|
| ALERTE SERIEUSE : RISQUE DE FORMATAGE DE DISQUE DUR PAR UN WORM MALVEILLANT Message publié par Zefox le 06-10-2003 (répondre) | | | Ce message concerne essentiellement les utilisateurs de KAZAA sous Windows XP.
Mais si vous utilisez les services d'un autre fournisseur de MP3 ( EDonkey, Grokster, Gnutella, Morpheus, Audiogalaxy...etc), les conclusions de ce post vous concernent aussi.
Il n'est pas dans mes habitudes de crier "au loup" et de donner écho aux alertes fantaisistes, aussi je vous demande de lire avec sérieux ce qui suit.
Attention : la menace ici décrite n'a rien à voir avec le Ver BENJAMIN qui touche déjà Kazaa depuis plusieurs mois.
-------------------------------------------------------
Ordinateurs concernés :
- Tournant sous Windows XP (Professionnel & Home)
- Kazaa installé ou ayant été désinstallé récemment
Date de la menace et nombre de victimes actuelles :
- La menace est déjà ancienne, mais les premières victimes recensées ne datent que du Dimanche 5 octobre vers 21h GMT.
- Leur nombre est actuellement d'environ une dizaine connus, mais il est probable que ce chiffre augmentera notablement dans les heures qui vont suivre (beaucoup ne sachant sûrement pas la source de leur problème).
Symptômes préparatoires à l'infection par le WORM :
- Le navigateur EXPLORER est bloqué en page d'ouverture sur le site "passthison.com"
Cause probable :
- Le site "Passthison.com" (spécialisé dans la lutte contre l'espionnage informatique et la lutte virale) est victime d'une attaque de hackers (serait-il complice pour vendre ses produits ?). Ses fenêtres publicitaires peuvent contenir des instructions malveillantes.
Analyse succincte du problème :
Kazaa ne vit que grace à la publicité qu'il génère sur les ordis des utilisateurs par des fenêtres qui s'ouvrent automatiquement ("popups").
Parmi les annonceurs de Kazaa, figure le site de Passthison.
La méthode employée par Passthison pour sa pub est particulièrement "barbare", puisqu'elle consiste à inscrire dans Windows une instruction qui bloque la page d'ouverture d'Internet Explorer sur leur site, le tout associé à un contrôle Active X et à l'ouverture d'autres fenêtres qui vous renvoient à nouveau vers d'autres sites.
Malgré un nettoyage fréquent du répertoire contenant les scripts en cause, le branchement sur Passthison revient régulièrement.
Lors d'un de ces branchement, si une attaque pirate a lieu, un nouveau script publicitaire va se charger sans être vu, avec un petit fichier image. Ces fichiers ont probablement été détournés et renvoyés infectés par un "hacker de haut niveau".
Le script contient une balise OBJECT et une balise APPLET, qui renvoient ensuite à un code, lequel transforme le fichier image en un WORM dont l'instruction finale est le formatage du disque dur.
Ce formatage concerne les disques FAT et NTFS.
Le tout se déroule dans la mémoire vive (RAM) de l'ordi, et seul un firewall de haut niveau détecte l'attaque.
IMPORTANT : A noter que tous les ordinateurs qui présentent les symptômes préparatoires à l'attaque ne sont pas forcément victimes du WORM (il est possible que l'attaque soit sélectionnée vers des fournisseurs d'accès, des clients ciblés ou des zones particulières, et il est impossible de le savoir dans les conditions actuelles).
COMMENT REMEDIER AU PROBLEME ?
Si une fois connecté votre Internet Explorer présente les symptômes décrits plus haut, procédez comme suit :
- d'abord, imprimez ce texte, puis :
1) N'éteignez surtout pas votre ordinateur avant la fin de la procédure
2) Fermez toutes les applications, déconnectez vous d'internet.
3) Lancez le programme de recherche des fichiers, en incluant dans la recherche les répertoires et fichiers cachés et système, et faites une recherche sur tous les fichiers de TOUS VOS DISQUES comprenant le mot "passthison".
La recherche peut être assez longue, selon le volume de VOS disques.
4) Attendez que la recherche soit achevée (ne faites rien d'autre sur l'ordi en attendant)
5) Ouvrez Internet Explorer et allez dans les options.
6) Dans la rubrique "page de démarrage", supprimez la référence à Passthison.com, et remplacez la par une autre adresse internet (par exemple "http://www.taroteam.com/")
7) Cliquez d'abord sur "appliquer" puis sur "OK"
8) Refermez le navigateur .
9) Dans la fenêtre du programme de recherches, mettez en surbrillance tous les fichiers, puis clic droit, et sélectionnez ensuite l'option "supprimer" après avoir noté les fichiers qui apparaissent.
