En effet, il ne faut pas se fier uniquement à l’antivirus installé sur votre machine si vous avez des doutes sur un fichier non détecté. Pour cela rien ne vaut une analyse multi-moteurs antiviraux.

Il suffit de cliquer-glisser les fichiers sur l’interface pour les ajouter en file d’attente d’analyser, puis cliquer sur Process Queue pour démarrer l’analyse de la file.

Avec Ctrl+P vous pourrez même scanner les processus actuellement lancés. Vous n’aurez plus d’excuse pour analyser les keygens photos de Tati Suzanne.

note : nécessite .NET Framework 4.x (téléchargé à la volée par l’installeur si non présent sur votre PC)

Télécharger JottiQ (1 mo)

Source

Article original écrit par Mr Xhark publié sur Blogmotion le 20/04/2011 | 8 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Les malware d’aujourd’hui sont rarement nocifs à eux seuls. En effet, c’est souvent un exécutable qui s’installe sur l’ordinateur qui va ensuite télécharger des programmes nocifs : les chevaux de troie. Cette technique est très efficace puisqu’une fois l’exécutable installé ses échanges avec Internet sont rarement interceptés par l’antivirus puisqu’il s’exécute avec des droits système.

Un des meilleurs moyens pour se protéger de ces malware c’est d’intercepter les flux internet de ces programmes. ClearCloud est un nouveau système de filtrage efficace puisqu’il fonctionne sur les résolutions DNS. ClearCloud est entièrement gratuit, il est fourni par la société Sunbelt Software, société reconnue en matière de sécurité (éditeur du Firewall Kerio).

Fonctionnement

ClearCloud reconnait et filtre les sites malveillants. Chaque résolution DNS est contrôlée en temps réel par ClearCloud, si le site retourné est malveillant ClearCloud vous bloquera l’accès :

La société affirme traiter de 100 000 à 1 million d’échantillons quotidiennement. Si c’est un faux positif vous pouvez cliquer sur le bouton « Click Here » et (après un contrôle) la page sera retirée des pages malveillantes.

Comment l’utiliser

Il vous suffit de définir manuellement les DNS dans votre ordinateur ou dans votre routeur par ceux-ci :

74.118.212.1 : primaire
74.118.212.2 : secondaire

Si vous ne savez pas configurer un serveur DNS toutes les explications sont ici et vous trouverez même un « configurateur » automatique pour Windows.

Conclusion

Je trouve que ce type de service est intéressant et je pense que je l’utiliserai lorsque j’ai un fichier douteux qui n’est pas reconnu par VirusTotal ainsi que mon antivirus/antimalware sur mon ordinateur.

Ce que j’apprécie moins c’est le principe des DNS menteurs utilisé par ClearCloud pour répondre aux pages introuvables… Mais je suis conscient que c’est grâce à ce moyen que ClearCloud peut fournir ce type de service gratuitement à chaque internaute.

En revanche, la vitesse de résolution DNS est plutôt rapide donc c’est un bon point. Je vous rappelle également qu’en utilisant un DNS différent de celui votre FAI vous ne lui simplifiez pas la tâche de contrôle du surf Internet puisqu’il ne verra passer que des adresses IP au lieu d’URL…

ClearCloud – FAQ – Statut des serveurs

Article original écrit par Mr Xhark publié sur Blogmotion le 14/11/2010 | 4 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Je vous propose au travers de ce billet un résumé de la situation qui s’éparpille dans un tous les sens sur les sites d’informations.

Internet explorer 6, 7 et 8 sont impactés par cette faille permettant l’exécution de code arbitraire à distance (remote shell). Microsoft annonce d’ores et déjà qu’un correctif d’urgence sera beinttôt  disponible sans pour autant attendre les patch Tuesday (tous les deuxièmes mardi de chaque mois). Microsoft tente de minimiser cette information en recommandant aux utilisateurs de IE 6 & 7 de migrer vers la version 8 dans laquelle la protection Data Execution Prevention est activée par défaut.

