Tutoriel Combofix

Une partie du contenu de cette page a été désactivée le February 23, 2017 suite à la demande de retrait DMCA de BERTRAND Thibault. Vous pouvez en apprendre plus sur le DMCA ici :

https://wordpress.com/support/copyright-and-the-dmca/

Sécuriser son Windows (version courte)

Voici synthétisés les quelques conseils recueillis qui peuvent améliorer de manière plus que sensible la sécurité de votre Windows.

Voici une configuration proposée, encore une fois, ce ne sont pas les programmes installés qui font la sécurité ou feront la différence mais votre attitude et comportement sur internet.

• La sécurité de son Windows, c’est quoi ?
• Pourquoi et comment je me fais infecter? et Comment les virus informatiques sont distribués.
• et pour mieux appréhender certains termes ou notions, se reporter à la page index des protections

Pour vous tenir informer des menaces, vous pouvez vous inscrire à une newsletters
ou se rendre sur le site gouvernemental de l’ANSSI : http://www.cert.ssi.gouv.fr/

Sécuriser son Windows :

Pour les utilisateurs de Windows Vista/Seven, si vous avez désactivé l’UAC, c’est une bien belle erreur, je vous conseille vivement de le réactiver.

La configuration ci-dessus prend en compte le faite que l’UAC est activé et que les utilisateurs ont compris son intérêt.
Si l’UAC est désactivé, vous surfez certainement avec les droits administrateurs, vous avez alors réduit de manière significative la sécurité de votre Windows.

Avant d’installer un nouvel antivirus, il est possible que vous aillez un antivirus installé sur votre Windows lors de l’achat (souvent Norton, McAfee ou Trend-Micro), pensez à le désinstaller depuis le panneau de configuration puis programmes et fonctionnalités.
Deux antivirus sur le même Windows, ce n’est pas bon, du tout.

• Un antivirus gratuit :
  • Antivir
  • Avira

Nous déconseillons les antispywares .

• Malwarebytes Anti-Malwares en version gratuite pour effectuer des scans réguliers : — s’assurer que Windows Defender est bien désactivé : desactiver-windows-defender-t52282.html
• Côté réseau, le programme GlassWire : monitorer ses connexions réseaux est très bien fait pour surveiller les connexions établies par les programmes.
• Bloquez les adresses potentiellement dangereuses :
  • Blockulicious permet de filtrer les adresses distribuant des adwares et programmes potentiellement indésirables

» Important : Pensez à activer la détections des PUP/LPI sur votre antivirus !

Quelques mots :

• Le pare-feu de Windows Vista/Seven est amplement suffisant, les utilisateurs avancés pourront se tourner s’ils le souhaitent vers une alternative qui demande quelques connaissances (Outpost, Comodo ou ZoneAlarm).
• L’utilisation de programmes comme Sandboxie et DropMyRight/StripMyRight est inutile sous Windows Vista/Seven puisque l’UAC rempli sont rôle et Internet Explorer fonctionne déjà dans un bac à sable.

Sécuriser son navigateur WEB

• Sécuriser Firefox
• Sécuriser Internet Explorer
• Sécuriser Google Chrome

Et pour la vie privée, bloquer les Trackings Cookies !

Et si vous êtes sur Windows 10, les bon réglages.

Si vous n’en avez pas l’utilité – il est fortement conseillé de désactiver Java sur votre navigateur WEB – voir les pages précédentes sur la sécurisation de ses navigateurs WEB

Éventuellement adjoindre ExploitShield Browser Edition qui permet de bloquer les Les Exploits sur les sites WEB piégés

Infection par un Web Exploit en vidéo : https://youtu.be/Cx-VucFxv0I

ou des bloqueurs d’URLs malicieuses :

• Trend Micro Web Protection Add-On
• Blue Coat K9 Web Protection (Gratuit pour un usage personnel)
• WOT

Désactiver l’exécution de scripts/Macros (Windows Scripting Host, etc)

Il est fortement conseillé de désactiver l’exécution de scripts qui peuvent permettre l’infection de votre Windows par email ou par média amovibles.

