Virus MSN : explications, fonctionnement et parade

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Virus MSN : explications, fonctionnement et parade

Message par Malekal_morte » 07 mars 2008 19:08

Un petit topo sur les infections par MSN ou Windows live messenger.


Attention cette page parle des infections malware et non un autre type d'arnaque qui se propage depuis un an.

Cette arnaque consiste à spammer les contacts MSN avec des liens qui demandent sous divers prétextes les informations de connexion MSN. L'internaute naif qui rempli le formulaire donne accès à son compte à un tiers qui l'utilise pour spammer ses contacts et ainsi de suite.
Les internautes ont tendance à confondre les infections MSN (malware) qui envoient aussi des liens pour infecter les internautes et ces arnaques.
Pour plus d'informations se reporter à la page : MSN Check Blocker : Spam via compte MSN
Utilisez MSNFix ou scanner son PC avec un antivirus sert à rien, puisque le tiers se connecte avec votre compte étant donné que vous lui avez donné les informations de connexion.

Concrêtement, qu'est ce qui se passe ?


Image Les symptômes révélant qu'un de vos contacts est infecté
  • Un contact familier vous envoie un message instantané vous invitant à télécharger un fichier censé contenir des photos avec une prase anodine et suggestive, alors que vous n'avez pas échangé de messages précédemment, et que vous n'avez pas non plus sollicité ce fichier.
  • Image
Image Que faut-il faire ?
  • Refuser ce fichier bien entendu et joindre ce contact par un autre moyen afin de le prévenir de l'infection. L'aiguiller sur une procédure adaptée afin de se désinfecter. Ce dernier pourra alors, de la même manière, prévenir tous ses correspondants de ne pas accepter de fichiers venant de sa part.
  • Image Si vous n'avez pas accepté ce fichier, vous n'êtes pas infecté.
  • Si vous l'acceptez : vous téléchargez alors ce fichier (le plus souvent un fichier compressé au format ZIP) et vous essayez de lire ce fichier. Une fenêtre d'erreur vous signale alors que le fichier n'est pas lisible pour diverses raisons. Vous voila contaminés à votre tour. A présent, l'infection va s'inviter à tous les contacts que vous possédez, à votre insu : de manière aléatoire, pas systématique et pas à tous les contacts en même temps. Si l'un des vôtres accepte à son tour, il sera également infecté, et la chaîne continue.
Image Les symptômes révélant que vous êtes infecté
  • L'un de vos correspondants vous annonce qu'il a bien reçu votre fichier alors que vous ne le lui avez rien envoyé. Ou encore, au bout de quelques minutes de connexion sous votre compte MSN ou windows live messenger, vous êtes déconnectés sans raisons particulières, et vous avez des difficultés à vous reconnecter. Il est possible qu'un message vous indiquant que vous vous êtes connectés d'un autre pc apparaisse alors, et clôt ainsi votre session ouverte. Ou encore, vous vous apercevez d'envois de fichiers multiples de votre part, sans que vous n'ayiez la possibilité de les refuser.
  • Indépendamment de MSN ou WLM, vous pouvez constater des ralentissements importants du système, du réseau. Des alertes de vos outils de sécurité peuvent aussi vous alerter, sans toutefois réussir à définitivement neutraliser l'infection.
Image Comment savoir si l'invitation à télécharger le fichier est vraie ou est dûe à une infection ?
  • Image Il n'est pas vraiment possible de se fier à la prase de suggestion de téléchargement.
  • Les premières infections de ce type étaient grossières, le plus souvent la phrase suggestive n'était pas rédigée en français, peu de personnes tombaient dans le panneau. A présent, le texte affiché est dans la langue du système. Rien n'empêche à terme non plus que l'infection puisse identifier les noms et les pseudos alloués aux différents contacts, afin de personnaliser chacun des messages. Le moyen le plus fiable de s'assurer qu'il ne s'agisse pas d'une infection est de joindre le correspondant par un autre moyen. Il est possible toutefois de nuancer : si vous venez de converser longuement avec votre correspondant et qu'il s'agit d'un fichier sollicité, vous ne devriez pas rencontrer de soucis. Cela ne vous empêche pas d'appliquer les règles élémentaires de prudence.
  • De nouvelles variantes apparaissant régulièrement, les phrases changent à la même fréquence. Vous pouvez consulter une liste non exhaustive à titre indicatif sur le forum de Malekal Morte sur ce lien (cliquez sur la roue dentée) :
    • ImageInfections par Messagerie Instantanée (MSN etc...)

