téléchargez et lancez LSPfix
Déconnectez-vous d'Internet et fermez toutes les fenêtres d'Internet Explorer.
Cochez la case "I know what I'm doing"
Sélectionnez toutes les instances des dll contenues dans 010 du rapport d'HijackThis
Faites glisser du panneau de gauche "keep" au panneau de droite "Remove".
Cliquez sur le bouton "Finish".

Téléchargez et enregistrez sur votre bureau win32delfkil et placez-le sur votre bureau.
Double-cliquez sur win32delfkil.exe et cliquez sur installeren
dans le dossier win32delfkil, lancez fix.bat.
Le pc va redémarrer tout seul.

Dll utilisée par des Dialers
Se trouve dans le dossier Windows
Utilisez KillBox pour supprimer le fichier
Il est conseillé de scanner votre ordinateur en mode sans échec avec ewido

Téléchargez The Hoster
-- Dézippez ce fichier sur votre bureau
-- Hors connexion navigateur fermé ainsi que toutes les applications en cours
-- Double-cliquez sur hoster.exe
-- Cliquez sur Restore Original Hosts et ensuite sur Ok

Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: "Controle" sécurité

Message par Malekal_morte »

Merci!

Corrigé!
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

Re: "Controle" sécurité

Message par Florian671 »

La page est : pourquoi-et-comment-je-me-fais-infecter-t3259.html

Cet article explique comment les infections se propagent via internet.
Après avoir lu cet article, vous connaîtrez les mécanismes utilisés pour installer les infections sur votre ordinateur ainsi que des conseils afin de mieux le protéger.

Les infections sont des programmes eux aussi, pour s'installer sur un système ils ont donc besoin "d'un programme d'installation".
Il existe donc un fichier contenant l'application, qui, une fois executé sur l'ordinateur, va installer l'infection sur le système.
Le fichier contenant l'application se nomme le dropper.. une fois exécuté, il "drop" (du verbe to drop --> déposer) l'infection dans le système.

Ceci montre aussi qu'ouvrir n'importe quel fichier qui vous tombe sous la main, sans vérifier la source, rend l'infection de votre ordinateur très facile. - (pas de tiret) Certains diront "pas grave mon antivirus me protège" oui et non... Les droppers utilisent de nombreuses méthodes pour que les antivirus ne détectent pas l'infection (cryptage, package etc..), plusieurs milliers de nouveaux droppers (et donc d'infections) sortent par jour afin de noyer les éditeurs de logiciels de sécurité et s'assurer de l'infection des ordinateurs. Pour plus d'informations sur les Antivirus VS droppers, je vous invite à suivre cet article un point sur les antivirus.

Dans le cas d'une faille sur le navigateur WEB (ou un de ses composants JAVA/Flash etc..), le piège est très facile à tendre :
1/ L'internaute se connecte via un site piégé.. pour attirer l'utilisateur.. l'auteur de malwares va bien sûr créer un site sur un thème à la mode pour attirer un maximum de monde afin d'infecter un maximum d'ordinateurs (cracks, site pornographique, émoticons, jeux etc..).
2/ L'internaute avec son navigateur non à jour se connecte sur le site, et ce faisant télécharge la page piégée, l'exécution du dropper se fait alors automatiquement en exploitant la faille du navigateur WEB.
Dans le cas où l'antivirus détecte le dropper (ou le fichier exploit).. l'internaute recevra une simple alerte de son antivirus ne se doutant pas que son navigateur WEB n'est pas à jour et qu'il est vulnérable.

Le schéma ci-dessous illustre ceci. La page du forum Le danger des cracks ! montre aussi une infection depuis un site de cracks exploitant une faille de sécurités pas de "s"... vous pouvez voir comment l'infection du système est fulgurante.
Dans le cas où l'antivirus ne voit rien, la machine est infectée.

Citoyen

Re: "Controle" sécurité

Message par Citoyen »

Un seul petit oubli de ces p..... d'accents aigus PDT_008



Cet article explique comment les infections se propagent via internet.
Après avoir lu cet article, vous connaîtrez les mécanismes utilisés pour installer les infections sur votre ordinateur ainsi que des conseils afin de mieux le protéger.