Mais aussi les Macros malicieuses qui peuvent être utilisées dans des campagne de mails malicieux (par exemple).

Notamment le programme Marmiton permet de filtrer ces scripts.

Si vous avez des enfants : Contrôle Parental

Windows fournit un Contrôle Parental qui permet de filtrer les applications utilisées, limiter l’utilisation du Windows à des plages horaires ou encore bloquer le contenu des sites WEB visités.
Pour plus d’informations, se reporter à la page : Tutorial Contrôle Parental Windows

Maintenir son Windows sécurisé et non vulnérable

Pour beaucoup la sécurité se résume à l’installation d’un antivirus et antispyware.
Windows et des logiciels non à jour rendent votre Windows vulnérable, la simple visite d’un site hacké peut entraîner l’infection de votre Windows.

Exemple en pratique d’un internaute infecté dans la partie Virus : si vous ne réglez pas les problèmes de vulnérabilités en amont, le choix en aval d’un antivirus ne réglera pas les problèmes.

L’utilisateur est LE RESPONSABLE de sa sécurité. Elle ne peut être déléguée entièrement à aucun programme.

• Maintenir Windows à jour est très important
• Maintenir ses logiciels à jour dont son navigateur WEB est aussi très important. Scanner votre Windows afin de vérifier si vos logiciels comportent des failles de sécurité. Vos logiciels non à jour rendent votre Windows vulnérable.

Avoir Java / Adobe Reader et Flash à jour et extrêmement important.

Ne pas avoir un comportement à risque sur internet

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l’inverse – Les fichiers/programmes c’est comme les bonbons, quand ça vient d’un inconnu, on n’accepte pas pas

Les infections ne viennent pas toutes seules… un comportement à risque engendre les infections.
Encore une fois… si vous êtes infectés, ce n’est pas votre antivirus qui est inefficace mais vous qui avez une attitude à risque ou n’êtes pas assez méfiant : ne prenez pas comme acquis tout ce qu’on vous propose, soyez critique et vigilant!

La sécurité de votre Windows, ce n’est pas vos antivirus/antispyware, c’est vous qui l’a fait à chaque instant.
Vous cherchez le meilleurs antimachins et à côté de cela, vous ouvrez n’importe quel fichier sur Emule, ou un fichier qu’on vous propose sur un site WEB inconnu…. Cela conduit inévitablement à l’infection.
Les antivirus ont leurs limites, pour comprendre les difficultés des éditeurs de sécurité pour vous protéger des malwares.

• L’utilisation des cracks est risqué
• Évitez les sites pornographiques qui sont une catégorie de sites à risques
• Évitez d’installer les programmes en résultat commerciaux des moteurs de recherche
• Évitez d’installer des programmes gratuits qui se font rémunérer via adwares qui ouvrent des popups de publicités
• Soyez vigilant et n’exécutez aucun fichier dont vous ne connaissez la provenance et dont vous n’êtes pas certain de la provenance (que ce soit par mail, MSN, ou sur un site qui vous dit qu’il faut installer ceci ou cela..)

Soyez critiques et méfiants, ne prenez pas pour acquis tout ce que l’on vous dit, n’ouvrez pas tous les fichiers que l’on vous propose. N’importe quel fichier peut-être source d’infection.
Si vous avez le moindre doute, scannez le fichier sur VirusTotal : http://www.virustotal.com/
Cela prends 30s et ça peut vous éviter des heures de galères pour désinfecter son Windows.

Attention même aussi connu comme par exemple, 01net qui propage des Adwares/PUPs via des tutoriels.

Surfer sécurisé

Une autre solution qui permet de ne pas infecter son Windows d’une manière certaine est de surfer sur un OS alternatif. Cette solution demande quelques connaissances minimales informatiques pour être mises en place, elle est donc destinée aux personnes non néophytes.

OU

Ne surfez pas avec les droits administrateurs

et si vous ne pouvez pas faire autrement…. : Installez un programmes de protection à la navigation WEB

Connaître les menaces

Se tenir au courant des menaces et les manières dont elles se propagent permet de les éviter.

