Les nouvelles formes d'infections

On 11 avr, 13:59, Cyrius <cyr...@belgacom.net> wrote:

On Fri, 11 Apr 2008 00:17:59 +0200, DePassage <DePass...@hotmail.com>
wrote:

"MBR Rootkit"

A force d'aller à la chasse aux spywares on laisse la porte principale
grande ouverte :-)

http://www2.gmer.net/mbr/

Oui, je viens de découvrir ça ce matin, une cinquantaine de PC de
différentes séries Dell qui ne boot plus sur C.D. et affichent parfois
une fenêtre bleu sous windows, heureusement que le double boot garde
ubuntu.
J'ai utilisé l'astuce aujourd'hui de booter sur disque dure externe,
mais quelque chose me gène toutes fois.
Cordialement

Bonjour ° Bonsoir, le Fri, 11 Apr 2008 00:17:59 +0200, DePassage
<DePassage@hotmail.com> a wroté:

Bien que datant de l'année dernière, ce type d'infection à le vent en
poupe et les techniques d'infections se sont améliorées

Je vous reccomande cette saine lecture :
http://marc-blanchard.com/blog/index.php/2007/12/21/41--dfinitionexplications-les-storm-worm-et-storm-botnet


et pour suivre l'infection décrite (actualité)
http://forum.malekal.com/viewtopic.php?fF&tA95&p(121#p28121


Ensuite on pourrait y ajouter les infection "MBR Rootkit", mais ce n'est
pas encore tout a fait au point car le dropper (programme chargé de
mettre en place l'infection) est pour l'instant détectable

Je quote 'large' pour mes archives (merci continuedepasser)
Et j'abonde sur le MBR Rookit:
http://cert.lexsi.com/weblog/index.php/2008/01/11/204-rootkits-mbr-retour-a-la-case-depart

--
VaN.

houba wrote:

Je quote 'large' pour mes archives (merci continuedepasser)
Et j'abonde sur le MBR Rookit:
http://cert.lexsi.com/weblog/index.php/2008/01/11/204-rootkits-mbr-retour-a-la-case-depart

Oui j'avais déja parcouru ce texte mais sympa de l'avoir remis (j'avais
oublié de le mettre dans les favoris)


Mais ce n'est que la partie immergée de l'iceberg, car on en arrive à
des infections pratiquement indecelables sur d'autres vecteurs

Tiens ex, je me suis amusé avec ce que j'ai décris là :

http://forum.malekal.com/viewtopic.php?fb&t220


Le GROS problème, c'est que c'est transférable à n'importe quelle
application en apparence anodine

Idem du reste pour le WebMediaplayer du site Russe
L'application en elle-meme est propre (enfin une de ces variantes car
depuis un mois rien n'est decelé dans le fichier d'installation ni dans
l'exe.
Par contre lors de l'installation c'est une application tierce qui fait
le sale boulot et là aussi les antivirus sont à la ramasse :

http://forum.malekal.com/viewtopic.php?fF&t’73


C'est pour cela que LUDO a interet de revoir sa page :-)

Et pour se faire peur :

http://www.silicon.fr/fr/news/2008/04/11/kasperksy_prevoit_une_proliferation_des_menaces_pour_2008


Evidemment on pourrait penser que Kaspersky prêche pour sa chapelle,
mais il n'en est rien
De nouvelles souches apparaissent régulièrement, les variantes sont à la
pelle (et les anti virus ne les détectent pas malgré l'appellation
"variante" hormis le trio de tete habituel de temps en temps et en
heuristique.

Bonjour ° Bonsoir, le Sat, 12 Apr 2008 14:38:32 +0200, DePassage
<DePassage@hotmail.com> a wroté:

houba wrote:

Je quote 'large' pour mes archives (merci continuedepasser)
Et j'abonde sur le MBR Rookit:
http://cert.lexsi.com/weblog/index.php/2008/01/11/204-rootkits-mbr-retour-a-la-case-depart

Oui j'avais déja parcouru ce texte mais sympa de l'avoir remis (j'avais
oublié de le mettre dans les favoris)
J'ai vraiment honte pour toi. ;D

http://forum.malekal.com/viewtopic.php?fb&t220
http://forum.malekal.com/viewtopic.php?fF&t’73
http://www.silicon.fr/fr/news/2008/04/11/kasperksy_prevoit_une_proliferation_des_menaces_pour_2008
De toute facon, c'est le délire total depuis au moins 6 mois, la facon

dont les utilisateurs se font régulièrement sodomisés avec ou sans
parefeu logiciel , autre que celui de XP (Outpost, ZA,..).

C'est pour cela que LUDO a interet de revoir sa page :-)
Sois patient, tu sais bien que Maitre Ludo ne percute que dans 7mois.

Nouvelle signature HC en projet. ;)
".Allez, je vous laisse finir, je vois les persiffleurs arriver.
Ecrire pour ne rien dire, je n'ai pas le temps pour cela.
.Sinon, je clos le thread, je te laisse donc le mot de la fin.
.Je clos le thread.
.Amusez-vous bien les verbeux. Je vous laisse la main, je plonke le
thread et surtout pas vos pseudos afin de pouvoir ...."

--
VaN.

C'est pour cela que LUDO a interet de revoir sa page :-)

Sois patient, tu sais bien que Maitre Ludo ne percute que dans 7mois.