Les infections sont des programmes eux aussi, pour s'installer sur un système ils ont donc besoin "d'un programme d'installation".
Il existe donc un fichier contenant l'application, qui, une fois exécuté sur l'ordinateur, va installer l'infection sur le système.
Le fichier contenant l'application se nomme le dropper.. une fois exécuté, il "drop" (du verbe to drop --> déposer) l'infection dans le système.

........................................

Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: "Controle" sécurité

Message par Malekal_morte »

corrigé, merci.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

Re: "Controle" sécurité

Message par Florian671 »

La page se trouve à l'adresse : le-danger-et-fonctionnement-des-rootkits-t3500.html

Les éléments en rouges appartiennent à des rootkits. Nous pouvons voir :
- des modules chargés au niveau du noyau (kernel) Windows
- un processus (Process) et une library (librairie): C:\Windows\System32\koos.exe
- un service pe386

A partir de gmer.. j'ai supprimé divers éléments du rootkit (service/modules).
A partir d'IceSword, j'ai copié le fichier koos.exe sur le bureau et laissé celui d'origine en place dans system32.

Une fois installé, le rootkit est le maître du système et peut faire ce pour quoi il a été programmé comme :
- Ouvrir un accès aux pirates(port ouvert)
- Transformer l'ordinateur en machine à envoyer de spams et ceci à l'insu du firewall
- Désactiver/supprimer les antivirus/firewall, c'est par exemple le cas de : Win32.Bagle
- Télécharger & installer d'autres malwares
- etc..

Enfin et surtout pour éviter toute infection, il vous suffit de suivre les conseils classiques contenus dans la page : Pourquoi et comment je me fais infecter?, à savoir ne pas surfer sur des sites non recommandés, télécharger des cracks sur des sites ou des réseaux P2P vous conduira tôt ou tard à l'infection.

Le meilleur anti-rootkit reste, pour ma part est : Gmer

Vous trouverez sur cette page, des exemples et aides pour supprimer les rootkits : https://www.malekal.com/supprimer_rootkit_windows.php

A l'heure actuelle, si vous téléchargez "n'importe quoi" (P2P, cracks), un antivirus & un firewall ne vous protégeront pas contre ces infections.
Une fois infecté, ils ne vous permettront pas non plus de les supprimer.

Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: "Controle" sécurité

Message par Malekal_morte »

Corrigé, merci.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

Re: "Controle" sécurité

Message par Florian671 »

Pa page se trouve à l'adresse : les-exploits-sur-les-sites-web-pieges-t3563.html

Les antivirus étant maintenant capables de protéger les internautes efficacements contre les vers par mails, les internautes étants de plus en plus avertis par cette méthode de propagation, les auteurs de malwares utilisent de plus en plus les exploits sur les sites WEB pour infecter les internautes ( voir la news Sophos : ftopic3329.php ).

Pour infecter votre ordinateur, l'auteur du malware doit réussir à exécuter sur votre ordinateur le fichier à l'origine de l'infection sans que les logiciels de protections ne le détectent/interceptent.
Une fois l'infection installée, votre antivirus peut détecter certains fichiers composants l'infection mais en règle générale, ce dernier n'arrive pas à détecter la totalité ou supprimer l'infection en entier surtout quand l'infection est composée de rootkits.

La première difficulté pour installer une infection est donc de faire exécuter le fichier à l'origine de l'infection sur le système ciblé.
C'est à ce moment précis que les exploits vont être utilisés.
En visitant une page Web piégée, celle-ci va exploiter une faille de sécurité de votre navigateur WEB afin de télécharger et exécuter à votre insu le fichier à l'origine de l'infection.

Pour se faire, les auteurs des malwares vont créer une multitude (des centaines) de sites WEB piégés, si possible sur des thèmes suceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier à l'origine de l'infection.

