Forum VRcamping: LA FORCE DU NOUS!

[Serge Loriaux]

Dans ce sujet, nous allons lister les différentes alertes lâchées soit par Microsoft ou par d'autres sites reconnus comme sérieux.

? une époque où certaines personnes mal intentionnées s'amusent à compliquer la vie des internautes VRcamping.com considère qu'il faut prendre la chose au sérieux.

[Serge Loriaux]

1. RESUME DE L'ALERTE: Diffusion de Storm Worm sous la forme d'une vidéo YouTube

Les variantes du programme malicieux Storm Worm se présentent désormais sous la forme d'un message au format HTML incitant à regarder une vidéo YouTube. L'adresse de destination apparente est une adresse YouTube authentique qui renvoie vers une page piégée aux couleurs de YouTube, tentant d'installer automatiquement le troyen et proposant de télécharger le fichier malicieux.
http://www.secuser.com/alertes/2007/age ... htm#070825

2. SYSTEME(S) CONCERNE(S)

Windows

[u]3. PREVENTION
Les utilisateurs concernés doivent mettre à jour leur antivirus. Même si son nom est intriguant ou attrayant, il ne faut pas exécuter un fichier d'origine douteuse. Les utilisateurs doivent également mettre à jour leurs
logiciels afin de corriger les failles de sécurité exploitables par le cheval de Troie et ses variantes pour s'exécuter automatiquement.

[Serge Loriaux]

Vulnérabilité critique dans Yahoo! Messenger (21/08/07)

MAJ 21/08/07 : il n'est pas certain que la version française actuellement diffusée soit la nouvelle version.

RESUME DE L'ALERTE:

Un nouveau défaut de sécurité a été identifié dans le logiciel de messagerie Yahoo! Messenger. L'exploitation d'une erreur dans le composant Webcam peut permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter si l'utilisateur accepte une invitation webcam piégée.

LOGICIEL(S) CONCERNE(S) :

Yahoo! Messenger versions antérieures au 21/08/07


CORRECTIF :

Les utilisateurs concernés doivent installer immédiatement la nouvelle version du logiciel (version 8.1 ou supérieure) en la téléchargeant sur le site de l'éditeur, afin de prévenir toute exploitation malveillante de ces défauts de sécurité.

INFORMATIONS COMPLEMENTAIRES :

-> Bulletin de sécurité Yahoo! (en anglais)
-> FAQ : comment déterminer le numéro de version de votre logiciel?

[Serge Loriaux]

1. RESUME DE L'ALERTE

Zhelatin.HS (= Storm Worm)
Les variantes du programme malicieux Storm Worm se présentent désormais sous la forme d'un courrier électronique invitant à télécharger un fichier setup.exe, en tentant de se faire passer pour un nouveau logiciel (poker, gestion budget, etc.) en recherche de bêta-testeurs. Le lien hypertexte ne pointe plus vers une page web mais directement vers le fichier malicieux.

2. SYSTEME(S) CONCERNE(S)

Windows

3. PREVENTION

Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intriguant ou attrayant il ne faut pas exécuter un programme gratuit d'origine douteuse ou incertaine.

[Serge Loriaux]

1. RESUME DE L'ALERTE

Mytob.FT est un virus qui se propage par courrier électronique. Il se présente sous la forme d'un message prétendument envoyé par le fournisseur d'accès ou l'organisation du destinataire, accompagné d'un fichier en .zip protégé par un mot de passe fourni dans le texte. Si le fichier contenu dans cette archive est exécuté, le virus s'envoie aux adresses récoltées sur l'ordinateur puis tente d'effectuer diverses actions malveillantes.

TAILLE :
137 Ko

DECOUVERTE :
31/08/07


ALIAS :

TR/Crypt.XPACK.Gen (AntiVir)
Generic.Malware (BitDefender)
Net-Worm.Win32.Mytob.ft (Kaspersky)
W32.IRCBot.Gen (Symantec)

Mytob.FT se présente sous la forme d'un courrier électronique en anglais dont le titre et le corps sont variables.