Les règles de bon sens.


Image Comment s'assurer que le fichier téléchargé est sain ?
  • Vous avez téléchargé un fichier que vous avez sollicité.
  • Ne l'ouvrez pas via l'interface de MSN ou WLM, mais ouvrez votre répertoire de destination des fichiers reçus et procédez à une analyse du fichier suspect avec votre antivirus.
  • Vous pouvez également le soumettre à une analyse en ligne afin d'obtenir l'avis de plusieurs éditeurs de solutions antivirales en procédant comme ceci :
  • Rendez vous sur ce lien : Virus Total
    • Cliquez sur Parcourir
    • Rendez vous jusque le fichier suspect
    • Cliquez sur Envoyer le fichier et laissez travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Il est possible que les outils de sécurité réagissent à l'envoi du fichier, en ce cas il faudra ignorer les alertes.
    • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), consultez les résultats. Si l'un des antivirus détecte quelque chose de suspect, la méfiance doit être de rigueur. Un faible nombre de détections n'est pas une garantie de la non-nocivité du fichier. En cas de doutes, vous pouvez soumettre ce fichier à l'avis des helpers de votre forum favori en joignant le rapport de l'analyse.
    • Pour joindre le rapport, cliquez sur Formaté
    • Une nouvelle fenêtre du navigateur va apparaître
    • Cliquez alors sur cette image : Image
    • Faites un clic droit sur la page, et choisissez Sélectionner tout, puis copier
    • Enfin joignez le résultat dans dans un sujet que vous aurez créé à cet effet.
    La manipulation précédente vaut pour tous les fichiers joints, que cela soit en messagerie instantanée (ici dans ce sujet MSN ou WLM), mais également pour tous types de pièces jointes, que cela soit via mail ou un autre moyen d'échange.
Image Comment se prémunir facilement de ce type d'infection
  • Faites preuve de bon sens en adoptant l'attitude prudente indiquée précédemment.
  • Image Configurer correctement votre MSN ou WLM de sorte de ne pas accepter les fichiers téléchargés par erreur.
  • Rendez vous dans MSN>Outils>Options...>Sécurité et décochez les 2 caches indiquées ci-dessous :
  • Image
  • Si vous possédez MSN+ ou WLM+, il vous faudra également vous rendre dans les options de configuration de ce dernier : Plus!>Préférences...>Principal>Conversations et s'assurer que la case suivante est bien décochée
  • Image
  • Image Rejeter par défaut les fichiers dangereux
  • Rendez vous dans votre MSN ou WLM, puis, Outils>Options...>Transfert de fichiers, et assurez vous que la case suivante est bien cochée :
  • Image
  • Cette option sélectionnée, cela permettra de refuser par défaut tous les fichiers proposés possédant les extensions suivantes :
  • Image
  • Dans le cas où vous désirez obtenir un fichier possédant cette extension, vous pourrez contourner cette interdiction en demandant simplement à votre correspondant de renommer le fichier, et de changer l'extension bloquée en une extension .txt par exemple, ce qui permettra le transfert. Il vous suffira de remettre l'extension ensuite d'origine pour retrouver le fichier original. Cela vous permet à moindre frais de bénéficier du rejet automatique des fichiers dangereux sans être toutefois trop ennuyé.
  • Image Activer les outils de sécurité pour les transferts
  • Microsoft propose le scanneur de sécurité Windows Live Analyse Sécurité gratuitement, qui a le même moteur que Windows live OneCare, pour analyser les fichiers transférés, en affichant ce résultat directement dans la fenêtre de messagerie. Si vous possédez déja un antivirus, il n'y aura pas d'effets doublons, le scanneur de sécurité se cantonnant uniquement aux fichiers transférés via MSN ou WLM.
  • L'efficacité est toute limitée sur les variantes récentes, mais les anciennes variantes elles, sont correctement prises en compte. L'outil étant gratuit et n'empiétant pas sur les autres outils de sécurité, il serait dommage de s'en priver. Vous pouvez juger par vous même des résultats de détection en consultant les analyses VirusTotal des fichiers infectieux sur ce lien, le moteur du scanneur de sécurité correspondant à la ligne Microsoft du rapport Virustotal.
  • Vous pouvez également définir votre propre antivirus si vous souhaitez que l'analyse soit effectuée par ce dernier. Notez que si le résident de ce dernier est correctement configuré pour analyser en écriture et lecture tous les fichiers, il n'est pas nécessaire d'indiquer via les options de configuration où votre antivirus se trouve. Si pour des raisons multiples le résident de votre antivirus n'analyse pas systématiquement tous les fichiers créés, alors vous pourrez lui indiquer le chemin de ce dernier en vous rendant dans Outils>Options...>Transfert de fichiers comme indiqué sur la capture suivante :
  • Image
Si vous possedez Antivir, se reporter à la page Antivir : scanner fichiers reçus sur Windows Live Messenger