Personnellement je vous conseille d’utiliser un navigateur alternatif tel que Firefox, Opera reconnus stable et sans failles béantes.

Voici l’information officielle des contacts Microsoft Entreprise :

Internet Explorer 6
Windows 2000 : Exploitable
Windows XP :  Exploitable (et exploité)
Windows Vista et 7 : néant

Internet Explorer 7
Windows 2000 : néant (IE 7 n’est pas disponible pour Windows 2000) Windows XP : Potentiellement exploitable mais l’attaque en cours est sans effet
Windows Vista : grâce au mode protégé d’IE, l’exploitation ne fonctionne pas.
Windows 7 : néant

Internet Explorer 8
Windows 2000 : néant (IE 8 n’est pas disponible pour Windows 2000)
Windows XP : Grâce à la protection DEP active par défaut sur Windows XP SP3, l’exploitation ne fonctionne pas.
Windows Vista : Grâce au mode protégé d’IE et à la protection DEP, l’exploitation ne fonctionne pas.
Windows 7 : Grâce au mode protégé d’IE et à la protection DEP actives par défaut, l’exploitation ne fonctionne pas.

Voici les conseils que nous vous recommandons de suivre pour mieux vous protéger si vous utilisez Windows XP avec Internet Explorer 6 :

1. Si cela vous est possible, Installez Internet Explorer 8 ;
2. S’il ne vous est pas possible d’installer Internet Explorer 8, passez à la dernière version de Service Pack en appliquant le Service Pack 3 de Windows XP (et toutes les mises à jour postérieures au SP3) ;
3. A défaut d’appliquer le SP3, si vous utilisez Windows XP SP2, vous pouvez activer manuellement la protection DEP (Data Execution Prevention) ;
4. Mettre en œuvre les éventuelles autres solutions de contournement et atténuations citées dans l’avis de sécurité.

Une faille 0-Day c’est quoi ?

Une fois 0-Day correspond à des attaques qui exploitent une faille d’un programme jusqu’alors inconnue. Cela va peut-être en surprendre quelques-uns, mais certaines failles sont connues des éditeurs et pas corrigées pour autant… voilà qui les différencie avec les failles 0-Day.

Détecter la vulnérabilité avec Stinger

George Kurtz (McAfee Chief’s Technology Officer) a publié un long billet sur son blog au sujet de cette attaque Aurora que je vous invite à lire. L’éditeur antiviral McAfee a semble-t-il été le premier à comprendre que l’attaque se basait sur Internet Explorer. Une attaque très minutieuse et professionnelle selon 01net.

McAfee Labs vient de mettre un ligne l’utilitaire Stinger pour « Aurora », celui-ci détecte et élimine les menaces associées aux attaques de l’Opération Aurora. Cet utilitaire peut être téléchargé gratuitement à partir du McAfee Threat Center (lien direct) :

Le plus sage étant de mettre à jour Internet Explorer en version 8 (la 9 ne va pas tarder) et de ne plus l’utiliser comme le conseille le CERTA.

Aurora déjà exploitée

Metasploit (projet de sécurité open-source) a d’ores et déjà intégré l’exploit dans son framework. Un billet complet à ce sujet est consultable histoire de montrer à Microsoft que cette faille est importante et qu’il ne faut pas la minimiser.

Conclusion

Le cas le plus problématique se trouve en entreprise. Nombreuses sont encore celles qui utilisent Internet Explorer 6 pour des questions de compatibilité avec des applications qui ne tournent pas sur les versions ultérieures ou migrer vers un autre navigateur.

C’est pour cette raison que Microsoft doit de toutes façon sortir un correctif.

Article original écrit par Mr Xhark publié sur Blogmotion le 20/01/2010 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Les faux antivirus se propagent à travers des navigateurs non fiables tel que Internet Explorer dans sa version 6 voir 7 et 8 pour peu que l’utilisateur accepte les composants de type activex.