L'adresse de l'expéditeur est usurpée et utilise comme nom de domaine le nom de domaine de l'adresse du destinataire, afin de sembler émaner de son fournisseur d'accès ou de son organisation. Quelques exemples :

admin@[domaine adresse destinataire] (ex. admin@wanadoo.fr si votre FAI est Wanadoo)
service@[domaine adresse destinataire] (ex. service@sncf.fr si votre société est SNCF)
support@[domaine adresse destinataire] (ex. support@free.fr si votre FAI est Free)
Le titre du message est variable et tente d'attirer l'attention ou l'intérêt du destinataire. Quelques exemples :

ALERT
Free one year trial
Your account has been suspended for over usage

Le corps du message est également variable :

Partial message is available as a secure passworded attachment.

Please use the following password the read the attachment

Password: 2179


The message has been sent as a secure passworded attachment.

Please use the following password the read the attachment

Password: 2721

La pièce jointe est une archive .zip (137 Ko) protégée par un mot de passe fourni dans le texte, afin d'empêcher les passerelles antivirus d'accéder à son contenu et donc de pouvoir détecter le virus. Quelques exemples :

Secure_Details.zip
IMPORTANT-INFO.zip

Le fichier contenu dans cette archive porte le même nom que l'archive mais comporte une double extension avec un grand nombre d'espaces entre la première (simple texte sans valeur) et la seconde (seule véritable extension), afin de tenter de tromper l'internaute sur la véritable nature du fichier :

Secure_Details.txt .scr
IMPORTANT-INFO.txt .exe

Si ce fichier est exécuté, le virus s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, s'envoie aux adresses figurant dans le carnet d'adresses Windows et divers autres fichiers en évitant certains destinataires et en utilisant une adresse d'expéditeur falsifiée, puis installe une porte dérobée autorisant la prise de contrôle à distance de l'ordinateur infecté par un individu malveillant par un canal IRC.


2. SYSTEME(S) CONCERNE(S)

Windows


3. PREVENTION

Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intriguant ou attrayant il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur puis l'avoir analysé avec un antivirus à jour.

[Serge Loriaux]

1. RESUME DE L'ALERTE

Virus
Zhelatin (= Storm Worm)

ALIAS:
Downloader.Tibs (AVG)
Trojan.Peed.IID (BitDefender)
Trojan.Packed.142 (Dr.Web)
Win32/Sintun.AF (eTrust)
Tibs.gen134 (F-Secure)
Tibs-Packed (McAfee)
Tibs.gen134 (Norman)
Win32/Nuwar (NOD32)
Mal/Dorf-E (Sophos)
Trojan.Packed.13 (Symantec)
Storm Worm


TAILLE :
138 Ko

DECOUVERTE :
06/09/2007

Zhelatin est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un courriel sans fichier joint mettant en garde contre la surveillance des téléchargements par les maisons de disques et invitant à installer un logiciel appelé Tor pour être anonyme sur Internet.

DESCRIPTION DETAILLEE :

Le virus Zhelatin se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse usurpée ou générée automatiquement. Quelques titres de message :

Big brother is watching you.
Your privacy is no longer safe
What you do online is no longer private.

Le corps du message est un texte au format HTML mettant en garde contre la surveillance des téléchargements par les maisons de disques (RIAA, Recording Industry Association of America) et invitant le destinataire à installer le logiciel Tor pour protéger sa vie privée et être anonyme sur Internet. L'adresse de destination contenue dans le code source du message n'est cependant pas celle de l'éditeur du logiciel, mais une adresse IP de la forme XX.XX.XX.XX (XX étant un nombre entre 0 et 255) :

Everyone who is doing file trading is at risk. The RIAA has even sued children, are you next? This program protects your online identity. Download this free software and keep the internet safe. Download Tor

Whenever you are downloading things, they are watching you. The RIAA is all over the news with lawsuits against people like you. Our technology will keep them from seeing what you do. Use our free program and keep your self and the internet free and safe. Download Tor

Do you trade files online? Then they will come after you. The RIAA is suing one person after another. Tor will keep them from finding you. Use this software to protect your privacy and your right to use the net. Download Tor

Si l'internaute clique sur le lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un fichier tor.exe :




Il ne faut pas cliquer sur ce lien ni télécharger le fichier tor.exe, car ce fichier est en réalité une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe et permet la prise de contrôle à distance de l'ordinateur contaminé par une personne malveillante, dans le but de constituer un gigantesque réseau d'ordinateurs "zombies".