L'iframe étant un cadre contenant une page html qui va être automatiquement exécuté par le navigateur, la taille de 1 pixel permet de cacher celle-ci de l'internaute au moment de consulter la page WEB.
L'iframe va alors rediriger l'internaute à son insu sur le site contenant l'exploit puis permettre le téléchargement et l'exécution du fichier à l'origine de l'infection au sein du système.

En bleu, nous avons un script offusqué. Ce dernier nous donne :

Ce sont donc deux exploits qui vont permettre le téléchargement et l'exécution fichiers à l'origine de l'infection à l'insu de l'internaute.

Pour résumer : le site WEB piégé contient deux iframes invisibles à l'utilisateur. Au moment de consulter la page, le navigateur va se connecter au site WEB contenu dans les iframes et ceci de manière automatique.
La première iframe va lancer deux exploits sur le navigateur WEB qui vont exploiter une faille de sécurité sur le navigateur afin de permettre le téléchargement et l'execution des fichiers à l'origine de l'infection à l'insu de l'internaute.

Les auteurs de malwares vont créer des centaines de sites piégés afin de permettre l'installation d'infections sur les ordinateurs des internautes.
Un simple programme permet aux auteurs de malwares de mettre à jour leurs centaines de sites pour faire pointer vers de nouveaux exploits qui vont exploiter les dernières failles de sécurité ou tout simplement lorsque le fichier à l'origine de l'infection est trop bien détecté par les antivirus.

Pour ne pas vous faire infecter par ces exploits, maintenez votre système à jour, bannissez les versions obsolètes des navigateurs WEB et utilisez un navigateur alternatif que vous
sécurisez ( voir Sécuriser son ordinateur (version courte) ).

Citoyen

Re: "Controle" sécurité

Message par Citoyen »

Bonsoir Florian et tout le monde

qq oublis, très peu....


page se trouve à l'adresse : ftopic3563.php

Les antivirus étant maintenant capables de protéger les internautes efficacement contre les vers par mails, les internautes étant de plus en plus avertis par cette méthode de propagation, les auteurs de malwares utilisent de plus en plus les exploits sur les sites WEB pour infecter les internautes ( voir la news Sophos : ftopic3329.php ).

Pour infecter votre ordinateur, l'auteur du malware doit réussir à exécuter sur votre ordinateur le fichier à l'origine de l'infection sans que les logiciels de protections ne le détectent/interceptent.
Une fois l'infection installée, votre antivirus peut détecter certains fichiers composant l'infection mais en règle générale, ce dernier n'arrive pas à détecter la totalité ou supprimer l'infection en entier surtout quand l'infection est composée de rootkits.

La première difficulté pour installer une infection est donc de faire exécuter le fichier à l'origine de l'infection sur le système ciblé.
C'est à ce moment précis que les exploits vont être utilisés.
En visitant une page Web piégée, celle-ci va exploiter une faille de sécurité de votre navigateur WEB afin de télécharger et exécuter à votre insu le fichier à l'origine de l'infection.

Pour se faire, les auteurs des malwares vont créer une multitude (des centaines) de sites WEB piégés, si possible sur des thèmes suceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier à l'origine de l'infection.

L'iframe étant un cadre contenant une page html qui va être automatiquement exécutée par le navigateur, la taille de 1 pixel permet de cacher celle-ci de l'internaute au moment de consulter la page WEB.
L'iframe va alors rediriger l'internaute à son insu sur le site contenant l'exploit puis permettre le téléchargement et l'exécution du fichier à l'origine de l'infection au sein du système.

En bleu, nous avons un script offusqué. Ce dernier nous donne :

Ce sont donc deux exploits qui vont permettre le téléchargement et l'exécution fichiers à l'origine de l'infection à l'insu de l'internaute.

Pour résumer : le site WEB piégé contient deux iframes invisibles à l'utilisateur. Au moment de consulter la page, le navigateur va se connecter au site WEB contenu dans les iframes et ceci de manière automatique.
La première iframe va lancer deux exploits sur le navigateur WEB qui vont exploiter une faille de sécurité sur le navigateur afin de permettre le téléchargement et l'exécution des fichiers à l'origine de l'infection à l'insu de l'internaute.