Je suis infecté. Et maintenant, que dois-je faire ?


Image Prévenez vos contacts.
  • Si vous pouvez encore vous connecter via votre MSN ou WLM, prévenez tous vos contacts de messagerie instantanée. S'ils ne sont pas en ligne, ou que vous n'avez plus d'autorité sur votre WLM ou MSN et que ce dernier se déconnecte, rendez vous sur votre boîte de messagerie Hotmail directement avec votre navigateur. Cela vous permettra d'envoyer un mail à tous vos correspondants. Pensez à être explicite dans votre explication, n'hésitez pas à donner le lien du ce sujet si vous le désirez.
Image Vous désinfecter seul.
  • De quantités de variantes de ce type d'infection existent, et elles ne se traitent ainsi pas de la même façon. Ce qu'il faut retenir de ces infections, c'est qu'elles ont en commun le vecteur de propagation : MSN ou WLM.
  • Malekal morte a centralisé des procédures à réaliser, de manière autonome, en fonction de l'infection constatée. Vous pouvez les consulter sur ce lien (cliquez sur la roue dentée) :
    • Image Vers MSN
  • Ce type de désinfection, en autonomie complète est à conseiller aux utilisateurs avertis, ayant identifié l'infection à laquelle ils avaient à faire et connaissant un minimum leur système et l'utilisation des outils standards de sécurité et d'analyse.
Image Vous faire aider.
  • Avant de poster une demande d'aide sur votre forum favori, téléchargez l'outil réalisé par !aur3n7 et quotidiennement mis à jour en fonction des variantes dénichées. Pour XP.
    Téléchargez MSNFix.zip sur votre bureau.
    • Décompressez-le (clic droit >> Extraire ici) et double-cliquez sur le fichier MSNFix.bat.
    • Exécutez l'option R.
    • Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
      Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    • Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
    Vous trouverez une aide visuelle à son utilisation ici, réalisée par Malekal morte.
  • Il vous sera nécessaire, en créant votre sujet de demande d'aide de désinfection, de joindre ce rapport en précisant les symptômes antérieurs et postérieurs à l'utilisation de l'outil, le fichier infecté que vous avez téléchargé à l'origine (si vous connaissez son nom), le message d'invitation à télécharger ce fichier si vous vous en souvenez, si vous avez correctement "uploadé le fichier créé suite à la détection des suspects, etc.
  • Image J'attire votre attention sur un point particulier de l'outil !
  • Les fichiers suspectés d'être infectieux ne seront pas traités par l'outil et seront toujours présents sur votre pc. Cependant, l'outil aura réalisé une copie de ces fichiers suspects qu'il vous faudra expédier à l'auteur afin qu'il les analyse. Ainsi, si les fichiers suspects se révèlent infectieux, ils seront rapidement incorporés à l'outil. Vous contribuerez de cette façon à sa mise à jour qui profitera à tous.
    • Pour cela, vous trouverez sur votre suite au passage de l'outil un fichier nommé Upload_Me.zip (le ".ZIP" peut ne pas apparaître en fonction de vos options d'affichage). Ce fichier n'existe que si des fichiers suspects ont été détectés.
    • Il vous faudra le faire parvenir à l'auteur en l' "uploadant" sur le lien suivant : upload.changelog.fr
      Vous trouverez une aide visuelle ici, réalisée par AngelDark.
  • Veuillez prendre conscience que suivant l'infection présente, l'outil ne traitera peut-être pas tout, voire rien du tout. Si suite à son passage vous ne constatez plus de symptômes, je vous suggère vivement de procéder tout de même à un contrôle via le forum afin de vérifier que le système soit propre et désinfecté.
Bonne chance ;)