[Serge Loriaux]

Banload.DGE

Banload.DGE est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel personnalisé sans fichier joint, en tentant de se faire passer pour une carte électronique humoristique.

PREVENTION :

Les utilisateurs concernés doivent mettre à jour leur antivirus. Il ne faut pas cliquer sur un lien contenu dans un message douteux sans avoir clairement identifié son expéditeur puis lui avoir fait le cas échéant confirmer l'envoi du message. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier d'origine douteuse.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Delphi.Downloader.Gen (Antivir)
Dowloader.Banload (AVG)
Trojan.Downloader (BitDefender)
Trojan-Downloader.Win32.Banload.dge (F-Secure)
Trojan-Downloader.Win32.Banload.dge (Kaspersky)
TrojanDownloader:Win32/Agent.AFL (Microsoft)
W32/Banload.QKC (Norman)

TAILLE :
28 Ko

DECOUVERTE :
10/09/2007

DESCRIPTION DETAILLEE :

Banload.DGE est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique sans fichier joint. Le titre du message est "EssA voce teM que VER".

Le corps du message est au format HTML et tente de se faire passer pour une carte virtuelle humoristique. La date de la carte est celle du jour et les zones floutées correspondent à l'adresse du prétendu expéditeur (au début du message) ou à celle du destinataire (dans les liens hypertextes), afin de faire croire à un message personnalisé.

Le lien hypertexte pointe vers un site web légitime mais piraté (par exemple gastronomie-a-domicile.com) et n'est qu'une simple redirection. Si l'internaute clique sur ce lien, une fenêtre apparaît pour proposer le téléchargement ou l'ouverture d'un fichier foto07_euevc.jpg - ( Tipo - Imagem JPEG ) .sCR depuis un autre site situé à l'étranger.

Il ne faut pas cliquer sur ce lien ni télécharger le fichier concerné, qui n'est pas une image mais un cheval de Troie. Si ce fichier est exécuté, le troyen s'installe puis tente de télécharger et d'exécuter d'autres programmes malicieux.

[Serge Loriaux]

Troyen
Banload.DRS

Banload.DRS est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel avec un fichier joint possédant une extension .zip, en tentant de se faire passer pour une carte virtuelle ou une image.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Worm/Ntech.J (Antivir)
Downloader.Banload.FCP (AVG)
Trojan.Agent.AFID (BitDefender)
Trojan.Downloader-14091 (ClamAV)
BackDoor.Bulknet.75 (Dr.Web)
W32/Downldr2.AHNZ (F-Prot)
Trojan-Downloader.Win32.Banload.drs (F-Secure)
Trojan-Downloader.Win32.Banload.drs (Kaspersky)
Spy-Agent.bv.gen (McAfee)
Win32/TrojanDownloader.Agent.NRB (NOD32)
Hacktool/NTRootkit.AM (Panda)
Troj/BankDl-CX (Sophos)
Trojan Horse (Symantec)


TAILLE :
19Ko

DECOUVERTE :
25/09/2007

DESCRIPTION DETAILLEE :

Banload.DRS est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique en anglais dont le titre et le corps sont variables. L'adresse de l'expéditeur du message est usurpée ou composée aléatoirement.

Quelques titres de message :

Here is it
Hot game
Hot pictures
Something hot
You ask me about this game, Here is it

La pièce jointe est un fichier possédant une extension .zip, dont la taille est 19 Ko :

card.zip, contenant un fichier card.exe
image.zip, contenant un fichier image.exe
Si le fichier contenu dans l'archive ZIP est exécuté, le cheval de Troie s'installe en se dissimulant via une technologie de type rootkit, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis tente de télécharger et d'exécuter d'autres programmes malicieux depuis des sites distants.