Un utilisateur averti vaut tous les programmes de protections installés et ne se fera pas abuser par les pièges tendus par les auteurs de malwares.

Pour aller plus loin dans la sécurité, vous pouvez mettre aussi vos données à l’abri en :
Sauvegardant vos données (si possible dans le Cloud) et en effectuant une image système avec DriveImage XML par exemple.

---

Site contre les menaces informatiques : http://www.stopvirus.fr/

Kaspersky a résumé tout ceci dans l’image suivante :

Kaspersky Sécuriser son ordinateur

Solutions payantes

Si vous souhaitez investir dans des solutions payantes, nous vous recommandons les antivirus suivants :

• Kaspersky
• NOD32

Si vous optez pour un antivirus gratuits vous pouvez lui ajouter en protection la version payante de Malwarebytes

Campagne ransomware « Cryptowall »

Le malware Cryptowall avait, cet été, dépassé les 625 000 infections en 6 mois.

Ce ransomware chiffre vos ducuments et demandent de payer une rançon pour les récupérer, se propageant entre autre par le malware Upatre via des pièces jointes par email ainsi que par des exploits sur site WEB.

Le dernier rapport concernant le ransomware Cryptowall :

Au Total :

• 49 campagnes différentes pour CryptoWall
• 839 serveurs utilisés

et surtout 406 000 utilisateurs infectés de part le monde, la plupart en Amérique du Nord.

La répartition des campagnes Cryptowall :

• 67% par des emails malicieux
• 30% par des Web exploit

Au total, la facture est estimée à plusieurs milliers de victimes, qui ont payé la rançon, pour porter le bénéfice à environ 300 millions de dollars.

Campagne Cryptowall

Pour plus d’informations sur les ransomwares, se reporter au dossier sur les ransomwares chiffreurs de fichiers.

Sources :

http://forum.malekal.com/cryptowall-depasse-les-625-000-infections-t48969.html#p408580
http://cyberthreatalliance.org/cryptowall-report.pdf
http://news.softpedia.com/news/cryptowa … 5582.shtml

CD Live Récupération/Rescue système

Les Live CD peuvent s’avérer très utile dans plusieurs cas de figure (système ne démarre pas, récupération de données, poste vérolé, redimensionnement de partition du disque dur, ghoster le système, etc.).

Qu’est-ce qu’un Rescue Live CD ?

C’est un CD qui embarque un système d’exploitation alternatif accessible depuis un CD/DVD ou une clef USB.
La configuration et modification ou installation de logiciels est perdus lors du redémarrage de l’ordinateur.
Le but n’est donc pas d’utiliser son ordinateur tous les jours mais de manière ponctuels, surtout en cas de problème pour démarrer sur le système d’exploitation installé sur l’ordinateur.

Les Live CD apportent donc plusieurs intérêts :

• Récupérer des fichiers dans le cas où l’OS ne démarre plus
• Diagnostique : Tester son matériel, remonter d’erreur disque, tester les barettes mémoires etc.
• Surfer de manière sécurisé : surfer-maniere-securisee-t5997.html
• Effectuer un scan antivirus
• Effectuer une sauvegarde de type Ghost par une image complète de l’ordinateur (système + données)

Démarrer sur un Live CD

Le principe est de télécharger puis graver l’ISO (qui un fichier image du CD) du live CD puis de booter (démarrer dessus afin d’arriver sur le système alternatif.

Notez que certains éditeurs proposent un programme pour copier le CD sur clef USB.
Il existe plusieurs programmes qui permettent d’installer l’ISO sur une clef USB :

• ISO2Disc – l’utilisation est décrite sur la page du CD Live Malekal : http://www.malekal.com/2013/02/22/malekal-live-cd/
• Le programme WintoFlash : otlpe-sur-clef-usb-via-wintoflash-t35312.html
• PetoUSB aussi : petousb-eeepc-t24701.html

Vous trouverez ci-dessous une liste de CD Live de récupération système.

CD Live Récupération système Windows

inclus des outils de diagnostiques et récupérations Windows.

