S&Cs

Cibleclick est une plateforme qui a fait ses preuves depuis 1997 (date de création aux USA). La simplicité d’utilisation de cette plateforme est l’un de ces points forts. En quelques click, vous accédez à pratiquement toutes les offres, scripts à placer sur votre site !

On trouve des milliers d’annonces sur le web qui proviennent de CibleClick .. mais d’après le moteur de recherche Google, CibleClick est un site qui risque d’endommager notre ordinateur !

Le rapport de Google :

Quel est l’état actuel du site Web cibleclick.com ?

Ce site est considéré comme suspect et vous risquez d’endommager votre ordinateur si vous le visitez.

Une partie de ce site a été répertoriée 2 fois comme générant une activité suspecte au cours des 90 derniers jours.

Que s’est-il passé lorsque Google a visité ce site ?

Sur les 23 pages testées sur ce site au cours des 90 derniers jours, 6 page(s) a (ont) généré le téléchargement et l’installation de programmes malveillants sans l’autorisation de l’internaute. Google a visité ce site pour la dernière fois le 2008-11-18 et un contenu suspect a été détecté sur ce site pour la dernière fois le 2008-11-18.Parmi les programmes malveillants figuraient 8 scripting exploit(s), 2 trojan(s), 1 exploit(s). En moyenne, l’infection a généré 0 nouveaux processus sur l’ordinateur cible.

Le programme malveillant est hébergé sur 8 domaine(s), dont douhunqn.cn, jjmaobuduo.3322.org, ppexe.com.

3 domaine(s) semble(nt) avoir servi d’intermédiaire pour la diffusion de logiciels malveillants auprès des visiteurs de ce site, dont jjmaobuduo.3322.org, ss11qn.cn, douhunqn.cn.

Ce site a-t-il servi d’intermédiaire pour la diffusion de programmes malveillants ?

Au cours des 90 derniers jours, cibleclick.com ne semble pas avoir servi d’intermédiaire pour l’infection de sites Web.

Ce site a-t-il déjà hébergé des programmes malveillants ?

Non, ce site n’a pas hébergé de programmes malveillants au cours des 90 derniers jours.

Comment cela s’est-il produit ?

Dans certains cas, des tiers peuvent ajouter un code malveillant à des sites Web légitimes, ce qui nous amène à afficher le message d’avertissement.

Cela signifie que CibleClick a été injecté récemment via des Iframes malicieuses, en bref l’utilisation de ce service pourra représenter un danger pour les internautes.

Joignez-nous sur le forum S&Cs

Un pirate informatique connu sous le pseudo de Agd_Scorp d’origine turc avait réussi à pénétrer hier -le 19/11/2008- la sécurité de MSN (chine) en modifiant la page d’accueil des deux sous-domaines du site
http://analysys.msn.com.cn -> (Hacked) & http://fundapp.money.msn.com.cn -> (Hacked) (NDR: via une sql injection) en laissant comme vous pouvez voir dans les captures d’écran de Zone-h, un message de salutation à ses amis (sa team).

Le même pirate s’était aussi attaqué au site officiel de l’université privée américaine HARVARD en injectant sa signature dans la base de donnée de l’université (NDR: Via une sql injection aussi), et voilà le résultat http://oresearch.dfci.harvard.edu/or -> (Hacked) & http://researchoffice.dfci.harvard.edu/or -> (Hacked)

(dommage qu’une université pareil n’a pas pu sécurisé son site web)

La sécurité des sites web devient de plus en plus inquiétante, en comptant le nombre des sites attaqués par jour !

Joignez-nous sur le forum S&Cs

A l’occasion de la RSA Conference Europe 2008, Chris Wysopal (aka Weld Pond du groupe L0pht) a donné quelques pistes afin d’aider à la détection des backdoors dans les applications des entreprises. Une tâche complexe, peu glorieuse, mais nécessaire.

Le principe des backdoors est aussi vieux que l’informatique. “Le but est finalement de laisser l’utilisateur installer lui-même la vulnérabilité qui permettra de compromettre sa machine”, résume à merveille Chris Wysopal, ancien membre du groupe L0pht et aujourd’hui CTO de la société Veracode.

Et ce n’est pas de la science-fiction : d’après une étude du Department of Defense américain, citée par Wyzopal, les backdoors sont l’outil privilégié des attaquants de haut niveau. Elles permettent notamment de dissimuler le trafic malveillant aux yeux des IDS/IPS, pour qui il ne s’agit que d’un flux applicatif normal.

