Alessandro Zanello

La base antivirusattuali leur capacité à capturer la reconnaissance de signatures de virus (la reconnaissance d'un fragment de code typique d'un virus spécifique), mais aussi, compte tenu de la fréquence des virus polymorphes (qui change aléatoirement une partie de leur code) sur les techniques heuristiques, à savoir La reconnaissance de comportements malveillants.

En d'autres termes, un programme qui reconnaît les mots de passe decodificandole pour l'accès aux sites de votre programme de transfert FTP probablement être étiquetés comme étant infectés par au moins la moitié de l'antivirus disponibles. Et si l'exe a été chiffré pour la défense et / ou compressées afin d'identifier comme une menace est évident, le plus souvent avec les mots typiques "probablement une variante de Win32.Hack" ou quelque chose similaire.

Le virus d'aujourd'hui ne sont pas comme ils l'habitude d'être, que quand ils ont dit que c'était un virus alors qu'il était.

plus »

Mise à jour: Pour savoir si vous êtes infecté suffit de créer un compte gratuit sur ​​OpenDNS et entrez. Une bannière vous préviendra si requis par votre réseau démarrer "suspect" qui pourraient vous identifier comme étant infecté par le ver.

Préparons-nous à Avril 1, la date à laquelle le fatidique Conficker / Downadup / Kido dans sa troisième version devrait commencer à faire une nouvelle tentative pour endommager des millions d'ordinateurs. Il semble que la menace est sérieuse, ou du moins les éditeurs de logiciels anti-virus comme Symantec et CA de lui donner crédit.

Tout d'abord, mettre à jour le système d'exploitation en allant sur ​​le site de Microsoft et le téléchargement des correctifs de sécurité liés à ce risque (Microsoft MS08-067) pour notre version de l'OS (par exemple Windows XP SP2, Microsoft ® page ici , une copie locale de fichier est ici ).

Le ver Conficker.C a été conçu pour bloquer l'accès aux sites de sécurité, telles que mises à jour Microsoft et la sécurité de la société les principaux logiciels anti-malware, y compris les CA. Une fois infecté votre pc est affecté sa configuration de sécurité, modifier le registre, la suppression et de façon permanente la désactivation des services qui sont des points importants de la «Restauration de la configuration du système" afin d'empêcher la victime réveille à un système antérieur infectés.

Puis nous assurer que notre antivirus est mis à jour, juste au cas où il ya ici plusieurs ressources pour la reconnaissance et l'élimination du ver.

Pour en savoir plus, allez ici , ou pour en savoir beaucoup plus d'à ce site .

Le virus Conficker pose de nouveaux défis aux experts en sécurité: les périphériques amovibles infectés par le virus de l'astuce de l'utilisateur et de faire installer le ver.

Le démarrage automatique de Vista et même la nouvelle version de Windows 7 de rechercher automatiquement des programmes sur des disques amovibles.

Le virus, cependant, en utilisant un fichier autorun.inf altéré morphing pour faire riconoscibile pas facilement intercepter ce processus et fait passer pour un dossier pour ouvrir, en utilisant des techniques d'ingénierie sociale, (voir image ci-dessus): lorsque vous cliquez dessus option, le ver s'installe.

De l'image ci-dessus, nous voyons qu'il ya deux voix qui disent soit "Ouvrir le dossier pour afficher les fichiers."

Que la plupart de haut, en réalité, est fictive: le cours est préréglé dans la fenêtre qui s'affiche lorsque vous insérez un périphérique amovible; trouverez plus de détails dans cet article de F-Secure.

Un article intéressant sur ​​Conficker et comment le supprimer est ici , sur bleepingcomputer.com .

Un outil pour supprimer Conficker est de BitDefender Anti-Downadup outil (vous devez le télécharger à partir d'une poire pc ² ou non infectés, le ver ne vous empêche de contacter le site).

plus »

La présence de l'icône de la clé en face d'un article du WSJ implique que ce n'est disponible que pour les abonnés.

Poire ² Si vous installer et activer l'extension User Agent dans Firefox, qui vous permet de faire apparaître le navigateur Firefox comme s'il s'agissait d'un autre navigateur (Opera, IE, Safari, etc.) Et de s'inscrire comme un Blackberry nouvel agent générique, pour par exemple. avec cette chaîne:

BlackBerry8300/4.2.2Profile/MIDP-2.0 Configuration/CLDC-1.1 VendorID/107UP.Link/6.2.3.15.0

puis préfixé à l'article (http://online.wsj.com/article/SB122710109269040789.html le dire) le prologue qui suit:

http://mobile2.wsj.com/device/article.php?mid=&CALL_URL =

l'obtention d'un total de:

alors vous verrez la version mobile, qui est gratuit (pour l'instant et dure aussi longtemps que vous), même pour les non-abonnés.