• Malekal CD Live : http://www.malekal.com/2013/02/22/malekal-live-cd/
• Ultimate Boot CD : http://http://www.malekal.com/2010/11/1 … materiels/
• FalconFour’s Ultimate Boot CD : https://falconfour.wordpress.com/tag/f4ubcd/
• Hiren Boot CD : http://www.hirensbootcd.org/

CD Live basé sur Linux

La plupart de ces CD Live basés sur Linux inclus des outils disque, mémoire (tester les barettes), récupération de fichiers etc.

• Knoppix http://knoppix.net/get.php
• GParted Live plutôt destiné à la modification de partition disque : http://gparted.org/livecd.php
• SystemRescueCd inclus divers outils systèmes (partitionnement/récupération disque, memtest86+ etc) : http://www.sysresccd.org/SystemRescueCd_Homepage
• Ddrescue : http://www.gnu.org/software/ddrescue/ddrescue.html
• Safecopy permet par exemple la copie d’un disque : http://safecopy.sourceforge.net/
• PuppyLinux : http://puppylinux.org/main/Overview%20a … tarted.htm
• Ubuntu LiveCD : https://help.ubuntu.com/community/LiveCD
• ALT Linux Rescue : http://en.altlinux.org/Rescue
• Frenzy LiveCD http://frenzy.org.ua/eng/
• Ubuntu Rescue Remix : http://ubuntu-rescue-remix.org

RogueKiller

L’existence des logiciels malicieux a toujours causé un problème sur Internet. RogueKiller s’attaque aux éventuels rogues en cours d’exécution ou déjà installés sur le disque dur ainsi que certains rootkits. Doté d’une forte capacité d’analyse, il bloque tout processus destructeur de mémoires.

 

Principales fonctionnalités

RogueKiller offre de multiples fonctions dont, entre autres, le scan qui permet de repérer les faux antivirus, même les plus récalcitrants, de les neutraliser voire de les éliminer. RogueKiller est un outil d’analyse qui allie sécurité et fiabilité. Il permet également d’envoyer un rapport d’activités au développeur par email. Il est important de signaler que RogueKiller ne supprime pas les fichiers stoppés. Si le logiciel détecte un faux positif, il est conseillé de décocher les cases correspondantes à la suppression du fichier. RogueKiller permet de nettoyer la base de registre. Pour ce faire, il y a un processus qu’il faut suivre étape par étape. Les outils de diagnostic de ce logiciel permettent de lancer l’analyse sur tout type d’infection et de virus. Le moteur de scan est puissant pour éradiquer le tool système infecté et les rogues les plus coriaces.

Scan (Permet de scanner le PC à la recherche d’éléments infectieux, mais ne les supprime pas)
Suppression (Analogue au mode Scan, mais cette fois-ci supprime les éléments infectieux rencontrés)
Rapport (Permet d’ouvrir le rapport dans le Bloc-notes pour pouvoir le copier-coller à la personne qui désinfecte votre PC)
Fonction réparation du fichier Hosts dans l’onglet Fichier Hosts (Réinitialise le fichier HOSTS)

 

Configurations requises

• Systèmes d’exploitation : Windows XP, Windows Vista, Windows 7, Windows 8 (version 64 bits disponible).

Plus

Efficace pour lutter contre les logiciels malveillants. Le logiciel est simple d’utilisation. L’analyse est très rapide (quelques secondes), ce qui en fait un outil peu contraignant à utiliser.

Moins

Le logiciel peut présenter un dysfonctionnement lors du nettoyage des rogues. RogueKiller ne supprime pas les fichiers dans les processus qui ont été stoppés. Il convient alors de passer un outil généraliste ensuite (ex. Malwarebytes).

Notes :

1/ En cas de détection d’un faux positif, on peut décocher les cases correspondantes avant de lancer la suppression.

2/ Si Roguekiller ne se lance pas, il ne faut pas hésiter à le renommer en Winlogon.