Voir aussi les arnaques "MSN Check Blocker", se reporter à la page : MSN Check Blocker : Spam via compte MSN


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus MSN : explications, fonctionnement et parade

Message par Malekal_morte » 22 mai 2008 10:31

Autre arnaque sur MSN qui fait rage ces derniers temps.
Des messages de SPAM où l'on vous renvoient vers des sites où votre nom de compte et mot de passe vous sont demandés sous différents prétextes (souvent pour trouver si on vous a bloqué).

Bien sûr comme d'habitude ce sont des arnaques, mais bcp tombent dans le panneau... et se font abuser betement.
Une fois les informations du compte récupérées par le site, il est utilisé pour spammer les contacts et ainsi propager le SPAM à tous les contacts MSN.

Plus d'infos voir : MSN Check Blocker : Spam via compte MSN
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus MSN : explications, fonctionnement et parade

Message par Malekal_morte » 01 juin 2008 20:13

Une page sur Viruslist.com sur les menaces par messagerie instantanées : http://www.viruslist.com/fr/analysis?pubid=200676153
C'est assez axé ICQ (ICQ est très utilisé en russie et Kaspersky étant d'origine russe..).

De bons conseils tout de même :
Avant toute chose, il faut être prudent et ne pas cliquer sans réfléchir sur le lien dans le message reçu. Vous trouverez ci-après quelques types de messages qui doivent tirer la sonnette l'alarme chez le destinataire :

1. Message envoyé par un utilisateur inconnu au pseudo insolite (par exemple, SbawpathzsoipbuO).
2. Un message envoyé par un de vos contacts vous invitant à regarder de nouvelles photos avec l'extension .exe.
3. Un message contenant de prétendues informations sensationnelles sur une liaison entre deux people, « avec un reportage en direct ». Dans ce cas, le « reportage » est bien souvent un lien vers le fichier http://www.******.com/movie.avi.exe. Il est plus que probable que ce lien vous mène directement à Trojan-PSW.Win32.LdPinch
4. Un message vous invitant à télécharger un programme qui ouvrira de nouveaux horizons pour l'utilisateur, par exemple : « Nouveau bogue dans ICQ qui permet d'enregistrer n'importe quel numéro non existant ». Le lien contenu dans ce genre de message conduira à un programme quelconque dont la fonction ne sera pas d'enregistrer un numéro non existant mais bien de voler le mot de passe associé à l'UIN de l'utilisateur.

Il est préférable d'ignorer ce genre de messages.

Si le message est envoyé par une personne que vous connaissez, il convient de vérifier si cette personne a bel et bien envoyé le message. Et, cela va de soi, il ne vaut pas la peine de télécharger sur son ordinateur un fichier avec l'extension EXE depuis un lien dans un message, ni encore moins l'exécuter. Même si l'extension du fichier n'apparaît pas dans le lien, celui-ci peut vous mener à un site qui vous redirige vers un autre lien associé au programme malveillant.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus MSN : explications, fonctionnement et parade

Message par Malekal_morte » 21 mai 2009 15:09

Une vidéo illustrative des infections MSN est maintenant disponible sur ce topic : les-virus-msn-t5464.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Verrouillé

Revenir vers « Papiers / Articles »