10) Ouvrez le programme "Explorateur Windows"
11) Allez dans le répertoire "corbeille", puis repérez les fichiers que vous venez d'effacer. Sélectionnez les, et effacez les à nouveau (si vous n'avez rien de précieux ou à récupérer dans la corbeille, vous pouvez choisir de vider la corbeille, ça ira plus vite). Si vous utilisez Norton pour protéger votre corbeille, utilisez l'assistant "Wipe" pour effacer définitivement ces fichiers.
12) Allez maintenant sur le disque dur qui charge le système d'exploitation de votre ordi au démarrage (si vous n'avez qu'un seul disque et une seule partition, c'est généralement le disque "C")
13) Allez dans le répertoire "WINDOWS", puis dans le sous-répertoire "system32", puis dans le sous-sous-répertoire "AdCache". Effacez-y tous les fichiers.
14) Si vous possédez un firewall, déclarez le site de "passthison" comme étant interdit d'accès.
15) Refermez toutes les fenêtres, et ETEIGNEZ votre ordinateur (ne choisissez pas "redémarrer").
16) Vous pouvez remettre votre ordi en route et vous reconnecter au Net.
17) Ecrivez à Kazaa pour vous plaindre des méthodes employées par "Passthison". Kazaa ne dispose pas d'une boite-mail pour ce genre de plaintes, aussi utilisez leur service qui sert à rendre compte des bugs : http://desktop.kazaa.com/us/contact/bug.htm
18) Il est possible que vous ayez à renouveler fréquemment cette procédure, sauf si vous n'utilisez plus Kazaa.
Dans tous les cas, pensez à sauvegarder fréquemment vos données et vos fichiers précieux sur un support autre que le disque dur de votre ordi (disquettes, CD...).
Et si vous avez eu les moyens d'acheter un ordi, je pense que vous devriez songer également à investir dans un firewall sérieux !
Il n'est pas utile de faire circuler ce message pour ne pas encombrer inutilement les réseaux. En revanche, vous plaindre auprès de Kazaa est une nécessité, pour obliger le site à mieux sélectionner ses publicitaires.
Enfin, la menace qui vient de se révéler entraîne une réflexion.
La méthode utilisée, les moyens nécessaires à la mettre en oeuvre et les connaissances qu'elle réclame ne sont pas le fait d'un "hacker doué" ou d'un petit génie du piratage. Ca coûte beaucoup trop cher, et il faut des protections sérieuses pour se lancer dans une telle "aventure" sans risquer de se faire pincer.
Ce qui me fait dire qu'on voit là une fois de plus des agissement en sous-main de l'industrie du disque, qui voit d'un très mauvais oeil le développement du MP3, et que donc les autres sites P2P de partage de MP3 sont concernés..
Bon courage à tous ceux qui sont touchés
Zef |
|
| Re: ALERTE SERIEUSE : RISQUE DE FORMATAGE DE DISQUE DUR PAR UN WORM MALVEILLANT Message publié par Zefox le 07-10-2003 (répondre) | | | (mea culpa également, j'ai écrit SpyWares au lieu d'Antispywares.... lol)
En réponse à Boro (et à tous ceux que sa question intéresse)
Il y a plusieurs mois, en me baladant sur un forum informatique, j'ai lu qu'il existait 3 instructions non documentées au sein de windows, lesquelles ont pour but à la fois de bloquer les pop ups, d'interdire les contrôles active X venant d'autres sites que celui où l'on se trouve, et d'empêcher les redirections multiples. Selon le rédacteur de la chronique, ces fonctions ont été volontairement non documentées par Microsoft, puisqu'elles gèneraient d'éventuelles applications à venir, principalement "commerciales" ... encore le fric, toujours le fric !
Ces 3 instructions existeraient à l'état de "prototype" sous Windows 98, mais seraient parfaitement fonctionnelles sous XP.
Je ne me souviens plus du site où j'ai eu cette info, et je n'ai pas eu le réflexe d'enregistrer l'adresse, en me disant que ça se retrouverait facilement. Ca m'était sorti de la tête et ta question m'y ramène.
Je pense qu'avec une recherche sur un moteur spécialisé, tu devrais arriver à la retrouver. (Au passage, on pourrait espérer que JPG, Beuz ou Panurge qui liraient ceci voient de quoi je parle et aient la réponse...)
L'avantage, c'est que ça t'éviterait d'installer un logiciel supplémentaire, car à force d'installer des protections antimachin et des sécurités antitruc, windows qui est déjà une usine à gaz finit par ressembler à un B52 informatique...
Si jamais tu trouves pas, je ne saurais trop te conseiller l'un des logiciels qu'utilise notre Totoxounet national : il est assez stable, et il a la louange de la plupart des rédactionnels et bancs d'essais. Autre avantage : tu donnes ce que tu veux pour payer le logiciel. Dernier point, cocorico, il est écrit par un français qui travaille en Allemagne...