Tutoriel d’utilisation : Utiliser RogueKiller

0805 08 25 58 : arnaque support téléphonique

Les arnaques de support téléphonique ont frappé la France.
Le principe est simple : un technicien se faisant passer pour Microsoft vous appelle pour vous signaler des erreurs détectées sur votre machine.
Le technicien vous montre des erreurs et vous explique qu’il faut acheter des logiciels pour nettoyer votre ordinateur sinon vous ne pourrez plus l’utiliser.
Si vous refusez, ce dernier va mettre un mot de passe sur votre ordinateur pour le bloquer. Arrrrgggghhhhhh !!!!!!!

Aux USA, les publicités malicieuses (malvertising) sont légions pour afficher des messages indiquant que l’ordinateur est infecté (voir ex sur Fake Phone Scam Support Malvertising, ces pages bloquent le navigateur WEB (un peu comme le fait le ransomware Browlock).

En France, ces publicités malicieuses sont inexistantes (pour le moment) ou rares. Toutefois les derniers adwares commencent à afficher de fausses alertes.

Ces dernières sont de plus en plus fréquentes, un exemple ici avec un message assez mal traduit qui demande de téléphoner au 0805 08 25 58

Possible de violation confidentiel et erreur détectée en raison de l’activité douteuse trouvés sur votre ordinateur

Contactez un technicien certifié direct maintenant
(0805) 08 25 58 (ligne verte)

 

Si vous obtenez ce genre de message sur Internet, cela signifie que votre ordinateur est infecté par des adwares.
Vous devez donc désinfecter ce dernier.
Vous pouvez suivre la procédure suivante (forum Malekal) : Désinfection PUPs – PUP.Optional / Adwares.

Les virus par email

Les emails malicieux existent depuis plusieurs années.
Voici un récapitulatif de la genèse de ces attaques et quelques méthodes utilisées dans des campagnes afin de savoir comment les éviter.

Historiques des campagnes d’emails malicieux

2000-2004 : les vers de messageries

De 2002 à 2004 des vers de messageries ont été créés, des noms connus tels que W32.Mydoom.M, le vers Sobig ou encore le vers I Love You ont infectés des millions d’ordinateurs à travers le monde.
A l’époque, les campagnes d’emails débutaient et les internautes n’étaient pas très avertis.

Le vers est un malware qui est capable de s’auto-répliquer d’un ordinateur à l’autre. Dans le cas de ces vers, une fois l’ordinateur infecté, il voulait le carnet d’adresse et envoyé des mails malicieux afin d’infecter l’ordinateur des cibles.

Les emails reçus étaient accompagnés d’une pièce jointe qui était une copie du ver.
Si l’internaute exécutait cette pièce jointe, le ver s’installe sur l’ordinateur, l’ordinateur envoie alors des emails aux contacts.

2007 : vers Zhelatin/Storm

2007 voit arriver la professionnalisation des campagnes d’emails avec le ver Storm/Zhelatin/Trojan.Peacomm/Trojan.Nuwar.
Le nom Storm provient du fait que la première campagne tire partie de la tempête Cyril qui a frappé le nord de l’Europe.

Les innovations apportées par ce malware sont multiples :

• L’un des premiers vers a utilisé la technologie Rootkit Kernel-mode, d’autres suivront.
• Un des premiers à utiliser des liens clickables externes au lieu de pièges jointes.
• Un des premiers à utiliser des campagnes par thèmes (cartes pour la Saint Valentin, Poisson d’Avril, Carte de vœux de noël etc).

Quelques exemples de campagnes.

• Un email qui consiste à donner des liens qui conduisent aux binaires malicieux.
• Storm Worm : Campagne MP3 World
• Storm Worm : campagne email célébrités nues
• Mi-2008 : Trojan-Downloader.Win32.Exchanger : faux-codecs et mails
• Trojan-Downloader.Win32.Exchanger ont été des campagnes d’emails qui avaient pour but de faire installer au final des rogues/scarewares

A partir de maintenant, nous n’avons plus à faire à des vers, des réseaux de botnets de spam sont loués pour envoyer ces campagnes malicieuses.

