Assistance Technique de Calimero

En ce moment traine sur le net un logiciel qui s’appelle Spyware Secure, attention c’est un spyware probablement doublé d’un virus et d’un rootkit. Une fenêtre apparaît pendant la navigation (souvent elle prend les couleurs de Windows pour faire croire à un message officiel) vous faisant croire que votre pc est infecté par de nombreux spyware et vous proposant une désinfection immédiate en cliquant sur OK. Surtout il ne faut pas cliquer, car c’est justement en ce faisant que vous valideriez l’installation de cette m… sur votre ordi, qui dès lors vous saturera de messages alarmants indiquant de nombreux virus, espions et autre présents sur le système et vous proposera de les enlever… moyennant finances… en gros ce logiciel est une escroquerie, visant non pas à vous débarrasser de vos spywares mais de votre porte monnaie.

Si vous êtes infectés, vous pouvez vous en débarrasser en utilisant un logiciel comme Spybot, disponible en cliquant ici

Un logiciel d'authentification basé sur la reconnaissance faciale. Disponible gratuitement en téléchargement, il permet à un utilisateur unique d'accéder à son bureau Windows et de le verrouiller sans aucune manipulation, simplement en montrant son visage devant une webcam.

Lorsqu'il n'y a plus d'activité sur l'ordinateur, pendant un laps de temps déterminé, il se verrouille et ne se débloque que lorsque son propriétaire s'identifie à nouveau devant la webcam.

Ce logiciel, édité par la société Banana Security (le nom ne l’indique pas mais c’est Suisse, vous savez les pros de la sécurité bancaire, paranoïaques du secret et fabricants de Ricola).

Vous pouvez le télécharger en cliquant ici

Ce logiciel marche super bien à part, un petit détail, il nécessite une bonne source de lumière, où une cam qui fonctionne bien dans la pénombre…

Au préalable, il est indispensable d'enregistrer son visage qui servira ensuite de modèle. Mais aucune photo n'est conservée dans l'ordinateur, seule une représentation mathématique est stockée sur le disque dur.

Banana Security prévoit déjà des évolutions à son logiciel : BananaSwitch et BananaServer. Le premier est une version améliorée de BananaScreen. Il permet d'identifier des utilisateurs différents et d'ouvrir la session personnelle de ces derniers. Le second, BananaServer, sera proposé aux entreprises. Quant aux utilisateurs de Mac, il leur faudra attendre la version en cours de finalisation.

Basé sur le moteur antivirus 6.0 de Kaspersky, AOL Active Virus Shield est un antivirus en ligne gratuit, sur le même principe de gratuité qu’Avast, il est cependant moins connu que ce dernier.

Pourtant il est plus performant (petit rappel : Kaspersky est un des leaders reconnu du secteur par ses taux de détection exceptionnels, des analyses antivirus rapides et sa qualité du service), et aussi il consomme beaucoup moins de ressources système qu’Avast (qui consomme pas moins de 87 Mo en utilisation courante et jusqu'à 115 Mo en pointe lors d'une analyse). La seule petite chose qui pourrait rebuter les gens c’est qu’il n’existe pas d’interface en français (il existe, certes un patch, non officiel, que vous pouvez télécharger ici, mais il reste difficile à installer et peut présenter quelques petits bugs)

Cependant, pour les personnes que ça ne dérange pas d’avoir un antivirus en anglais, je conseille cet antivirus.

Tableau comparatif des antivirus gratuits du test de 01.net

En ce moment un virus fait de nouveau des ravages sur msn en se transmettant d'un contact à l'autre par l'intermédiaire d'un lien à cliquer ou d'un fichier à télécharger.

Si vous êtes infectés, il existe un patch pour s'en débarrasser :

 bropia_a-virus-detecteur.zip

 Ce virus s'appelle Bropia :

Bropia.J est un virus qui se propage via le logiciel de messagerie instantanée Microsoft MSN Messenger. Il se présente sous la forme d'un fichier au nom aléatoire avec une extension en .PIF ou .SCR (189 Ko), prétendument envoyé par un contact. Si ce fichier est exécuté, le virus installe une variante d'un autre virus qui autorise la prise de contrôle à distance de l'ordinateur infecté, puis s'envoie aux contacts MSN dont le statut est modifié.