[Serge Loriaux]

Virus Zhelatin.KI (= Storm Worm)

Zhelatin.KI est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint faisant la promotion d'un faux site de cartes virtuelles imitant le site SuperLaugh.com et invitant à installer une animation humoristique et sonore représentant un chaton rieur.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
WORM/Zhelatin.Gen (Antivir)
Win32:Tibser (Avast)
Downloader.Tibs(AVG)
Trojan.Peed.ILR (BitDefender)
Trojan.Peed-17 (ClamAV)
Trojan.Packed.142 (Dr.Web)
Win32/Sintun.AI (eTrust)
Email-Worm.Win32.Zhelatin.ki (F-Secure)
Email-Worm.Win32.Zhelatin.ki (Kaspersky)
Tibs-Packed (McAfee)
Win32/Tibs.EO (Microsoft)
Win32/Nuwar.Gen (NOD32)
Tibs.gen171 (Norman)
Mal/Dorf-E (Sophos)
Trojan.Packed.13 (Symantec)
Storm Worm


TAILLE :
118-119 Ko

DECOUVERTE :
12/10/2007

DESCRIPTION DETAILLEE :
Le virus Zhelatin.KI se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

Have you seen this hilarious greeting?
We have a ecard surprise!
I've never laughed so hard!
You have an ecard
You've got a greeting just for you!

Le corps du message est un court texte invitant le destinataire à cliquer sur un lien hypertexte contenant une adresse IP (de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) pour visualiser une carte virtuelle :

View your Kitty Card now! http://69.***.**.***/


This Psycho Cat Card has been sent to you. http://122.***.***.***/


Here is the new Psycho cat card. http://71.**.*.***/


You have been sent a Psycho Cat Postcard. http://24.***.***.***/


This is the funniest cat I have ever seen! See it online!
http://67.**.***.***/


Click here to pick up your Crazy Cat Card! http://24.**.***.**/

Si l'internaute clique sur le lien, il est dirigé vers une page web usurpant l'identité du site de cartes virtuelles américain SuperLaugh.com qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui invite à télécharger un fichier SuperLaugh.exe, présenté comme étant une animation d'un chaton riant bruyamment et frénétiquement ("Laughing Psycho Kitty Cat")

Il ne faut pas cliquer sur ce lien ni télécharger le fichier concerné, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

NB : l'animation du chaton qui rit est très populaire et visible sur de nombreux sites non malicieux, elle n'est donc pas forcément un signe de la présence du virus. Il faut prendre garde à la récupération des thèmes populaires par les individus malveillants, qui tentent ainsi d'attirer les internautes ou d'endormir leur vigilance, ainsi qu'aux propositions non sollicitées incitant l'utilisateur à ouvrir, télécharger ou installer un fichier d'origine douteuse ou inconnue.

[Serge Loriaux]

Virus Zhelatin.KI (= Storm Worm)

Zhelatin.KI est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint faisant la promotion d'un faux site de cartes virtuelles imitant le site SuperLaugh.com et invitant à installer une animation humoristique et sonore représentant un chaton rieur.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
WORM/Zhelatin.Gen (Antivir)
Win32:Tibser (Avast)
Downloader.Tibs(AVG)
Trojan.Peed.ILR (BitDefender)
Trojan.Peed-17 (ClamAV)
Trojan.Packed.142 (Dr.Web)
Win32/Sintun.AI (eTrust)
Email-Worm.Win32.Zhelatin.ki (F-Secure)
Email-Worm.Win32.Zhelatin.ki (Kaspersky)
Tibs-Packed (McAfee)
Win32/Tibs.EO (Microsoft)
Win32/Nuwar.Gen (NOD32)
Tibs.gen171 (Norman)
Mal/Dorf-E (Sophos)
Trojan.Packed.13 (Symantec)
Storm Worm


TAILLE :
118-119 Ko

DECOUVERTE :
12/10/2007

DESCRIPTION DETAILLEE :
Le virus Zhelatin.KI se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

Have you seen this hilarious greeting?
We have a ecard surprise!
I've never laughed so hard!
You have an ecard
You've got a greeting just for you!