Ces campagnes utilisaient plusieurs thématiques :

• des emails de célébrités qui redirigeaient vers de fausses pages de codec
• de faux emails de news reprenant CNN
• faux messages électroniques promettant les gains de « La loterie Microsoft ».
  Malheureusement, 100% des joueurs n’ont rien gagné à la « Loterie Microsoft », parce qu’il n’existe pas de « Loterie Microsoft ».

Le but est donc de trouver un prétexte pour faire cliquer, rediriger vers une fausse page de codec ou un binaire et faire exécuter.
Une fois exécuté, le rogue/scareware était installé sur l’ordinateur.

2009+ : TDSS et Zeus/Zbot

Par la suite d’autres campagnes ont eu lieu, pour divers malwares et notamment Zeus/Zbot ou TDSS.

La particularité de ces campagnes est de reprendre des services connus (UPS, DHL Service, Facebook, Banques etc) afin de faire cliquer l’internaute.
Généralement, ces emails redirigeaient vers des exploits WEB.

Mail ecard : Zbot/Zeus et TDSS.

Microsoft Outlook Critical Update – Zbot/Zeus ou encore MySpace ou UPS.

2014/2015 : Upatre et TrojanDownloader:Win32/Dalexis

2014/2015 ont vu des campagnes de malwares Upatre puis en 2015 de TrojanDownloader:Win32/Dalexis.
Ces deux malwares sont des trojans downloader qui ont pour but d’installer des Ransomware chiffreurs de fichiers.

Ces campagnes visent surtout les anglophones et reprennent des services connus comme Fax Services, Voice Message.
Toutes ces campagnes utilisent des pièces jointes malicieuses.

 

Et de nos jours … à la Une

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) nous alerte sur une nouvelle forme d’attaque informatique visant particulièrement les entreprises Françaises.

Un « rançongiciel » (ransomware) est un logiciel malveillant qui prend en otage des données personnelles (sur votre ordinateur, disque externe et clé USB ou en réseau). Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

l’ANSSI tient à souligner que le recouvrement des données après paiement n’est en aucun cas garanti. Au-delà du fait que cela encourage ce type d’attaque, le recours à un moyen de paiement par carte bleue expose la victime à des utilisations frauduleuses de celle-ci.

Dans le cas de l’alerte en cours (ransomware CTB-Locker) la propagation repose sur une campagne d’hameçonnage (phishing) par exemple via un e-mail usurpant éventuellement l’identité d’une personne que vous connaissez, et via une pièce jointe

• Fichier avec l’extension SCR
• Fichier avec l’extension SCR compressé dans un fichier au format ZIP (parfois il s’agit de compressions imbriquées)
• Fichier avec l’extension CAB

Ne cliquez jamais sur ce type de pièces jointes même si l’expéditeur du mail vous parait fiable ! Si vous avez le moindre doute contactez votre service informatique.

Les systèmes affectés : Toutes versions du système d’exploitation Windows.

Le meilleur moyen de se protéger face à cette menace : la vigilance et les sauvegardes régulières de vos données.

Vous pouvez relayer cette alerte autour de vous.

Bulletin d’alerte CERTFR-2015-ALE-003 du 5 février 2015
http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-003/CERTFR-2015-ALE-003.html

 

Les techniques utilisées

Comme vous pouvez le constater dans l’historique des campagnes d’emails malicieux, deux méthodes sont utilisées pour infecter les internautes.
Soit des pièces jointes infectées,
soit faire cliquer pour proposer un binaire ou rediriger vers un exploit WEB.

Les campagnes d’emails utilisent donc à souhait le social engeenering / ingénerie sociale pour tromper les internautes.
En premier lieu en se faisant passer pour des services connus, si en majorité les campagnes sont en langue anglaise, il peut arriver que des campagnes ciblées aient eu lieu en langue française.

L’autre technique consiste à utiliser une icône PDF sur l’exécutable.
En effet Windows masque les extensions de fichiers, l’internaute verra donc un fichier avec une icône PDF et pensera alors que c’est un PDF alors qu’il s’agit d’un exécutable.