Il peut aussi se présenter sous la forme d'un lien à cliquer 

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

DESCRIPTION DETAILLEE :
Le virus Bropria.J se propage via le logiciel de messagerie instantanée Microsoft MSN Messenger et se présente sous la forme d'un fichier prétendument envoyé par un contact, au nom aléatoire :

• LOL.scr
• Webcam.pif
• bedroom-thongs.pif
• naked_drunk.pif
• LMAO.pif
• ROFL.pif
• underware.pif
• Hot.pif
• new_webcam.pif

Si ce fichier est exécuté, le virus installe une variante du virus Spybot (également appelé Gaobot) qui autorise la prise de contrôle à distance de l'ordinateur infecté, puis s'envoie aux contacts MSN dont le statut est modifié. ce qui en fait un mode de propagation peu efficace. Par ailleurs, Bropia.J ne se propage pas par courriel, donc il n'existe aucun risque de le voir se présenter sous la forme d'un fichier joint à un courrier électronique.

Newdotnet est un spyware, parfois doublé d'un virus qui permet l'accès à votre pc sans autorisation...

Ses principales fonctions sont, entre autres, d'ouvrir des liens vers des sites internet non demandés (qui parfois contiennent d'autres virus) et de changer la page de démarrage d'Internet Explorer (qui c'est qui est content d'utiliser Firefox ? mdr), voire parfois d'ajouter des barres à votre navigateur (un peu comme la Google toolbar ou celle de Yahoo mais en beaucoup beaucoup moins sympas puisque celles-ci ont pour but de vous réorienter vers des sites frauduleux ou d'espionner votre navigation...). Jusqu'à présent, il n'affecte que les pc sous Windows...

Un bon antivirus et un bon antispyware sont en général une protection efficace, cependant (et ça ne veut pas dire que votre antivirus ou votre antispyware sont des merdes), il arrive parfois que vous l'installiez par mégarde (rigolez pas ça m'est arrivé jeudi) en croyant installer un programme utile (et que vous êtes trop crevés pour le scanner avant...), en général, il se cache sous des programmes tels que Kazaa ou des addons (comme ceux de msn par exemple, mais qu'est ce que je suis con parfois moi...).

Il existe plusieurs moyens de l'éradiquer, une méthode simple si vous avez de la chance et la méthode qui prend trois plombes si vous n'avez pas de chance...

La méthode simple :

Allez dans Ajout/suppression de programmes et cherchez une ligne Newdotnet ou Newdonet, si elle y est, vous avez de la chance, il suffit juste de supprimer le programme... Je vous conseille de faire un scan cependant après sur le site de Secuser ou de Panda...

Le méthode qui prend la tête :

• Si vous avez un lecteur de disquettes, il existe un petit utilitaire qui permet en général la désinstallation, vous pouvez le télécharger en cliquant ici. Il suffit alors d’aller dans le menu Exécuter du menu Démarrer et de taper A:uninstall6_38.ex. Vérifiez ensuite s’il ne reste aucun dossier au nom de Newdotnet… sinon supprimer les manuellement et faites ensuite un scan de votre système en ligne.

• 1/ Redémarrer en mode sans échec
  Redémarrez l'ordinateur. Après les écritures du BIOS, appuyez sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.
  Dans ce menu, vous devez pouvoir choisir le mode sans échec (cela se passe avec les flèches et Entrée pour valider).
  Le démarrage en mode sans échec est souvent relativement long. Si vous avez des écritures blanches bizarres, pas d’inquiétudes.
  
  2/ Afficher tous les fichiers
  
  Dans l'explorateur de Windows (par ex) :
  Outils -> Options des dossier -> onglet Affichage
  
  Cochez : Afficher les fichiers cachés
  Décochez : Masquer les extensions des types connus
  Décochez : Masquer les fichiers protégés du système d'exploitation

  
  3/ Supprimer des fichiers
  
  Supprimez les fichiers, dossiers suivants :
  
  C:Program FilesNewDotNet (suppr. ce dossier) C:Documents and SettingsHP_AdministrateurMes documentsjaquelinedesauvilleWinFixer2005ScannerInstallFRA.exe C:Documents and SettingsAll UsersApplication Dataeachwaitamoknurb (suppr. ce dossier) C:DOCUME~1HP_ADM~1APPLIC~1DEFAUL~1shim logo.exe
  Lorsqu'il y a marqué ~1, ça veut dire que vous n’avez que le début du dossier d'écrit.
  Exemple :
  DOCUME~1 = Documents and Settings
  APPLIC~1 = Application Data
  etc...

  
  4/ Redémarrer normalement
  
  Redémarrez normalement l'ordinateur.
  