Le corps du message est un court texte invitant le destinataire à cliquer sur un lien hypertexte contenant une adresse IP (de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) pour visualiser une carte virtuelle :

View your Kitty Card now! http://69.***.**.***/


This Psycho Cat Card has been sent to you. http://122.***.***.***/


Here is the new Psycho cat card. http://71.**.*.***/


You have been sent a Psycho Cat Postcard. http://24.***.***.***/


This is the funniest cat I have ever seen! See it online!
http://67.**.***.***/


Click here to pick up your Crazy Cat Card! http://24.**.***.**/

Si l'internaute clique sur le lien, il est dirigé vers une page web usurpant l'identité du site de cartes virtuelles américain SuperLaugh.com qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui invite à télécharger un fichier SuperLaugh.exe, présenté comme étant une animation d'un chaton riant bruyamment et frénétiquement ("Laughing Psycho Kitty Cat")

Il ne faut pas cliquer sur ce lien ni télécharger le fichier concerné, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

NB : l'animation du chaton qui rit est très populaire et visible sur de nombreux sites non malicieux, elle n'est donc pas forcément un signe de la présence du virus. Il faut prendre garde à la récupération des thèmes populaires par les individus malveillants, qui tentent ainsi d'attirer les internautes ou d'endormir leur vigilance, ainsi qu'aux propositions non sollicitées incitant l'utilisateur à ouvrir, télécharger ou installer un fichier d'origine douteuse ou inconnue.

[Serge Loriaux]

Troyen Pidief.A

Pidief.A est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique accompagné d'un fichier PDF, en tentant de se faire passer pour une facture ou un autre document.

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. Les utilisateurs de Windows XP et du navigateur Internet Explorer 7.0 doivent également à mettre à jour leur système afin de corriger la faille de sécurité exploitée par Pidief.A pour s'exécuter.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :

EXP/PDF.URI.Gen (Antivir)
Exploit.PDF-1 (ClamAV)
PDF/CVE-2007-5020 (eTrust)
Exploit.Win32.AdobeReader.b (Kaspersky)
Exploit.Win32.AdobeReader.k (Kaspersky)
Exploit-PDF.Shell (Mc Afee)
Exploit:Win32/RdrJmp.A (Microsoft)
Troj/PDFex-A (Sophos)
Trojan.Pidief.A (Symantec)
EXPL_PIDIEF.B (Trend Micro)
Gozi Trojan


TAILLE :
4 Ko

DECOUVERTE :
23/10/2007

DESCRIPTION DETAILLEE :

Pidief.A est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique dont le titre, le corps et le nom du fichier joint sont variables. L'adresse de l'expéditeur du message est usurpée ou composée aléatoirement.

Quelques titres de messages :

INVOICE alacrity
INVOICE depredate
STATEMET indigene
La pièce jointe est un fichier possédant une extension .pdf, dont la taille est environ 4 Ko :

INVOICE.pdf
YOUR_BILL.pdf
BILL.pdf
STATEMET.pdf

Si ce fichier est ouvert sur un ordinateur Windows XP non à jour dans ses correctifs de sécurité, le cheval de Troie se copie sur le disque sous le nom ldr.exe, s'exécute en exploitant la faille PDF, désactive le pare-feu de Windows puis tente de télécharger et d'exécuter d'autres programmes malicieux depuis un site distant. Ces documents PDF piégés et leurs variantes ne présentent aucun risque pour les ordinateurs mis à jour suite à l'alerte du 22/10/07.