Ces techniques sont très anciennes et aussi utilisés par Les vers MSN vers 2007.
Ces derniers se faisaient passer pour des photos alors qu’il s’agissait d’exécutables.
On peut même parfois avec des emails avec des pièces jointes malicieuses en .gadget.L’autre réflexe en cas de doute consiste à faire analyser le fichier sur VirusTotal, si des détections sont présentes, n’exécutez pas ce dernier.
Mais si vous regardez bien, quasi toutes les pièces jointes malicieuses utilisent des fichiers .zip – vous devez donc préter une attention particulière à ces fichiers.
Mais les documents Word peuvent aussi être malicieux (certaines embarquent des macros) : http://blog.trendmicro.com/trendlabs-se … infection/

Prenez bien le temps de lire le contenu de l’email aussi afin de déceler des fautes, des erreurs de syntaxes ou des éléments qui peuvent faire penser que l’email n’est pas authentique.

Vous devez donc retenir ceci :

Afficher les extensions de fichiers – se reporter à la page Les extensions de fichiers et la sécurité

Méfiez-vous des pièces jointes et notamment des .zip

Méfiez-vous des emails qui demandent de cliquer sur un lien.

Ne pas ouvrir de lien ni de pièces jointes si l’utilisateur ne vous parait pas fiable

 

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l’inverse – Les fichiers/programmes c’est comme les bonbons, quand ça vient d’un inconnu, on n’accepte pas …

Où trouver de l’information sur les virus

Site de vérification de mail frauduleux ou hoax (« canular » en français) : http://www.hoaxbuster.com

Site d’alerte virale : http://www.secuser.com

Outils (de désinfection) utiles :

• Kaspersky Removal Tool
• Kaspersky Rescue Disk
• Malware Bytes
• SpyHunter

Et toujours … « Google est ton ami !« 

ZHPCleaner

ZHPCleaner est un programme gratuit développé par Nicolas Coolman qui permet de rétablir les paramètres des navigateurs WEB, proxy en cas de modifications non voulues par des malwares (Browser Hijacker).

ZHPCleaner se décompose en un scan qui va lister les éléments modifiés et un bouton réparation pour remettre les éléments modifiés.

Le programme est aussi capable de détecter les adwares et programmes parasites les plus communs et de les supprimer.

Tutorial ZHPCleaner : http://forum.malekal.com/zhpcleaner-t48954.html

Il vise à supprimer les :

– Adwares (Programmes publicitaires)
– Hijackers (Détournement de proxy et de page de démarrage des navigateurs)
– PUP/LPIs (Logiciels Potentiellement Indésirables)
– Spywares (Programmes publicitaires qui affichent des popups)
– Pollutewares (Logiciels pollueurs)
– Toolbars (Barres d’outils greffées au navigateur)

Il repose sur trois fonctions principales :

– La recherche,
– La réparation,
– La récupération.

Aucune raison d’hésiter longtemps si on est victime d’une infection …

Comment supprimer le Trojan ZeroAccess Flash Player

Un programme malveillant du nom de Trojan ZeroAccess circule sur le Web depuis un petit moment.

Toutes sortes de méthodes sont utilisées pour infecter les ordinateurs, notamment des messages d’alerte invitant à installer un logiciel de sécurité ou à effectuer des mises à jour sur votre ordinateur. Or, ce sont ces fausses mises à jour qui sont responsables des infections.

Vous cliquez sur un lien pensant mettre à jour un programme comme Flash Player et voilà que vous installez le programme malveillant sur votre ordinateur.

Voici comment faire pour savoir si votre ordinateur est infecté par le Trojan ZeroAccess et comment vous en débarrasser en cas d’infection.

Votre ordinateur est-il infecté?

Pour savoir si votre ordinateur est infecté par le programme malveillant ZeroAccess, effectuez un scan complet de votre ordinateur avec votre programme de protection et suivez les directives pour supprimer le logiciel malveillant.

D’ailleurs, avec un bon antivirus, vous recevez une alerte en cliquant sur ce genre de lien malveillant pour éviter d’installer un virus.

Voilà pourquoi il est très important d’utiliser une suite de protection complète et qu’elle soit active en tout temps.

Si votre antivirus détecte le programme malveillant et le place en quarantaine, sachez que celui-ci est désactivé, mais qu’il n’est pas supprimé de votre ordinateur. Vous devez le supprimer manuellement.

Pour être totalement certain que votre ordinateur n’est pas infecté, utilisez le programme MalwareByte’s Anti-Malware et suivez les étapes décrites dans le prochain paragraphe.

Supprimer le Trojan ZeroAccess manuellement

Si votre suite de protection ne parvient pas à éliminer le programme malveillant, suivez la procédure suivante.

D’abord, désactiver la Restauration du système de votre Windows.

• Cliquez sur le menu Démarrer et faites un clic droit à la ligne Ordinateur et sélectionnez Propriétés.

Dans la liste de gauche, sélectionnez Protection du système et cliquez sur Configurer dans la fenêtre qui s’ouvre et sélectionnez Désactiver la protection du système.

• Installez ensuite le logiciel MalwareByte’s Anti-Malware.

Téléchargez MalwareByte’s Anti-Malware

• Redémarrez votre ordinateur en mode sans échec :

(Au redémarrage de votre PC cliquez sans relâche sur la touche F8 ou F5, sur l’écran suivant déplacez le curseur avec les flèches de direction et choisissez Mode sans échec. Choisissez votre session habituelle et pas obligatoirement la session Administrateur

• Double cliquez sur le raccourci de MalwareByte’s Anti-Malware qui est sur le bureau.

• Sélectionnez Exécuter un examen complet si ce n’est pas déjà fait

• Cliquez sur Rechercher

• Une fois le scan terminé, une fenêtre s’ouvre, cliquez sur Ok

• MalwareByte’s n’a rien détecté, cliquez sur Ok. Un rapport va apparaître fermez-le.

• MalwareByte’s a détecté des infections, cliquez sur Afficher les résultats ensuite sur Supprimer la sélection

• Enregistrez le rapport sur votre Bureau comme cela il sera plus facile à retrouver, postez ensuite ce rapport.

Si MalwareByte’s a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur Ok

• Réactiver la Restauration du système: Cliquez sur le menu Démarrer et faites un clic droit à la ligne Ordinateur et sélectionnez Propriétés. Dans la liste de gauche, sélectionnez Protection du système et cliquez sur Configurer dans la fenêtre qui s’ouvre et sélectionnez Activer la protection du système.

• Par mesure de sécurité, videz aussi la cache du navigateur que vous utilisez. Voici une chronique expliquant comment faire:

Vider la cache d’un navigateur

Le Trojan ZeroAccess est maintenant supprimé de votre ordinateur.

Une fausse mise à jour de Flash Player cache un virus

Les produits Adobe sont souvent la cible pour des attaques. Il y a peu, un message invitant à télécharger une fausse mise à jour du logiciel Flash Player circule sur le Web.

Le message indique qu’il s’agit d’une mise à jour obligatoire vers Flash Player 12.0 alors que tout porte à croire que le téléchargement fait en sorte qu’on installe un virus (ZeroAccess) sur son ordinateur.

Effectivement, sur le site de l’éditeur du logiciel, il est bien inscrit que Flash Player 11 est à jour et qu’il n’y a aucune mise à jour à effectuer vers la version 12.0

Donc si un tel message d’avertissement apparait, ne cliquez pas sur le bouton Installer car vous pourriez infecter votre ordinateur.

Même si le message indique de mettre à jour Flash Player vers la version 12.0 (Obligatoire), il ne faut pas faire ce qui est demandé. Le programme qui s’installera risque d’endommager votre ordinateur.

Pour vérifier si votre Flash est à jour, allez plutôt sur le site officiel de l’éditeur à partir du lien ci-dessous. En passant par le site de l’éditeur Adobe, vous serez alors certain si votre logiciel est à jour. Sinon, vous serez invité à télécharger la bonne version du logiciel.

Vérifiez si Flash Player est à jour

Si vous êtes tombé dans le piège, il ne vous reste plus qu’à vous reportez au post : « Comment supprimer le Trojan ZeroAccess Flash Player »