  
  5/ Remettre la configuration de l'affichage des fichiers comme avant
  
  Dans l'explorateur de Windows (par ex) :
  Outils -> Options des dossier -> onglet Affichage
  Remettez tout comme avant (si vous affichiez déjà tous les fichiers, ne changez rien).
  
  Décochez : Afficher les fichiers cachés
  Cochez : Masquer les extensions des types connus
  Cochez : Masquer les fichiers protégés du système d'exploitation
  
  
  6/ Nettoyer les traces avec CCleaner

  Utilisez un programme comme CCleaner (que vous pouvez obtenir sur ce site) et faites un scan en ligne de votre système.

Les classements mensuels des attaques virales les plus diffusées se ressemblent, avec toujours les mêmes souches présentent sous d'anciennes ou de nouvelles variantes.

Pourtant, le Top 10 de mars des attaques repérées par le réseau mondial de laboratoires de surveillance et d'analyse des menaces de Sophos est marqué par la présence pour la deuxième fois consécutive par la présence d'un cheval de Troie.

C'est une nouvelle démonstration que les cyber-criminels utilisent de plus en plus souvent des formes d'attaques multiformes, associées à des campagnes de spam, pour générer des profits illégitimes.

Détecté au début du mois de mars, le cheval de Troie Clagger-I a été très largement diffusé par son créateur, qui a exploité des techniques de spam pour tenter d'infecter le maximum de gens dans le plus court délai possible. Clagger-I se cachait derrière un faux courriel de PayPal.

Rappelons cependant qu'aucun authentique message de ce service de paiement en ligne, utilisé couramment par les clients de eBay, ne comporte jamais de fichier exécutable en pièce jointe.

"Les utilisateurs d'ordinateurs doivent considérer tous les fichiers joints à des courriels non sollicités avec la plus extrême prudence s'ils ne veulent pas être victimes des escrocs en ligne", commente Annie Gay, vice-présidente de Sophos Europe Continentale, Moyen-Orient et Afrique.

"Quiconque a le malheur d'activer par mégarde un de ces programmes malicieux ouvre potentiellement la porte de son système à des pirates qui peuvent l'espionner, le piller et provoquer le chaos dans les ordinateurs."

Les deux virus de retour dans le classement de mars, Mydoom-AJ en quatrième position et Mytob-Z en dixième place, ont tous deux été détectés pour la première fois en avril 2005. Ces variantes de vers avaient disparu depuis plusieurs mois, mais cette résurgence montre que leur potentiel néfaste demeure intact.

Nyxem-D, alias le ver Kamasutra, qui utilise une série de camouflages à thèmes pornographiques pour se rediffuser et désactiver les logiciels de sécurité, est encore ce mois-ci en troisième position du classement.

Malgré une très large publicité dans la presse depuis son apparition en janvier 2006, ce ver continue donc à tromper de nombreux utilisateurs. Il ne parvient pourtant plus à dépasser ces vieux habitués du classement que sont Netsky-P et le numéro un du mois, Zafi-B.

Quant à Mytob-Z, "C'est un ver particulièrement retors : il se diffuse comme une traînée de poudre et installe un cheval de Troie ouvrant une porte dérobée dans l'ordinateur. Une fois celui-ci infecté, il peut être espionné à distance et utilisé pour lancer des campagnes de spam ou des attaques de déni de service."

"Le retour de Mytob-Z dans le classement démontre une fois encore que sans une solution de sécurité consolidée, les entreprises et les particuliers risquent de perdre la bataille contre les menaces motivées par l'appât du gain et de laisser leurs systèmes et leurs ordinateurs sans défense contre ces attaques répétées."

Les analyses de Sophos montrent qu'en mars, 0,9 % des messages en circulation étaient viraux, soit un sur 108. Le nombre total de virus couverts par Sophos s'élève désormais à 120 042, soit 851 de plus qu'en février.