Selon Chris Wysopal la détection des backdoors ne peut que se faire qu’en analysant l’application elle-même, car il est très difficile de suivre la “supply chain” d’un éditeur de logiciels. Il existe tout simplement trop d’opportunités de placer une backdoor durant le développement ou la livraison d’une application pour sécuriser cette voie là.

L’analyse préconisée par Veracode est statique (observation du code) : une analyse dynamique (analyse du comportement à l’exécution) est considérée trop complexe. Cette analyse statique peut porter aussi bien sur le code source (ce qui facilite bien entendu la tâche) que sur un binaire.

Mais que rechercher exactement ? Voici une liste de points suspects notés par Chris Wyzopal lors de ses précédents audits :

- Des valeurs statiques (logins, mots de passe ou hashes) stockées en dur dans le code. Par exemple : la paire login / mot de passe qui apparaissait en dur dans Borland Interbase (le fameux “politically : correct”)

- Des valeurs statiques envoyées à la routine de chiffrement. Par exemple la solution NetStructure d’Intel, où un mot de passe était dérivé de l’adresse MAC de l’interface réseau afin de faciliter l’accès des techniciens de maintenance à distance.

- Des variables statiques qui ressemblent à des clés cryptographiques.

- Des paramètres invisibles récupérés depuis l’URL (pour les applications web).

- L’usage de la commande “passthru” en PHP (ou ses variantes). Elle est souvent utilisée dans le cadre d’une backdoor pour exécuter des commandes shell sur le système à partir de l’URL (par exemple le CMS Artmedic).

- Des routines pour dissimuler des blocs de code (en base64, XOR, ou via la fonction eval() ).

- Des constructions de code communes aux backdoors telles que dissimuler une chaîne, la passer à travers une routine de déchiffrement puis directement à une fonction telle eval() ou similaire.

- Des comparaisons avec des valeurs d’adresses IP ou de noms de domaine stockés en dur dans l’application.

- Des routines de chiffrement qui ne sont pas utilisées par le reste du code.

- Des actions qui sortent du cadre de la logique du programme. Par exemple changer l’UID après une condition.

- Des connexions sortantes (usage d’API sockets, etc…) qui n’auraient pas lieu d’être.

Enfin, Chris Wyzopal offre une astuce pour faciliter les audits de binaires : il conseille de procéder systématiquement à une analyse de l’entropie : des portions à l’entropie élevée indiquent généralement la présence de données chiffrées, qui doivent alors être étudiées (d’où viennent elles, comment sont-elles utilisées par l’application…).

Source

Joignez-nous sur le forum S&Cs

Le site officiel du Quotidien d’Oran a été attaqué le jeudi 13 novembre 2008 par un defacer “marocain”.

Le Quotidien d’Oran a une diffusion nationale, imprimé à Oran, Alger et Constantine. Quelques mille numéros sont diffusés chaque jour dans les grandes villes de France. Source: M. Benabbou, Directeur de publication.

On se pose toujours la question, qu’est ce qu’il a le pirate dans sa tête ?

Le message affichait dans le site du quotidien d’Oran (defacé) montre que le defacer n’a rien d’important à nous dire (Un simple hacked by ..) Il voulait juste nous prouver qu’il était capable de le faire. Donc Le quotidien D’Oran n’avait affaire qu’à un petit script kiddie (vu le type d’attaque utilisé) et non pas un hacktiviste engagé comme la plupart le pensent.

Sans oublier que c’est facile de traquer ce genre de personnes, vu qu’ils laissent toujours leurs mails quelques parts, et laissent aussi leurs adresses ip dans les logs.

Cet acte ne saurait compromettre l’activité éditoriale du Quotidien d’Oran.

Joignez-nous sur le forum S&Cs

Vous avez reçu via vos conversations MSN/Windows Live Messenger un fichier ou un message qui ressemble à celui là :

Hey PSEUDODEVOTRECONTACT this site is giving away free [Une message aléatoir], hurry before they give them all away go to    http://VOTREPSEUDO[point]bobzop[point]com

Site web : bobzop.com (Dangereux)

*j’ai remplacé les points pour que les lecteurs ne cliqueront pas sur le lien*

Ne cliquez surtout pas sur le lien, c’est une variante d’un nouveau virus MSN qui s’attaque aux utilisateurs, en leur faisant croire qu’ils ont gagnés quelque chose.