[Serge Loriaux]

Phishing visant la banque Desjardins (04/01/08)

Une nouvelle escroquerie par phishing cible les clients de la banque Desjardins. Elle se présente sous la forme d'un courrier électronique en français et anglais intitulé "Faites la mise ? jour maintenant !", envoyé en apparence par la banque (Securit? Desjardins <securite@spd.fr.desjardins.com>):

Le message est rédigé dans un français grossièrement traduit et certains caractères accentués sont incorrects :

"Membres Accesd /AccesD members
Cher Membres AccesD: Particuliers et Entreprises
Nous avons r?cemment pass? en revue nos serveurs, et suspectons que votre compte ait pu avoir ?t? consult? par un tiers non autoris?. La protection de la s?curit? de votre compte et du r?seau Accesd est notre soucis primaire. Par cons?quent, comme mesure pr?ventive, nous avons temporairement limit? l'acc?s aux dispositifs sensibles de votre compte DESJARDINS. Veuillez vous identifier en suivant ce lien: Faites la mise ? jour maintenant
Dear AccesD Members: Personal and Business
We recently reviewed our server, and suspect that your account may have been accessed by an unauthorized third party. Protecting the security of your account and of the DESJARDINS network is our primary concern. Therefore, as a preventative measure, we have temporarily limited access to sensitive DESJARDINS account features. Please fill the form on that link to renew your info. Update your info now
Conjuguer avoirs et ?tres Copyright © 2008 Mouvement des caisses Desjardins. Tous droits r?serv?s. "

Sous prétexte d'une possible intrusion dans son compte, le message demande au destinataire de cliquer sur un lien hypertexte puis de saisir ses identifiants bancaires et plusieurs informations personnelles. Il ne faut pas cliquer sur le lien contenu dans le courrier électronique, car il conduit à une imitation du site de la banque Desjardins contrôlée par un individu malveillant. L'adresse du lien hypertexte figurant dans le code source du message n'est pas celle du site officiel, mais conduit à une page hébergée au sein d'un site japonais dont la sécurité a été compromise.

[Serge Loriaux]

Virus: Agent.DWA

Agent.DWA est un virus qui se propage via le logiciel de messagerie instantanée Microsoft MSN Messenger. Il se présente sous la forme d'un message contenant un lien vers un site Internet affichant une photo du destinataire en petite tenue. S'il clique sur ce lien, il est en fait invité à ouvrir un fichier avec extension .com qui est le virus.

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier douteux sans avoir fait confirmer son envoi par l'expéditeur présumé du message puis l'avoir analysé avec au moins un antivirus à jour.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter une réinfection. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser MSNFix pour supprimer Agent.DWA. http://www.secuser.com/telechargement/index.htm#MSNFix

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
BackDoor.Ircbot.CRQ (AVG)
Trojan.Win32.Agent.dwa (Kaspersky)
Backdoor:Win32/IRCbot.gen!F (Microsoft)
Win32/IRCBot.ACH (NOD32)


TAILLE :
29 Ko

DECOUVERTE :
10/01/2008

DESCRIPTION DETAILLEE :
Le virus Agent.DWA se propage via le logiciel MSN Messenger et se présente sous la forme d'un message prétendument envoyé par un contact connecté, accompagné d'un lien vers un site Internet malicieux.

Quelques exemples de lien piégé :

http:// naked4friends. com/?=[adresse MSN du destinataire]
http:// members.lycos. nl/nakedgirl/?=[adresse MSN du destinataire]
http:// www.family-naked. com/?=[adresse MSN du destinataire]

Quelques exemples de message :

tu es nue?
c?est bien toi ?

Si le destinataire clique sur ce lien, il est invité à télécharger et ouvrir un fichier avec une extension .com (par exemple nakedmodel18.com, naked0453.com, naked_family8.com) :

Ce fichier en .com n'est pas un raccourci Windows mais un fichier exécutable. S'il est ouvert, le virus se copie sur le disque dur, modifie ensuite la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie régulièrement à tous les contacts MSN puis ouvre une porte dérobée, se mettant en attente d'instructions en provenance d'un canal IRC permettant la prise de contrôle à distance de l'ordinateur.