Pour le télécharger :
http://www.safer-networking.org/index.php?lang=fr&page=download
Zoux du Zef |
|
| Re: ALERTE SERIEUSE : RISQUE DE FORMATAGE DE DISQUE DUR PAR UN WORM MALVEILLANT Message publié par {Ephphatha} le 07-10-2003 (répondre) | | | je cite Zefox : "Le site "Passthison.com" (spécialisé dans la lutte contre l'espionnage informatique et la lutte virale) est victime d'une attaque de hackers (serait-il complice pour vendre ses produits ?). Ses fenêtres publicitaires peuvent contenir des instructions malveillantes."
PassThisOn.com n'a rien d'un site spécialisé dans la lutte contre l'espionnage informatique ! Mais d'un site utilisant une forme d'espionnage !
il s'agit dans le cas de "PassThisOn.com" de marketing "viral" ! ce site a défrayé la chronique début 2001 avec l'utilsation abusive et à l'insu de ses visiteurs de scripts VBS, javascripts, de cookies et autres possibilités qui s'apparentent à virus mais ne sont pas des virus !
depuis ce site annonce clairement la couleur aux visiteurs qui arrive par la page d'accueil ... mais si vous arrivez par un lien ailleurs que cette page d'accueil vous aurez droit à tout un déploiement de scripts astucieux autant pour la pub que pour à votre insu mettre leur adresse en page d'accueil de votre explorateur.
voici le texte d'avertissement de leur page d'accueil (désolé pour les anglophobes) :
PassThisOn.com Terms of Service / Privacy notes: PassThisOn.com offers free content and services to consumers. This property is owned by PassThisOn.com, including content, methods, technologies and hardware. If consumers choose to visit and utilize this property free of charge, they must agree to the terms of service and privacy policies described herein. PassThisOn.com features content that may not be deemed appropriate for minors under the age of 18. Parents should monitor their children's use of this site to determine if the content is acceptable for unsupervised access. PassThisOn.com derives most of its revenues by monetizing third-party advertisements via immediate and time-delayed exit consoles (and chromeless borderless pops with close-window links included) that rely on an active Internet connection. PassThisOn.com builds permission-based email lists so that it can communicate with its loyal e-card senders. PassThisOn.com does not sell or rent its list under any circumstances. If PassThisOn.com ceases to do business at a future date, it will not sell or rent its list under any circumstances. Additional privacy details may appear at the bottom of pages that include a form to be submitted. PassThisOn.com uses cookies to authenticate users' identity to prevent forgeries, abusive form submissions, email address verifications, banner ad/ pop-up rotation and pre-populated third-party registration forms. PassThisOn.com prompts and changes consumers' browser behaviors to offer a better user experience and a more targeted advertiser-to-consumer communication system. For example, PassThisOn.com includes "flash" pages that will prompt a verisign alert box to install Macromedia flash player software into the end-user's browser and PassThisOn.com utilizes several technical and business methods to change users' default homepage to one that PassThisOn.com controls (see section below for more information and removal instructions). Some users do not wish to see pop-ups on their web browsers. It is easy to install "pop blockers" which will dissallow that feature. A popular free download is available at google.com. PassThisOn.com NEVER downloads or alters ANYTHING on users' computer EXCEPT default home page settings in accordance to these terms of service. PassThisOn.com also partners with other sites and ad agencies who agree to disclose similar terms of service, to bring more visitors into PassThisOn.com's default homepage network. PassThisOn.com does not attempt to cause any damage or harm in any way. It will, however, use NON-DESTRUCTIVE "scare tactics" (see www.passthison.com/security) for example, to demonstrate the importance that users' secure their computers from malicious hackers, and then PassThisOn.com attempts to sell products designed to secure users' computers. PassThisOn.com adds promotional personalized signature lines to all referral emails. PassThisOn.com enforces a zero-tolerance anti-spam policy. Any user caught using PassThisOn.com to engage in spamming or email-abuse in any way, shape or form will have prompt action taken against him or her, including legal action if necessary. If you do not agree with PassThisOn.com's terms of service or privacy policies, click here to exit now.
Removal Instructions: As part of the terms of service noted above, your homepage may have been switched to one that we control. You can easily fix that by simply changing your default homepage back to that of your preferred site and then simply restart all open browsers or restart your computer (this will guarantee a delayed popup will not reset it.) You can escape any hidden console by selecting it and then click alt-F4. If you have a file named reg.hta or reg2.hta in your startup folder, that may have been placed about three years ago and immediately later terminated. Simply remove that file to assure your homepage is not re-switched. We never download any spyware, adware, trojans or viruses to your computer. The ONLY change we ever make to any setting on your computer is default homepage in accordance with our terms of service. We also conduct viral marketing tests (not to be confused with viruses) to test the effectiveness of "word-of-mouth" referrals to our site. Contact email: passthison_contact@hotmail.com |
|
|
|