Le lien en lui même n’est pas hyper dangereux (C’est du phishing) vu qu’il fait une redirection vers le site www.incentaclick.com un site qui ressemble a GoogleAdsense, le créateur de ce programme veut gagner de l’argent en piégeant les internautes, jolie façon de gagner de la tune !

Par contre celui là est plus méchant que le premier, dont le message est le suivant :

PSEUDODEVOTRECONTACT check out these awesome pics from the awesome party LOL   http://VOTREPSEUDO[point]cefcell[point]com

Site web : cefcell.com (Dangereux)

Site web : blubak.com (Le même que cefcell)

Ce dernier vous redirige vers une page Php dont le but est de voler vos identifiants ainsi vos mots de passes MSN/WLM

Informations sur les sites web repérés :

Les sites web sont hébergés par le même hébergeur et le même administrateur, par contre l’administrateur utilise un autre programme qui change l’adresse Ip d’hébergeur chaque 2 secondes (D’après mes testes) :

==================

Ip adress 1: 69.64.159.1

Ip adress 2 : 216.52.184.243

Ip adress 3 :69.64.145.229

Ip adress 4 :69.64.157.16

Ip adress X : 69.64.X.X

Ip adress X : 216.52.X.X

Administrative Contact:
TST Management, Inc
Jeff Fisher (tstmanagement@gmail.com)
+507.2021577
Fax: +1.
Edificio Magna Corp.  5th Floor, Office 511
Ave. Manuel Maria Icaza y Calle 51
Panama City, Panama 0000

PA

==================

Ce qui veut dire que ça risque d’être difficile de virer le site web totalement du net !

C’est possible (même sur) qu’il existe d’autres variantes de ce type, et elles peuvent être plus dangereuses (surtout quand-t-ils utilisent une faille navigateur)

Ce site web vient juste d’apparaitre sur le web, donc faites gaffe dés maintenant.

Joignez-nous sur le forum S&Cs

De nombreux magasins d’informatique ont dû faire face ces derniers jours à une arrivée massive de PC défectueux. Tous ces ordinateurs avaient été victimes de programmes anti-virus gratuits qui ont effacé ou mis en quarantaine un fichier nécessaire au bon fonctionnement de Windows.

L’information est relayée par la chaîne privée flamande VTM dans son journal télévisé.

A Turnhout, un magasin a reçu jusqu’à 40 ordinateurs endommagés pour la seule journée de lundi.

Le problème est dû aux anti-virus AVG et NOD32, qui détruisent ou mettent en quarantaine un fichier qu’ils croient à tort infecté par un cheval de troie (trojan), une sorte de virus. Dès lors, Windows ne peut plus démarrer normalement et c’est tout le système qui est bloqué.

Il est risqué de réparer soi-même l’ordinateur car une mauvaise manipulation peut endommager encore davantage le programme Windows. Une réparation par un professionnel coûte environ 50 euros.

Selon le site Depannetonpc.net, l’anti-virus AVG a été victime d’un faux positif lors de la dernière mise à jour de la base de définitions virales. AVG a entre-temps corrigé l’erreur en publiant une nouvelle mise à jour.

Voilà ce qui est plus dangereux qu’un simple virus.

Joignez-nous sur le forum S&Cs

Niveau de risque : Critique

Plusieurs nouveaux défauts de sécurité ont été identifiés dans le navigateur Firefox, la messagerie Thunderbird et l’application SeaMonkey. L’exploitation des failles les plus sévères peut permettre à un individu malveillant ou à un virus d’exécuter du code malicieux sur l’ordinateur de sa victime via une page web ou un courriel piégé.

LOGICIELS CONCERNES :

• Firefox 3.0.3

• Firefox 2.0.0.17 et versions inférieures

• Thunderbird 2.0.0.17 et versions inférieures

• SeaMonkey 1.1.12 et versions inférieures

CORRECTIF :

Les utilisateurs concernés doivent installer immédiatement la nouvelle version du logiciel (2.0.0.18 ou supérieure pour Firefox) via le site de l’éditeur ou le correctif correspondant via la fonction de mise à jour (”?” dans la barre de menu puis “Rechercher des mises à jour…”), afin de prévenir toute exploitation malveillante de ces défauts de sécurité :

• Firefox 3.0.4

• Thunderbird 2.0.0.18 (Non disponible pour le moment)

• SeaMonkey 1.1.13

Joignez-nous sur le forum S&Cs

Paypal, le plus grand système du paiement sur internet, vient de mettre en place des outils gratuits qui doivent parfaire une sécurité informatique digne de ce nom, du moins pour ce qui concerne les attaques phishing.