Les auteurs de malwares vont créer des centaines de sites piégés afin de permettre l'installation d'infections sur les ordinateurs des internautes.
Un simple programme permet aux auteurs de malwares de mettre à jour leurs centaines de sites pour faire pointer vers de nouveaux exploits qui vont exploiter les dernières failles de sécurité ou tout simplement lorsque le fichier à l'origine de l'infection est trop bien détecté par les antivirus.

Pour ne pas vous faire infecter par ces exploits, maintenez votre système à jour, bannissez les versions obsolètes des navigateurs WEB et utilisez un navigateur alternatif que vous
sécurisez ( voir Sécuriser son ordinateur (version courte) ).

.................................................................................................................................... PDT_028

La page se trouve à l'adresse : ftopic3500.php

Les éléments en rouge appartiennent à des rootkits. Nous pouvons voir :
- des modules chargés au niveau du noyau (kernel) Windows
- un processus (Process) et une library (librairie): C:\Windows\System32\koos.exe
- un service pe386

A partir de gmer.. j'ai supprimé divers éléments du rootkit (service/modules).
A partir d'IceSword, j'ai copié le fichier koos.exe sur le bureau et laissé celui d'origine en place dans system32.

Une fois installé, le rootkit est le maître du système et peut faire ce pour quoi il a été programmé comme :
- Ouvrir un accès aux pirates(port ouvert)
- Transformer l'ordinateur en machine à envoyer des spams et ceci à l'insu du firewall
- Désactiver/supprimer les antivirus/firewall, c'est par exemple le cas de : Win32.Bagle
- Télécharger & installer d'autres malwares
- etc..

Enfin et surtout pour éviter toute infection, il vous suffit de suivre les conseils classiques contenus dans la page : Pourquoi et comment je me fais infecter?, à savoir ne pas surfer sur des sites non recommandés, télécharger des cracks sur des sites ou des réseaux P2P vous conduira tôt ou tard à l'infection.

Le meilleur anti-rootkit reste (supprimer), pour ma part est : Gmer

Vous trouverez sur cette page, des exemples et aides pour supprimer les rootkits : https://www.malekal.com/supprimer_rootkit_windows.php

A l'heure actuelle, si vous téléchargez "n'importe quoi" (P2P, cracks), un antivirus & un firewall ne vous protégeront pas contre ces infections.
Une fois infecté, ils ne vous permettront pas non plus de les supprimer.


PDT_037

Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

Re: "Controle" sécurité

Message par Florian671 »

La page se trouve à l'adresse : les-bannieres-popups-de-publicites-dang ... t3412.html

Une bannière de publicité est un encart publicitaire posé par le webmaster sur son site WEB afin d'obtenir des rémunérations (généralement pour payer l'hébergement). La publicité peut aussi être sous forme de popups.. à savoir une petite fenêtre qui s'ouvre lors de la consultation du site WEB affichant la publicité.

L'annonceur est la société qui souhaite effectuer la campagne de publicité... Par exemple, cela peut-être un site WEB commercial, un éditeur de logiciels etc...

La régie de publicité : c'est la société spécialisée dans la diffusion des publicités proposées par les annonceurs.
Concrètement, lorsqu'un webmaster désire afficher des bannières de publicité sur son site WEB, il fait appel à la régie de publicité qui lui fournit tous les outils pour cela.

Concrètement l'annonceur paye la régie de publicité... qui elle même paye le webmaster.

Il est important de comprendre que le webmaster n'a généralement aucune possibilité "de choisir" les publicités affichées puisqu'elles sont gérées par la régie de publicité selon les annonceurs.

C'est très simple... les sociétés qui développent des rogues et adwares tirent parti de ce système.
Elles se font passer pour des annonceurs auprès des régies de publicités pour effectuer des publicités pour leurs "faux produits" quand elles ne sont pas elles mêmes une régie de publicité.