Le Top 10 Sophos

La liste suivante a été établie pour les virus détectés au cours du mois de mars 2006 :

1. 17,3% Zafi-B
2. 15,3% Netsky-P
3. 7,9% Nyxem-D
4. 4,1% MyDoom-AJ (retour)
5. 3,6% Mytob-EX
6 3,4% Clagger-I (nouveau)
7. 3,1% Mytob-BE
8. 3,0% Netsky-D
8. 3,0% Mytob-FO
10. 2,8% Mytob-Z (retour)

Les autres virus, non mentionnés dans cette liste, sont responsables de 36,5% des infections détectées au mois de mars

Vous pensiez votre ordinateur en sécurité grâce à un antivirus récent et régulièrement mis à jour... Pourtant, le comportement anormal de votre ordinateur vous fait suspecter la présence soit d'un virus non détecté, soit d'un spyware. La solution pour parer à l'urgence est de faire appel à un service antiviral en ligne. Actuellement, seul le service de Panda Software traite aussi bien les virus que les trojans ou les spywares.
C'est donc une solution idéale pour contrôler sa machine sans désinstaller les sécurités présentes ni générer de conflit. Il suffit de se connecter au site Web de l'éditeur et de demander une étude de tout le contenu de l'ordinateur. Le nouveau moteur en ligne de Panda est capable de détecter toutes les menaces présentes mais n'éradique que les virus.

Accédez au site en cliquant ici

Un autre utilitaire dans le même style qu'Easy Cleaner pour nettoyer votre PC : CCleaner

Cleaner est destiné à optimiser ainsi qu’à nettoyer le système.
Le logiciel retire les fichiers inutilisés de vos disques durs, les raccourcis sans cible, les contrôles ActiveX, les fichiers d’aides, les entrées dans le registre, etc. afin de libérer de l’espace et améliorer le chargement de Windows. CCleaner est également en mesure d’effacer toute trace de vos navigations sur le Web en quelques secondes ! L’application supprime les fichiers temporaires, l’historique des sites visités, les cookies, les formulaires, etc. CCleaner prend en charge Internet Explorer et Mozilla Firefox. Enfin, le programme est en mesure de supprimer les documents temporaires ainsi que la liste des documents récemment utilisés de nombreuses applications, tels que eMule, KaZaA, Google Toolbar, Office, Nero, Acrobat, WinRAR, etc.

Télécharger CCleaner en cliquant ici

On nomme rootkit un programme ou ensemble de programmes permettant à un pirate de maintenir - dans le temps - un accès frauduleux à un système informatique. Le pré-requis du rootkit est une machine déjà compromise.
Principe d’un rootkit
Un rootkit utilise des faiblesses du système d'exploitation ou d'un programme ayant des droits particuliers pour, en fin de compte, lancer un shell ou ligne de commande ayant les droits de l’administrateur.
Rôle du rootkit
La fonction principale du « rootkit » est de simplifier, voire automatiser, la mise en place d’une ou plusieurs « backdoors ». Ces « portes dérobées » (utilisables en local ou à distance) permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l’accès frauduleux initial, qui serait tôt ou tard comblée.
Certains « rootkit » opèrent une suite de modifications, notamment au niveau des commandes systeme, voire du noyau (kernel), permettant de cacher des fichiers et/ou des processus...
A la différence d'un virus informatique ou un ver de nouvelle génération, un « rootkit » ne se réplique pas.
L’installation d’un « rootkit » nécessite des droits administrateurs sur la machine, notamment à cause des modification profondes du système qu’il engendre. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » sous linux par exemple, afin de mettre en place son « rootkit ».
Un « rootkit » ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkit » permettent la collecte des mots de passes qui transitent par la machine « corrompue ». Ainsi, un « rootkit » peut indirectement donner l’accès à d’autres machines.
Certains « rootkit » sont également livrés avec des collections d’« exploits », ces petits bouts de code dédiés à l’exploitation d’une faille bien déterminée. Le but est d’aider les pirates dans leur conquête de machines encore vierges.
Le rootkit automatise l’installation d’une porte dérobée ou d’un cheval de Troie. Le ver automatise l’exploitation d’une vulnérabilité à travers le réseau et peut accessoirement installer la backdoor une fois au cœur d’une machine.
Le « rootkit » n’a de raison d’être que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Par transitivité, pas de faille, pas de rootkit.
La discrétion est l’essence même du « rootkit ». Il permet à un pirate de cacher son intrusion et sa présence sur une machine. Le meilleur moyen de se protéger des rootkit est donc de se prémunir contre les failles.
Pour finir, les « rootkit » existent depuis plusieurs années. D’ailleurs, le projet Chkrootkit dédié au développement d’un outil de détection de « rootkit » pour les plateformes Linux, *BSD, Solaris et HP-UX a été démarré en 1997. Le phénomène n’est donc pas nouveau. En 2002, Securityfocus faisait état des avancements en matière de « rootkit » pour les plate-formes Microsoft Windows.

F-Secure a publié un petit logiciel gratuit qui permet de lutter contre ces éléments pervers : BlackLight

Téléchargez ce programme en cliquant ici