Bof votre truc avec
[Avast + http://inforadio.free.fr/articles.php?lng=fr&pgW ]
ne passera pas pas, que cela vous défrise ou non,
les p'tits loups...

Ludovic wrote:

C'est pour cela que LUDO a interet de revoir sa page :-)

Sois patient, tu sais bien que Maitre Ludo ne percute que dans 7mois.

Bof votre truc avec
[Avast + http://inforadio.free.fr/articles.php?lng=fr&pgW ]
ne passera pas pas, que cela vous défrise ou non,
les p'tits loups...

Le problème vois tu c'est qu'une grande partie des gens qui recherchent
comment se protéger vont aller voir ton site, parce qu'une grande partie
de ces gens veulent etre protégés pour faire du P2P, utiliser des cracks
ou des programmes piratés/vérolés, font n'importe quoi avec MSN etc etc
et quand je vois que des petits programmes anodins sont facilement
modifiables avec les dernières infections pour que ce ne soit pas
détectés par les antivirus, ce n'est pas avec ta méthode "sûre à 1OO%"
qu'ils seront protégés.

Ta page était à jour peut etre mi 2007 (et encore je dirais 2006 pour
pas mal de points) mais on est en 2008

Tu lis les forums Malekal, alors apprends à en tirer parti pour modifier
ta page

On Mon, 14 Apr 2008 23:43:44 +0200, DePassage <DePassage@hotmail.com> wrote:

Le problème vois tu c'est qu'une grande partie des gens qui recherchent
comment se protéger vont aller voir ton site, parce qu'une grande partie
de ces gens veulent etre protégés pour faire du P2P, utiliser des cracks
ou des programmes piratés/vérolés, font n'importe quoi avec MSN etc etc
et quand je vois que des petits programmes anodins sont facilement
modifiables avec les dernières infections pour que ce ne soit pas
détectés par les antivirus, ce n'est pas avec ta méthode "sûre à 1OO%"
qu'ils seront protégés.

Aucune méthode n'est sûr à 100% ...

Néanmoins tous les points que tu énumères sont abordés sur
http://inforadio.free.fr/articles.php?lng=fr&pgW ...

Evidemment, il faut prendre le temps de lire.

En général, une fois qu'une personne est enquiquinée par un
virus une fois, elle apprend assez vite à lire et à être prudente
ensuite.

Cordialement,
Ludovic

"I N E E . F R" <Ludovic.F5PBG@Brest> a écrit dans le message de
news:lcg804pb9sv8ccsj9h4i8s4ek4q876765g@4ax.com...

On Mon, 14 Apr 2008 23:43:44 +0200, DePassage <DePassage@hotmail.com>
wrote:

Aucune méthode n'est sûr à 100% ...

SURE !!!
inattention ???

èffe 4 a exposé le 15/04/2008 :

"I N E E . F R" <Ludovic.F5PBG@Brest> a écrit dans le message de
news:lcg804pb9sv8ccsj9h4i8s4ek4q876765g@4ax.com...

On Mon, 14 Apr 2008 23:43:44 +0200, DePassage <DePassage@hotmail.com>
wrote:

Aucune méthode n'est sûr à 100% ...

SURE !!!
inattention ???

incroyable le PBG, tout les moyens sont bons pour son spam, maintenant
il a changé de pseudo afin passer les fitres de ceux qui l'ont bloqué.

--
Message-ID: <87gtq35i1etl2si3554dh6r5admqtnjpc9@4ax.com>
Après "Alexandre le grand" voila "Ludo le magnifique"

I N F O R A D I O . F R E E . F R wrote:

On Mon, 14 Apr 2008 23:43:44 +0200, DePassage <DePassage@hotmail.com> wrote:

Le problème vois tu c'est qu'une grande partie des gens qui recherchent
comment se protéger vont aller voir ton site, parce qu'une grande partie
de ces gens veulent etre protégés pour faire du P2P, utiliser des cracks
ou des programmes piratés/vérolés, font n'importe quoi avec MSN etc etc
et quand je vois que des petits programmes anodins sont facilement
modifiables avec les dernières infections pour que ce ne soit pas
détectés par les antivirus, ce n'est pas avec ta méthode "sûre à 1OO%"
qu'ils seront protégés.

Aucune méthode n'est sûr à 100% ...

Evidemment que non, mais quand tu dis :

"Bof votre truc avec
[Avast + http://ma page perso/articles.php?lng=fr&pgW ]
ne passera pas pas"

C'est ce que l'on déduit.

On a l'impression du bouclier ultime.

Néanmoins tous les points que tu énumères sont abordés sur
http://inforadio.free.fr/articles.php?lng=fr&pgW ...

Evidemment, il faut prendre le temps de lire.

C'est un bot, du copier coller ???

Plusieurs fois on t'a indiqué ce qui devait etre changé ou amélioré, et
tu n'en tiens pas compte.
La seule personne pour laquelle l'avis compte c'est toi et toi seul

En général, une fois qu'une personne est enquiquinée par un
virus une fois, elle apprend assez vite à lire et à être prudente
ensuite.

Tu rigoles ??

Il n'y a que les personnes qui font un usage familial (ou devrais je
préciser de '"père de famille") ou pour des besoins propres qui feront
attentions.
La majorité à la recherche de mp3, films, cracks, site X etc etc s'en
foutent royalement.
Du reste on les revoit tous les 15 jours dans les forums de désinfection
(mais quand ils se font repérer ils se font jeter :-)