MSNBC Breaking News

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

MSNBC Breaking News

Messagede polo » 16 Aoû 2008, 18:59

Bonsoir,

L'époque où les malwares étaient diffusés principalement sous forme de mail est derrière nous car ils utilisent maintenant d'autres voies. Ceci rend d'autant plus nécessaire une alerte si cette méthode est à nouveau employée. C'est en effet ce que fait le cheval de Troie Exchanger.

La suite sur Futura-sciences.
polo
polo
 
Messages: 236
Inscription: 10 Sep 2005, 08:04

Messagede shl » 16 Aoû 2008, 21:04

Bonsoir,

Ca donne un test de sécurité intéressant : voyons si on peut se faire piéger en ayant seulement Thunderbird et Firefox, sans antivirus.

Dès l'ouverture du message Thunderbird l'indique comme "frauduleux" :

Image


Si on clique quand même sur le lien, Thunderbird donne une nouvelle alerte parce que l'adresse indiquée ne correspond pas à l'adresse réelle :


Image


On passe outre. Cette fois c'est Firefox qui alerte et bloque l'accès au site :


Image


Difficile d'être plus clair. Les développeurs de Firefox ont même pris soin de mettre le lien "Ignorer" en petit pour qu'on ne clique pas dessus par erreur.

Passons malgré tout, on arrive sur le site :


Image


Dans la barre d'adresse on constate que le site n'a pas de nom, il n'est identifié que par son IP. C'est hautement suspect pour site censé appartenir à Microsoft.
On remarque aussi que Firefox affiche encore une barre rouge "Site contrefait !" en haut de la page.

On essaye de cliquer sur le bouton "Close page" : la popup piégée ne s'affiche pas, elle est bloquée par NoScript.

Alors on passe la souris sur le faux bouton "Install flash player" : en regardant l'adresse qui s'affiche en bas à gauche on remarque que le fichier à télécharger se trouve sur un site sans nom.
On clique quand même : nouvelle alerte de Firefox et blocage:


Image


On passe outre : le téléchargement commence. A ce stade, pour être infecté il faut vraiment l'avoir voulu !

Mais je ne suis pas encore infecté, le fichier "Adobe_flash.exe" est inoffensif tant qu'il n'est pas exécuté.
On remarque d'abord que le fichier téléchargé ne pèse que 69 ko, c'est beaucoup trop petit pour être un vrai lecteur flash. Mais assez pour un cheval de troie chargé de télécharger des parasites...

Une petite vérification en soumettant le fichier à VirusTotal : détecté comme trojan par 18 antivrus sur 33 ! De quoi dissuader définitivement d'exécuter ce fichier...


-------------------

Comme quoi avec un minimum de protections, même si on est imprudent il est difficile de se faire infecter. Et encore c'était un test sans antivirus activé, seulement les protections de la messagerie (Thunderbird) et du navigateur (Firefox).

PS : Je n'ai pas pris le risque de le refaire avec Outlook et IE, mais je suppose (au conditionnel) que s'ils offraient les mêmes protections personne ne tomberait dans ces pièges...

A + :wink:
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Développeur
 
Messages: 3562
Inscription: 30 Oct 2004, 23:06
Localisation: Suivez mon regard...

Messagede césar » 17 Aoû 2008, 18:28

Bonjour,

Comment tu as fait le test, Shl ?
Je vois pas d'adresse sur le site. :oops:
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede shl » 17 Aoû 2008, 23:10

Parce que j'ai reçu ce mail il y a quelques jours, mais l'adresse est aussi visible dans leur capture. :wink:
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Développeur
 
Messages: 3562
Inscription: 30 Oct 2004, 23:06
Localisation: Suivez mon regard...

Messagede nickW » 18 Aoû 2008, 22:37

Bonsoir,

CNN and MSNBC Olympic spoof emails - 5 million spam messages per hour
http://securitylabs.websense.com/conten ... 3160.aspx#

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede césar » 19 Aoû 2008, 18:45

Salut,


Ben moi, je me serais fait avoir parce que j'ai désactivé l'anti-phishing.
Quand j'entre l'adresse ip, ça m'amène sur un site noir avec un lien "bypass detection" (j'ai flash désactivé, par défaut) qui m'amène à une "page not found".
Vais-je essayer avec Flash activé ?
Non. :oops:
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede shl » 25 Aoû 2008, 16:47

Re,

Quand j'entre l'adresse ip, ça m'amène sur un site noir avec un lien "bypass detection" (j'ai flash désactivé, par défaut) qui m'amène à une "page not found".

Effectivement le site a l'air déjà mort... Le flash ne changerait rien, en fait il n'y en pas sur le site, c'est juste un prétexte pour faire télécharger leur faux plugin.

Mais même sans l'anti-phishing tu n'aurais pas été infecté, le fichier n'est pas dangereux tant qu'il n'est pas exécuté.

A + :wink:
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Développeur
 
Messages: 3562
Inscription: 30 Oct 2004, 23:06
Localisation: Suivez mon regard...


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 9 invités