Étiquette : virus

L’attrape-c… du mois

Après une petite série sur le phishing et autres arnaques, voici un « nouveau (?) » virus courant dans les boîtes aux lettres.

Cela se présente sous la forme d’un mail supposé venir de DHL:

Rien de bien grave, à priori mais méfié vous de la pièce jointe!

Beaucoup d’antivirus ont du mal avec le pièce jointe compressé et avec ce virus en particulier.

Depuis une semaine, chercher à enregistrer cette PJ se traduit chez moi par :

Mon Antivirus détecte l’infection dans la PJ mais uniquement quand je cherche à la manipuler. Le mail n’est pas stoppé ni nettoyé !

Pour info, beaucoup d’antivirus « serveur » laisse le laisse passer:

Méfiance donc !!!

Quelques petits conseils de prudence sur les mails:

  •  le fait de connaître l’expéditeur ne prouve rien
  • Enregistrer les pièces jointes avant de les ouvrir
  • Supprimer les mails écrit dans une langue « non habituelle » pour l’expéditeur
  • Ne jamais suivre les liens contenus dans les mails
  • Avoir un antivirus à jour

Vous vous êtes faits avoir?

Personnellement, je n’ai qu’une solution: analyser votre disque dur avec un antivirus externe et depuis un autre système d’exploitation que le sien.

En clair, faites-vous un live CD avec un antivirus à jour et démarrer votre PC dessus.

Pour mémoire, je n'ai aucun accord avec Kaspersky Lab. - c'est juste mon antivirus personnel. Mon avis sur ce produit n'engage que moi: il n'est peut être pas le meilleur mais ce n'est pas le pire non plus!

Les joies des clés USB

On ne peut plus s’en passer, c’est si pratique!

Les clés USB sont omniprésentes pour les échanges dans les entreprises; les prestataires informatiques en usent aussi largement pour installer leurs mises à jours applicatives, patches et autres drivers…

Ces clés voient parfois des dizaines d’entreprises différentes, des centaines de postes en toute impunité.

Je vais être parano mais: cela met en péril l’informatique de ces entreprises (et le peu de crédibilité qui restaient aux prestataires).

Pourquoi et comment avec ce petit exemple (vrai)

Actuellement, mon métiers fait que j’interviens dans les entreprises pour réaliser la « connexion informatique » de copieurs multifonctions. Cela nécessite d’installer des pilotes (PCL, PS, PC-fax), certaines applications (de communications, serveurs FTP, …). Comme tout le monde j’ai une batterie de clés USB pour cela.

Aujourd’hui, j’ai remarqué une chose qui m’a amusé une bonne heure: sur l’une de ces clés, il y avait deux fichiers: autorun.inf et printer.exe

Ces deux fichiers à priori anodins, ne font pas partie de « mes » fichiers, je les ai donc supprimé sans chercher plus loin.

Sauf que… ils réapparaissaient systématiquement! Idem en les renommant…ou en formattant ma clé! (Yes! enfin un peu de sport!)

Je regarde les processus actifs et je repère un truc qui s’appelle cftmons.exe lancé par l’utilisateur (un processus légitime s’appelle ctfmon.exe).Je stoppe le processus et me lance dans le registre.

Dans HKCU/Software/…/run je trouve un appel étrange à mssql.exe. Comme pour mes 2 fichiers, il ne veux pas être supprimer… (pour l’anecdote: même si les propriétés laissent croire à un fichier de chez Microsoft, la langue d’origine  chinoise trahit le malware).

J’ai arrêté là mon petit bricolage et j’ai lancé un scan complet ma machine….

Je ne vais pas m’étendre sur le fait que le moniteur temps réel de mon AV n’a rien vu… Après tout, celui des clients où cette clé est passée non plus!

Je rassure aussi mes lecteurs: je vérifie mes clés USB tous les jours. De plus, j ‘ai plusieurs clés (avec les même choses) c’est aussi pour éviter de propager les infections glaner ça et là. 

La morale de cette histoire est double:

– Les entreprises font généralement trop confiance aux clés USB (cela rappellera des souvenirs à une grande entreprise du coin)

– les prestataires devraient être irréprochable sur la « propreté » de leurs lecteurs et autres médias amovibles.