1 -Mise à jour de votre navigateur Web

2 - Identification des emails PayPal à l’aide de Iconix

• Téléchargez Iconix eMail ID gratuitement

Joignez-nous sur le forum S&Cs

Niveau de risque : Critique

Quatre nouveaux défauts de sécurité ont été identifiés dans Windows. L’exploitation d’erreurs dans le protocole Server Message Block (SMB) et les services Microsoft XML Core peut permettre à un individu malveillant ou à un virus d’exécuter à distance du code malicieux sur l’ordinateur de sa victime à l’ouverture d’une page web piégée ou lors de la connexion à un serveur malicieux.

LOGICIEL(S) CONCERNE(S) :

• Microsoft Windows Vista

• Microsoft Windows XP

• Microsoft Windows 2000

• Microsoft Windows 2008

• Microsoft Windows 2003

CORRECTIF :

Les utilisateurs concernés doivent appliquer immédiatement les correctifs correspondant à la version de leur logiciel via le service WindowsUpdate (en français) ou le site de l’éditeur, afin de prévenir toute exploitation malveillante.

Joignez-nous sur le forum S&Cs

Win32/Sinowal (également connu sous les noms de Mebroot et Torpig) un backdoor Trojan qui reste la menace la plus préoccupante pour les internautes, il est décrit par le cabinet de sécurité RSA comme l’un des vers les plus avancés jamais conçus.

C’est en février 2006 que le laboratoire de recherche d’actions frauduleuses du RSA découvrit ce ver, depuis, on estime que ce ver a pillé durant cette période près de 300 000 comptes bancaires et presque autant de données sur des cartes bancaires en toute discrétion, aussi bien aux États unis qu’au Royaume-Uni qu’en Pologne ou en Australie. Depuis deux ans et demi, le ver reste dans l’ombre et collecte des informations personnelles de site en site.

Selon les chercheurs du FraudAction Research Lab de RSA Security, ce cheval de Troie est actif, sous une variante ou sous une autre, en continu depuis près de trois ans et toujours sous le contrôle d’un même groupe d’individus.
« C’est l’une des menaces les plus sérieuses pour quiconque possède une connexion Internet » déclare Sean.Brady, expert en sécurité chez RSA à la BBC « les gens qui l’ont conçu ont d’ailleurs une très bonne infrastructure ». Par ailleurs, de nouvelles variantes du ver sont régulièrement diffusées afin de doubler les systèmes de sécurité. Aujourd’hui, RSA connaît bien l’architecture du ver et la manière dont il agit, mais personne ne sait qui en est le créateur.

« Les gens pensent que s’ils ne cliquent pas sur un pop-up ou un fichier joint, ils sont hors de danger. Ce que ces gens ne savent pas c’est qu’il suffit de se rendre sur un site pour être infecté. », « celui-ci est très ancien, et pour le maintenir actif, il a fallu un haut niveau de ressources et d’effort. »

En avril 2007, des chercheurs chez Google ont noté la présence de cette menace sur plusieurs centaines de milliers de pages web. En tout, sur les 4,5 millions de pages analysées, une sur dix était suspecte. Cette année, Sophos a découvert plus de 6000 pages sont infectées que chaque jour.

Ainsi les créateurs de ce cheval de Troie ont su faire évoluer leur programme assez régulièrement pour éviter toute détection. « Ils ont toute l’expertise nécessaire à domicile. Nous sommes presque sûrs qu’ils ont utilisé des méthodes de haute disponibilité dignes de certaines grandes entreprises, comme la redondance ou la sauvegarde de données » déclare Sean Brady. Pour trouver une parade à ce malware particulièrement efficace, RSA s’est rapproché des banques concernées et des autres sociétés victimes, mais aucune solution concrète n’est officiellement disponible.

Donc ne visitez pas n’importe quel site et pensez à faire des mises à jours de vos systèmes de protection et surtout de vos navigateurs.

Joignez-nous sur le forum S&Cs