Pour faciliter ce processus, une marque déposée ajouter cette adresse, la mention "lu l'article du WSJ":

Il s'agit d'un bookmarklet, une application de nano-javascript qui prend l'adresse actuelle (doit être sur la «diffusion restreinte», l'un pour les non-abonnés), et le prologue prepende dit.

Fondamentalement nous avons un moyen de faire semblant d'être un téléphone mobile, puis lire la version gratuite d'articles.

Abonné depuis de nombreuses années à Altroconsumo, s'inscrire auprès de la gêne et inquiétude quant à leur habitude de proposer le paiement du gouvernement avec une formule, vaguement oppressante.

Il s'agit d'une question de choisir entre payer l'abonnement avec un versement postal au montant de 116,60 euros, ou pour recevoir un rabais de 25% et payer par carte de crédit ou de débit c / c banque ou bureau de poste ( RID) la somme de EUR 87,45.

Étrangement, les cartes prépayées comme VISA Electron sont pas les bienvenus », DEPUIS doit ramper, mais ils peuvent essayer." Ce ne sont évidemment pas garantir la solvabilité de la charge dans les prochaines échéances.

L'explication officielle de la remise est que de telles méthodes permettent Altroconsumo, puis les enregistrer heureux, d'étendre l'avantage pour les utilisateurs. Donc, ce qui justifie les pratiques d'abonnement afin de mieux comprendre les appelants.

Belle.

Mais très peu de crédibilité: si vous souhaitez recevoir par l'intermédiaire d'euros 116,60 c / c postale coûterait 29.15 euros, à la fois directement et accessoirement des coûts et de l'organisation, personne en Italie serait d'utiliser cette méthode de collecte.

En d'autres termes Altroconsumo voit son auditoire comme pâturage sur lequel veut la maîtrise absolue de la charge: nous existons pour les financer, et ils généreusement s'efforcera de protéger nos intérêts.

A l'inverse, le consommateur a tenté par des années d'abus, fait suspect désormais tous les jours de la fraude et publicité mensongère de la défense des consommateurs, et corroborés par des rapports des autres utilisateurs perplexes:

Méfiez-vous des Altroconsumo

Méfiez-vous Altroconsumo

Le Altroconsumo escroquerie - 1

Le Altroconsumo escroquerie - 2

choisir la seule réponse véritable ne peut citoyens, les rebelles et décide, après des années et des années de cotisations (et pas seulement, mais aussi à Altroconsumo Salutest et de l'argent et les droits) qu'une telle attitude n'est pas digne d'une association qui est dit dans la défense Les consommateurs, il était également en parfaite bonne foi.

Le soupçon est en fait dommageable pour la réputation de l'association elle-même et porte atteinte à leur crédibilité. En tant que consommateur qui essaient de me défendre et non pas quelqu'un de payer un droit d'accise à nouveau, sans aucun contrôle et ne pouvait protester contre le recul, si je remarque, pour une charge non désirée.

Alors, adieu Altroconsumo, merci pour m'apprendre à me défendre.

Addendum: si vous souhaitez continuer à apprécier le côté positif de Altroconsumo sans se sentir en danger, la solution est de choisir la charge sur le RID, qui est souvent géré de manière autonome par l'intermédiaire du Home Banking, puis, dès que reçu et vérifié la charge de « abonnement, désactiver le RID autorisée. Pour chaque abonnement expire, vous serez contacté par Altroconsumo, incapable de faire les frais, et vous avez une chance réaliste de renouveler ou annuler votre abonnement.

User Account Control (UAC) est un nouvel ensemble de technologies d'infrastructure qui permettent une meilleure gestion de bureau, tout en réduisant l'impact des logiciels malveillants sur le système. Si la fonction est activée dans Windows Vista, tous les utilisateurs, y compris les administrateurs, connectez-vous avec un compte d'utilisateur standard. Les administrateurs peuvent engager sélectivement les applications administratives peuvent utiliser tous les privilèges du compte seulement lorsque c'est nécessaire. Lorsque les utilisateurs avec des privilèges d'accès à votre compte, connectez-vous dans un environnement realtè d'un compte d'utilisateur standard, mais ils peuvent exécuter leurs applications avec tous les privilèges après l'approbation. Par défaut, les versions actuelles de Windows configurer des comptes utilisateur la plupart des membres de la groupe Administrateurs. Ceci est un risque grave pour la sécurité parce que les producteurs de logiciels malveillants sont plus en mesure de prendre le contrôle complet des systèmes connectés. Avec la fonctionnalité UAC, Vista sépare privilèges d'utilisateur standard et des activités de l'administration, ce qui réduit considérablement les risques d'attaque.

plus »

Il semble millions de sites Web compromis par une attaque comme "injection sql" qui insère un code malveillant dans des pages web en ASP (Active Server Pages langage de script de la plate-forme Microsoft) modifié de sorte que le téléchargement d'un cheval de Troie sur les PC des marins avertis.