Si vous recevez des messages semblables, c'est parce que l'ordinateur d'au moins un de vos correspondants est infecté : afin de stopper Agent.DWA, contactez la personne indiquée comme étant l'expéditrice des messages par Messenger ou par courriel pour l'informer que son ordinateur envoie des virus et suggérez-lui de contacter l'ensemble de ses contacts MSN pour les prévenir de ne pas ouvrir les fichiers .com ou sinon de désinfecter leur ordinateur.

[Serge Loriaux]

Un cheval de Troie pourrait vider votre compte de banque!

Le cheval de Troie silentbanker permet au pirate de manipuler le compte de banque de l?usager, transférer de l?argent et même vider ses comptes.

Un nouveau programme de type cheval de Troie circule sur Internet depuis quelques semaines qui pourrait intercepter vos informations bancaires et les expédier à la base de données de l?attaquant.

Le cheval de Troie, qui est appelé silentbanker par la société de sécurité logiciel Symantec (SYMC), peut intercepter des transactions bancaires en ligne qui sont normalement bien protégées. Plus de 400 banques ont été visées partout dans le monde, dont certaines au Canada.

Bien que silentbanker soit considéré par Symantec comme ayant un bas niveau de distribution et étant facile à extraire d?un ordinateur infecté, il est tout de même dangereux parce qu?il opère sans que les usagers ne s?en aperçoivent.

Contrairement aux fraudes bancaires traditionnelles sur Internet, alors que les clients d?une banque sont dirigés vers un site frauduleux ayant les apparences de celui de leur banque, le cheval de Troie silentbanker permet au pirate de manipuler le compte de banque de l?usager, transférer de l?argent et même vider ses comptes.

Le programme permet aussi de voler des informations sur les cartes de crédit et des mots de passe.

Toutes les fonctions du compte de l?usager continuent de fonctionner, et ce dernier ne s?aperçoit d?aucune activité suspecte.

Le programme peut être téléchargé en visitant toutes sortes de sites légitimes.

L?attaque récente a cours depuis environ quatre jours, a affirmé Al Huger, vice-président, sécurité et services, pour Symantec.

En plus des ordinateurs qui ne sont pas munis de logiciel anti-virus, les ordinateurs à risque sont ceux dont les logiciels anti-virus et de navigation sur Internet ne sont pas à jour.

[Serge Loriaux]

Des décharges électriques pour les utilisateurs de portables Dell

Edition du 21/01/2008 - par Vincent Delfau


Les utilisateurs de portables Dell auront peut-être ressenti d'inconfortables picotements en posant les mains sur leur machine. Qu'ils se rassurent : ils ne risquent rien. C'est ce qu'affirme le constructeur, qui reconnaît que certains modèles présentent des problèmes d'alimentation et sont effectivement susceptibles d'envoyer une légère décharge à leur infortuné propriétaire.

Les machines incriminées sont celles arborant une coque en aluminium brossé, comme l'Inspiron 9400, le XPS M1330 ou XPS M1530. De fait, le problème tire son origine de l'absence de prise de terre sur le bloc d'alimentation. Les utilisateurs ayant remplacé ce dernier par un modèle relié à la terre ont cessé de recevoir les décharges électriques. Dell aurait cependant livré la majorité de ses portables avec un adaptateur secteur doté d'une prise standard à deux broches, selon Lionel Menchaca, en charge des média numériques pour le constructeur. Le constructeur réfléchit donc à la mise en place d'un programme de vente d'alimentations comportant une prise de terre, à destination des utilisateurs actuels, à prix discount.

D'ici là, Dell rappelle que les décharges électriques sont certes désagréables mais ne présentent aucun risque, que ce soit pour celui qui pose ses mains sur la machine ou pour cette dernière. Le fabricant conseille également, afin d'éviter d'expérimenter les irritants picotements, de débrancher l'alimentation externe des portables lorsqu'on y connecte des périphériques. Autre solution : relier une imprimante ou n'importe quel autre appareil doté d'une prise de terre au portable.