Voici une liste de faux antivirus : Cyber Security,Alpha Antivirus,Braviax,Windows Police Pro,Antivirus Pro 2010,PC Antispyware 2010,FraudTool.MalwareProtector.d,Winshield2009.com,Green AV,Windows Protection Suite,Total Security 2009,Windows System Suite,Antivirus BEST,System Security,Personal Antivirus,System Security 2009,Malware Doctor,Antivirus System Pro,WinPC Defender,Anti-Virus-1,Spyware Guard 2008,System Guard 2009,Antivirus 2009,Antivirus 2010,Antivirus Pro 2009,Antivirus 360 et MS Antispyware 2009.

Les faux antivirus sont des programmes nuisibles derrière lesquels se cache un virus, trojan, malware ou autre cochonnerie. Ils se comportent comme un antivirus en cas de détection d’un virus… sauf que le virus c’est le programme en lui même.

Pour faire tomber les utilisateurs dans le panneau, rien de plus simple : une fenêtre (de type popup) s’ouvre dans votre navigateur vous informant que votre PC est contaminé, ce qui est biensûr totalement faux. Cette fenêtre ressemble en touts points à celle d’un réel antivirus, même les utilisateurs avertis sont suceptibles de tomber dans le piège. A ce stade votre machine n’est pas encore contaminée puisqu’il s’agit d’une simple page web.

Les fichiers listés ne sont en rien ceux qui sont sur votre machine, mais des noms génériques présents sur tous les PC, ce qui rend difficile pour un utilisateur lambda de discerner cette supercherie :

Le faux antivirus vous propose ensuite de corriger les fausses infections et autres faux problèmes détectés via un bouton attractif. C’est à ce moment là que vous déclenchez l’infection, au travers d’une iframe, activex, exécutable et j’en passe. Après avoir lancé ce fichu programme, vous vous retrouverez avec un réel programme associé à un processus fonctionnant sur votre machine. Et les relances seront nombreuses pour corriger les virus… cette fois ça y est, le virus est confortablement installé dans votre machine.

Remove Fake Antivirus est un utilitaire gratuit qui compile tous les removals en 83Ko seulement. Il est ainsi capable de supprimer toutes les cochonneries listées en début de ce billet :

Il vous permet d’éradiquer de votre PC tous ces faux programmes en attaquant directement votre registre et les fichiers associés à ces malware.

Remove Fake Antivirus

Quelques précautions

Pour éviter de vous retrouver avec ces faux antivirus et antispyware sur votre PC, voici quelques conseils :

1. Utiliser un navigateur récent et à jour de type Mozilla Firefox, Opera ou Chrome / Safari munis de protections anti-phishing
2. N’utiliser Internet Explorer qu’en cas de dernier recours
3. Avoir un antivirus à jour installé : Avira Antivir est le plus performant des solutions gratuites (analyse heuristique)
4. Avoir un antispyware résident à jour. Dans le cas contraire scanner au moins le PC tous les 15 jours avec Super Antispyware Free ou Malwarebytes Antimalware Free

Je vous recommande également de vacciner vos clés usb contre les attaques.

Enfin gardez votre navigateur internet à jour, Firefox le fait automatiquement par exemple.

Source: Raymond.cc

Article original écrit par Mr Xhark publié sur Blogmotion le 27/10/2009 | 8 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

La clé USB fait partie des périphériques mobiles qui sont connectés sur de très nombreuses machines au cours de leur vie. De la même façon que sur les disquettes de l’époque, les virus n’hésitent pas à s’installer dessus.

L’arrivée des disques (CD et DVD) avait permis de limiter ce phénomène par la lecture seule du média, rendant l’écriture impossible et de façon intrinsèque l’infection de ces types de supports.