Le code injecté est cryptée et commence ainsi:

DECLARE 20% @% S 20NVARCHAR (4000);% SET 20 @ S = CAST (0A-4400450
043004C004100520045002000400054002000760061007200630068006
1007200280032003500350029002C00400043002000760061007200630
06800610072002800320035003500290020004400450043004C0041005
200450020005400610062006C0065005F0043007500720073006F00720
0200043005500520053004F005200200046004F0052002000730065006
C00650063007400200061002E006E0061006D0065002C0062002E006E0
061006D0065002000660072006F006D0020007300790073006F0062006
A006500630074007300200061002C0073007900730063006F006C00750
06D006E00730020006200200077006800650072006500200061002E006
90064003D0062002E0069006400200061006E006400200061002E00780
074007900700065003D00270075002700200061006E006400200028006
2002E00780074007900700065003D003900390020006F0072002000620
02E00780074007900700065003D003300350020006â € |

Une fois décodées regards comme ceci:

DECLARE @ T varchar (255) @ C varchar (255) DECLARE Table_Cursor
CURSOR FOR b.name a.name sélection à partir de sysobjects a, b syscolumns
où a.id = b.id et a.xtype = u et (b.xtype b.xtype ou = 99 = 35
ou b

Recherche avec des cordes www.nihaorr1.com/1.js~~HEAD=NNS Google, ou www.banner82.com/b.js www.adw95.com/b.js~~HEAD=NNS sont des milliers de sites, répartis en deux catégories: ceux qui parlent de ' l'infection, en particulier le forum de programmation ASP, et ceux qui ont installé le cheval de Troie.

Le logiciel (une procédure en JavaScript) n'est pas chargé directement sur le site compromis, mais il ouvre le navigateur sur un châssis volante invisible qui pointe vers un site distant, l'un des trois ci-dessus par exemple citer: c'est ce dernier qui est téléchargé sur votre PC victime du virus lui-même.

Certains trous de sécurité que le virus tente d'exploiter pour installer le cheval de Troie (c'est pourquoi il est une bonne idée pour permettre la mise à jour automatique du système d'exploitation!)

MS06-014 Une vulnérabilité dans les composants Microsoft Data Access Components (MDAC) peut permettre l'exécution de code à

MS07-004 Une vulnérabilité dans le Vector Markup Language pourrait permettre l'exécution de code à distance

MS07-018 Des vulnérabilités dans Microsoft Content Management Server pourraient permettre l'exécution de code à distance

MS07-033 mise à jour de sécurité cumulative pour Internet Explorer

MS07-055 Une vulnérabilité dans l'Afficheur d'images Kodak pourrait permettre l'exécution de code à distance

) ed inserirvi un reindirizzamento sul proprio PC (localhost) che renda inoffensivi gli indirizzi dei siti malevoli, ad es. Mis à part le nettoyage des sites Web par leurs gestionnaires, que pouvez-vous faire personnellement est d'ouvrir le Bloc-notes (notepad.exe) de votre fichier hosts (situé dans c: \ windows \ system32 \ drivers \ etc \ hosts ) et insérer une redirection sur votre PC (localhost) qui rend inoffensifs les adresses des sites malveillants, par exemple. lignes:

www.nihaorr1.com 127.0.0.1
www.adw95.com 127.0.0.1
www.banner82.com 127.0.0.1
nmidahena.com 127.0.0.1
aspder.com 127.0.0.1

Les sites en question ne sera pas aussi réalisable, bien sûr, ceux identifiés à ce jour.

Il suffit que de nouveaux sites sont exploités par des chevaux de Troie et recommencer, de sorte que la meilleure solution est d'utiliser un bon antivirus.

Les sites compromis sont nombreux, beaucoup d'Italiens sont les suivants: il existe des sites institutionnels (municipalités, les provinces et les organisations), les sites privés et de commerce électronique.

Vient immédiatement à l'esprit que ces mêmes techniques peuvent aussi être utilisés à des fins autres: pour prévenir l'apparition de fenêtres publicitaires indésirables au cours de surf, d'empêcher les enfants indisciplinés pour atteindre les sites qui sont considérés comme impropres, etc.

Trouvez ici une liste de domaines à être bloqué par la technique de localhost.

(Source: PandaLabs et www.f-secure.com )