Imaginez maintenant que l'infection affiche à votre insu des popups de publicité régulièrement... L'infection devient alors un peu comme un site WEB... quand vous allez cliquer pour ouvrir la popup, l'argent ira aux auteurs de Malwares.
Maintenant, imaginez que les publicités qui s'ouvrent sur des rogues.. vous ouvrez la popup, installez le rogue et achetez ce faux antispyware.
Dans ce cas là, ils sont doublement gagnants car ils vont récolter de l'argent via les publicités, permettrent de se faire connaître et surtout tromper les internautes et gagner de l'argent dans les ventes de ces faux-antispyware.

Récemment...
- La régie de publicité d'AOL - AOL advertisement network ouvrait des popups d'alertes pour des rogues
- L'hébergeur d'images ImageShacks ouvrent aussi des popups d'alertes... voir le sujet Attention à ImageSHack
- Popup Winfixer & ErrorSafe sur MSN Messenger

Voici quelques exemples de bannières de publicité dangereuses.. que vous pouvez rencontrer à travers la toile.

Ce dernier propose généralement des bannières avec des émoticons ou des widget proposant d'afficher la météo...

https://www.malekal.com/fichiers/forum/popup4.png ( Il faut rajouter les balises car la photo n'apparait pas PDT_008 )

Magic.control est un adware qui s'installe à partir des programmes :

Ce dernier une fois installé affiche de manières très régulières des popups... et peut installer une connexion vers des numéros de téléphone surtaxés (dialers) - N'installez aucun des ces programmes !

Magic.Control est très présent en France... les bannières de publicité proposant d'installer ces faux programmes sont très présentes.. notamment sur les sites de jeux flash.

Voici quelques-unes des popups que vous pouvez rencontrer.... qui vous proposent d'installer ces programmes piégés :

Les bannières ouvrant de fausses alertes pour vous proposez d'installer un rogue sont plutôt rares, en général, ce sont plutôt des popups.
Néanmoins.. vous pouvez tomber sur des bannières, souvent très voyantes car elles sont clignotantes...
En double-cliquant dessus... vous tombez sur des pages avec de fauses alertes.

La page suivante... vous alerte que votre ordinateur comporte de nombreuses erreurs et qu'il va certainement s'auto-détruire dans quelques secondes...
heureusement un super rogue... vous propose de tout réparer.. moyennant bien sûr une certaine somme.

Nous pouvons voir que des sites de téléchargement sûrs et réputés comme Zebulon.fr, telecharger.com (qui est aussi 01net.com), info-du-net.com propose de télécharger ce programme.

Maintenant effectuons la recherche sur un programme que nous savons dangereux : InternetGamebox (voir plus dans l'infection Magic.Control)
Nous n'optenons pas du tout le même son de cloche... aucune proposition de téléchargement sur des sites réputés... mais pire, cela parle de virus, de popups de publicité!
Nous pouvons en déduire que le programme est piégé !

Deux conseils :
- Si vous recevez des popups disant que votre ordinateur est infecté ou endommagé, fermez la et surtout ne téléchargez et installez rien!
- Faites bien attention aux programmes proposés par des bannières et popups.. Ils sont très souvent néfastes.. utilisez la petite astuce ci-dessous qui prend 5minutes et peut surtout vous éviter des heures de déboires!

Pour aller plus loin... voici deux liens qui vous expliquent comment se protéger des publicités sous forme de popups ou bannières sur le navigateur WEB Firefox (ce dernier intrège déjà un anti-popup mais ne bloque pas les bannières de publicité)

La conclusion est très simple, on ne le dira jamais assez... et on ne le répétera jamais assez : installer des programmes seulement depuis des sources sûres et reconnues, tout est résumé dans cet article : Prévention : Logiciels et sources de téléchargements :

à savoir le site zebulon.fr, http://www.telecharger.com, http://www.info-du-net.com, www.clubic.com ou le site de votre fournisseur d'accès.

Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

Re: "Controle" sécurité

Message par Florian671 »

La page est : ftopic4043.php

Cet article va aborder le social engineering qui est de plus en plus utilisé par les auteurs de malwares pour infecter des ordinateurs.
Après avoir lu cet article, j'espère que vous aurez compris qu'internet n'est pas toujours sûr et qu'il convient de rester vigilent lorsque vous surfer sinon la sentence tombe de suite.

Qu'est ce que le social engineering ?

Avant de rentrer dans le vif du sujet, un petit rappel rapide concernant les infections.
L'une des grosses difficultés pour installer une infection sur l'ordinateur d'un internaute est de faire exécuter le fichier qui a pour but d'installer l'infection sur le système.

Pour faire exécuter ce fichier, les auteurs de malwares font appels à plusieurs méthodes :
- Sites WEB piégés qui exploitent des failles de sécurité : Les Exploits sur les sites WEB piégés. Souvent sur des sites pornographiques ou de cracks.
- Via des failles distantes sur le système d'exploitation, c'est notamment le cas des vers (Blaster, Sasser etc..), mais beaucoup moins utilisé par les malwares. Voir : Le danger des failles de sécurités.
- Programmes piégés qui ont l'apparence de programmes sains.
- Des Spams ou mails piégés.
- Cracks piégés sur de faux sites de cracks ou réseaux P2P (peer-to-peer --> Emule).

L'installation d'une infection peut donc être automatique et à l'insu de l'utilisateur via une faille de sécurité sur un logiciel (souvent navigateur WEB ou lecteur vidéo/audio) ou sur un crack piégé. L'utilisateur peut aussi télécharger de manière volontaire le fichier à l'origine de l'infection et l'exécuter de son plein grè.

Cette seconde méthode d'infection nécessite un "déguisement" du fichier afin que l'internaute croit que le fichier qu'il télécharge est sain.
Cette méthode de déguisement fait appel au social engineering.

Le social engineering est très utilisé pour répandre les infections de types vers ou le phising.

Sur Wikipédia ( Pourquoi ne pas plutôt mettre la balise texte où l'URL serait : http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ), nous pouvons lire :

Cette définition est plutôt destinée aux vols d'informations dans le cadre d'une attaque contre un serveur puisqu'il s'agit d'obtenir des informations qui conduiront aux succès de l'attaque. Néanmoins, dans le cadre d'infections à grande échelle, le principe reste à peu près le même à savoir exploiter l'ignorance et la crédulité des internautes.
Le but étant de faire apparaître un fichier malsain comme étant propre ou présenter un fichier malsain afin que l'internaute le télécharge.

Le social engineering en pratique

Vers MSN

L'utilisation la plus flagrante du social engineering étant les vers MSN.
Prenons le cas de la famille Backdoor.Win32.IRCBot avec les dernières variantes Backdoor.Win32.IRCBot.azh ou Backdoor.Win32.IRCBot.ayv. ( Les exemples étaient juste mais je les ai remplacés par les toutes dernières variantes PDT_008 )

Les messages de propagation sont dans toutes les langues, voici quelqu'uns en français suivi d'une tentative d'envoie du fichier myalbum2007.zip :
t'as pas encore vu ces tof :P
j'ai fais pour toi cet album de photos tu dois le voire :p
mes photos chaudes :d
"hey regarde les tof, c'est moi et mes copains entrain de....

Maintenant prenons le temps de regarder et surtout de réfléchir avant d'ouvrir le fichier zip provoquant l'infection.
Pour commencer regarder bien la syntaxe des phrases, si la personne n'a pas l'habitude d'utiliser un langage "djeunz" et que vous voyez un "mes tofs" méfiez-vous... Mais surtout, regardez bien le nom du fichier : myalbum2007.zip.
Imaginez-vous en train de faire un zip pour l'envoyer à vos contact, sincèrement, vous l'appeleriez myalbum2007 ? vous êtes anglophone ? pas plutôt monalbum ? ou mesphotos ?

Encore plus flagrant... le ver Backdoor.VanBot.dk se propage par le message : lol j'ai fais une pose de ma soeur hier en cachette avec ma webcam regarde ca suivi d'un lien : http://labasorg.us/webcam_00002.com

Comme vous pouvez le voir, ce ver se propage à travers un lien WEB. L'internaute doit cliquer sur le lien et exécuter le fichier pour infecter son ordinateur.
Question avant de cliquer : les contacts avec lesquels vous discutez sont Webmasters? ils ont un site Web où ils peuvent y mettre en ligne des photos?
D'autre part, regardez le lien, il se termine par .us, les personnes avec qui vous communiquez sont-elles américaines?

Mini Conclusion : Comme vous pouvez le constater les auteurs de malwares essayent de s'approcher d'une discussion réelle afin de vous faire exécuter le fichier infectieux.
Avant de télécharger ou accepter un fichier, posez-vous quelques questions !
Tout fichier téléchargé et exécuté peut être infectieux ! Se poser la question AVANT de le télécharger est encore le dernier moment d'éviter l'infection.

Les internautes ont tendance à installer tout et n'importe quoi sur leur PC.
Dès qu'un logiciel leur est proposé... ils l'installent... ce qui est une grave erreur.

Le but de ces infections est très simple, elles consistent à faire peur à l'internaute, via des alertes, modifications du fond d'écran (en rouge ou avec des panneaux rouges) tout en proposant de télécharger de faux-antispywares qui sont enfaites des rogues.
Ces rogues une fois installés vont scanner l'ordinateur, ils afficheront eux aussi des alertes disant que l'ordinateur est infecté, mais il faudra acheter la version commerciale pour nettoyer l'ordinateur (qu'il ne nettoyera pas d'ailleurs).
Le but est donc de vous arnaquer en vous faisant acheter un faux-antispyware.

Mini Conclusion :
Pour ne pas vous faire avoir, deux conseils :
- Effectuer une recherche Google sur le nom du programme. Par exemple, une recherche Google MailSkinner renvoie ceci : http://www.google.fr/search?q=MailSkinn ... =firefox-a
Comme vous pouvez le voir, pas beau... pas beau.
- Dans le doute, ne téléchargez pas des programmes depuis des sites inconnus et encore moins Emule !! Privilégiez les sites sûrs (telecharger.com, zebulon.fr etc..) même si un ami vous recommande le programme !!
- Eviter les sites pornographiques... Pour ceux qui ne peuvent pas s'en passer... Jetez un coup d'oeil au tuto Comment Surfer en toute sécurité depuis un CD Live GNU/Linux

Le phising consiste à se faire passer pour une société (banque, société de jeux, société de paiment en ligne etc..) afin de récolter des informations, généralement votre numéro de CB.
Généralement, le phising est sous forme de mail. Les auteurs de malwares peuvent par exemple se faire passer pour une banque et demandant des informations personnelles (numéro de CB etc...) ou vous demandez de vous logguer en vous donnant un lien dans le mail qui n'est pas celui de la banque afin de récupérer vos idenfiants.

Comme vous avez pu le constater, les auteurs de malwares sont vraiment très vicieux pour tromper les internautes.
Plus la culture et les connaissances en informatiques sont grandes, plus il sera facile aux auteurs de malwares de berner l'internaute.
C'est pour quoi, en plus de reprendre les recommandations des mini-conclusions, je vous conseilles de lire la page Securiser son ordinateur et connaître les menaces afin d'avoir une vision globale des menaces de la toile.

Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: "Controle" sécurité

Message par Malekal_morte »

Tout est corrigé.

Merci!
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Diamond
Geek à longue barbe
Geek à longue barbe
Messages : 1151
Inscription : 31 janv. 2007 22:36

Re: "Contrôle" sécurité

Message par Diamond »

XD tu fais quoi dans la vie Florian ? ^^
Une vraie machine !
>>>N'hésitez pas à consulter les liens ci-dessous !
-Sécuriser son ordinateur
-Soutenez Malekal en faisant un don !
ImageImage

Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

Re: "Contrôle" sécurité

Message par Florian671 »

Nan nan, collégien en 3 ème lol

Répondre

Revenir à « Questions/Commentaires sur le forum »