Certaines clés disposent d’un interrupteur permettant d’interdire la lecture, ce qui s’avère très pratique lorsque vous connaissez le niveau d’infection d’une machine pour éviter les dégâts. Pour éradiquer les virus présents il arrive parfois de ne pas avoir d’autre recours que de passer par une clé USB, sans parler de l’aspect pratique.

En effet, connecter une machine infectée sur le réseau risquerait de contaminer d’autres machines, graver un CD/DVD pour y déposer les programmes de désinfection se révèle couteux (ou fastidieux s’il s’agit d’un ré-inscriptible).

Voici deux logiciels qui vont vous permettre de vacciner une clé USB pour vous protéger par exemple du récent Conficker qui a beaucoup fait parlé de lui.

Panda USB Vaccine

Panda USB Vaccine est un logiciel gratuit de l’éditeur antivirus Panda Security qui permet de désactiver l’exécution automatique (autorun.inf) sur une clé USB.

Avant toute chose, sachez qu’une clé USB vaccinée par ce logiciel le restera tant que vous ne formaterez pas de nouveau la clé.

J’attire votre attention sur les options proposées lors de l’installation :

Cocher Enable NTFS file system support si certaines de vos clés disposent de partitions NTFS (utile sur les clés de plus de 2Go mais). Je vous déconseille l’option « Automatically vaccinate any new insterted USB Key » pour éviter de vacciner vos cartes flash d’appareils photos, PSP, téléphone portable, etc.

Pour vacciner une clé insérez-là puis sélectionnez la lettre de lecteur correspondante (vérifier dans le poste de travail si besoin) et cliquez sur Vaccinate USB :

Le bouton Vaccinate computer permet de désactiver l’exécution automatique sur tous les périphériques (CD, DVD, USB, SmartFlash, etc.).

Si vous ne connaissez pas l’impact d’une telle manipulation ne le faites pas car vous devrez par la suite explorer les médias manuellement afin de lancer le programme habituellement exécuté via l’autorun.

En entreprise cette fonctionnalité est généralement implémentée au travers d’une stratégie de groupe par votre administrateur système.

Pour conclure, Panda USB Vaccine fait parfaitement ce qu’on lui demande, et gratuitement. Il dispose également d’un accès via ligne de commande (cf. documentation).

Compatibilité : Windows 2000, XP, 2003, Vista.

Panda USB Vaccine

GGreat USB AntiBody (USBAB)

GGreat USB Antibody est un utilitaire gratuit qui ne se limite pas à la protection de l’autorun. Il va plus loin en proposant une analyse (benchmark) du niveau de vulnérabilité aux virus de la clé.

Sélectionnez la lettre de lecteur puis cliquez sur Analyze :

Le deuxième onglet permet de lister les programmes potentiellement dangereux et présents dans l’autorun ainsi qu’à la racine de la clé (uniquement basé sur l’extension des fichiers) :

Le dernier onglet permet de protéger le fichier autorun.inf de façon similaire à Panda USB Vaccine :

On regrette toutefois que les options de protections avancées ne soient disponibles que dans la version payante de GGreat USB Antibody.

Compatibilité : Windows 2000, XP, 2003, Vista.

GGreat USB Antibody

Conclusion

Les créateurs de virus et de malware le savent, les clés USB sont une cible privilégiée pour contaminer des machines qui sont parfois déconnectées du web. Pour éviter de rendre votre clé inutilisable suite à une infection de type autorun mais également de contaminer une machine saine je vous recommande de vacciner vos clés.

En complémenter, je vous invite à lire cet excellent article sur les infections chez Zebulon ainsi que quelques moyens de désinfection chez CCM s’il est déjà trop tard pour votre clé. Enfin, vous pouvez interdire l’écriture sur une clé USB au moyen d’une modification du registre.

Article original écrit par Mr Xhark publié sur Blogmotion le 15/10/2009 | 3 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons