Morbak's Home
Bienvenue sur Morbak's Home.

Ce pop-up a pour but de vous aider à utiliser le forum.

Voici donc quelques liens que nous vous conseillons de consulter :
Pour vous familiariser avec le forum, le règlement et notre équipe, cliquez ici

Si vous avez des problèmes informatiques, regardez cette catégorie.

Certains programmes de désinfection peuvent s'avérer dangereux, ne suivez pas aveuglément les indications d'autres sujets même s'ils sont similaires à votre cas. Exemples ici et ici

Si vous souhaitez faire désinfecter votre pc, lisez ce message et postez un nouveau sujet sur le forum (hébergez les rapports demandés et postez les liens dans votre sujet).

Si vous avez des soucis liés au forum (connexion, bugs divers) ou tout simplement des suggestions pour l'améliorer, vous pouvez poster ici ou contacter un administrateur en utilisant le formulaire de contact ici.

Pour bloquer la plupart des pubs sur internet, vous pouvez installer Adblock Plus, uBlock, ou un équivalent sur votre navigateur. Si certaines pubs s'affichent quand même sur le forum, nous n'y sommes pas liés. Par précaution, ne cliquez pas dessus.


Forum dédié aux jeux vidéos et à l'entraide informatique. Soluce, bugs ou soucis divers avec Windows? nous ferons notre possible pour vous venir en aide.
 
AccueilFAQRechercherMembresGroupesS'enregistrerConnexionCalendrierGalerie
Avis à tous les utilisateurs du forums, pour faciliter l'entraide et pour un suivi plus facile, aucune aide ne sera apportée sur la chatbox, si vous cherchez de l'aide, créez un sujet sur le forum.
Si vous aimez les récits interactif et que vous voudriez en avoir sur le forum, cliquez ici pour débattre sur la création d'une nouvelle section qui permettrait d'y poster vos histoires.
Juin/Juillet/Aout
Ven 11 Aoû - 13:52 par Hornet
C'est reparti pour une nouvelle série de modifications/nouveautés sur le fofo. On commence léger histoire de ne pas vous rendre fous mais aussi parce qu'il n'y …

Commentaires: 4
Sondage
Comment avez vous connu le forum?
 conseil d'un proche
 conseillé sur un forum
 lien sur un réseau social
 lien sur un sujet similaire
 google, yahoo, etc...
Voir les résultats
Don avec Paypal

Partagez | 
 

 Avis aux utlisateurs de Ccleaner

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
Hornet
Administrateur/Contributeur désinfection
avatar

Messages : 3363
Réputation : 152

Feuille de personnage
Nom:
Race:

MessageSujet: Avis aux utlisateurs de Ccleaner   Sam 23 Sep - 15:42

https://blog.avast.com/fr/mise-a-jour-ccleaner-relative-a-lincident-de-securite

Si vous ne le savez pas déjà, la version 5.33 de Ccleaner a été victime d'un piratage et il est donc fortement conseillé de mettre à jour Ccleaner si vous utilisez cette version.

Aucune action de désinfection n'est normalement nécessaire pour ce souci. Pensez à lire tout le sujet quand même, certaines vérifications sont préférables (présences de fichiers/clé de registre infectés)

===============signature ===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection
avatar

Messages : 3363
Réputation : 152

Feuille de personnage
Nom:
Race:

MessageSujet: Re: Avis aux utlisateurs de Ccleaner   Mar 26 Sep - 18:23

Le lien semble désactivé (temporairement espérons), donc e vous colle le contenu ici (copier/coller de l'article d'Avast) :

De grandes entreprises de technologie et de télécommunications ont été prises pour cible.

À la suite du retirement du serveur CnC et de l'accès à ses données, l'équipe du laboratoire des menaces a travaillé 24 heures sur 24 pour enquêter sur la source de la récente attaque concernant le logiciel CCleaner de la société Piriform. 

Pour récapituler, l'attaque a affecté un total de 2,27M d'ordinateurs entre le 15 août 2017 et le 15 septembre 2017, et a utilisé le populaire logiciel de nettoyage PC CCleaner dans sa version 5.33.6162 en tant de véhicule de distribution. 

Aujourd'hui, nous souhaiterions faire un rapport sur les progrès réalisés jusqu'ici.

Tout d'abord, l'analyse des données du serveur CnC a prouvé qu'il s'agissait d'une APT (Advanced Persistent Threat) programmée pour que la charge utile de la deuxième étape sélectionne les utilisateurs. 

Plus précisément, les journaux du serveur ont indiqué 20 machines pour un total de 8 organisations auxquelles cette charge utile a été envoyée, mais étant donné que ces journaux ont seulement été collectés pendant un peu plus de trois jours, le nombre réel d'ordinateurs ayant reçu cette même charge utile était probablement de l'ordre de plusieurs centaines. 

Il s'agit d'un changement par rapport à notre énoncé précédent, dans lequel nous avions déclaré que, à notre connaissance, la charge utile de la 2ème étape n'avait jamais été livrée.

Au moment où le serveur a été retiré, l'attaque visait une sélection de grandes entreprises de technologie et de télécommunications au Japon, à Taiwan, au Royaume-Uni, en Allemagne et aux États-Unis. 

Étant donné que CCleaner est un produit à destination du consommateur, il s'agissait d'une attaque abreuvoir typique où il n'était pas intéressant pour l'attaquant de toucher la grande majorité des utilisateurs, mais ils devaient toutefois en toucher certains.

Pour des raisons de confidentialité, nous ne divulguons pas publiquement la liste des entreprises ciblées. Au lieu de cela, nous nous sommes adressés individuellement à celles concernées en leur fournissant notamment des informations techniques supplémentaires afin de les aider.

La charge utile de la 2ème étape est un code relativement complexe qui utilise deux composants (DLL). Le premier composant contient la logique métier principale. Comme pour la première charge utile, il est fortement caché et utilise un certain nombre d'astuces anti-débogage et anti-émulation. 

Une grande partie de la logique est liée à la découverte et à la connexion à un autre serveur CnC, dont l'adresse peut être déterminée à l'aide de trois mécanismes différents : 1) un compte sur GitHub, 2) un compte sur Wordpress et 3) un enregistrement DNS d'un domaine get.ad xxxxxx.net (nom modifié ici). 

Par la suite, l'adresse du serveur CnC peut également être arbitrairement modifiée à l'avenir en envoyant une commande spéciale, reconnue par le code comme un signal pour utiliser le protocole DNS (udp / 53) afin d'obtenir l'adresse du nouveau serveur. 

En application avec la loi, nous continuons d'approfondir ces analyses grâce à l'accès aux données de ces serveurs CnC supplémentaires et en remontant davantage vers les traces de l'attaquant.

La deuxième partie de la charge utile est responsable d'une certaine persistance. En effet, un mécanisme différent est utilisé sur Windows 7 + et sur Windows XP . 

Sur Windows 7+, le binaire est déversé sur un fichier appelé "C: \ Windows \ system32 \ lTSMSrv.dll" et le chargement automatique de la bibliothèque est assuré par la validation du service NT "SessionEnv" (le service RDP). 

Sur XP, le fichier binaire est enregistré sous la forme "C:\Windows\system32\spool\prtprocs\w32x86\localspl.dll” et le code utilise le service "Spooler" pour charger.

En termes de structure, les DLL sont assez intéressants parce qu'ils se rattachent au code d'autres fournisseurs en injectant les fonctionnalités malveillantes dans des DLL légitimes. Le code 32 bits est activé via une version patchée de VirtCDRDrv32.dll (partie du package WinZip de Corel), tandis que le 64 bits utilise EFACli64.dll - une partie d'un produit Symantec. 

La plupart des codes malveillants sont délivrés à partir du registre (le code binaire est enregistré directement dans le registre des clés “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]”). 

Encore une fois, toutes ces techniques démontrent le haut niveau de sophistication de l'attaquant.

Parallèlement à l'analyse technique, nous avons continué à travailler avec les forces de l'ordre pour retrouver la source de l'attaque. Nous nous engageons à aller jusqu'au bout de ce qui se cache derrière cette attaque. Tout en continuant à fournir des mises à jour périodiques, nos énergies sont axées sur la capture des auteurs. 

Notre approche est de faire tout cela en arrière-plan, afin d'accroître nos chances d'identifier l'auteur. Nous croyons qu'il serait inutile d'être trop bruyant, en indiquant, par exemple, qui a été ciblé et / ou compromis, et qu'il appartient aux entités concernées de choisir le moment de le révéler.

Enfin, il est extrêmement important pour nous de résoudre le problème sur les machines de notre clients. Nous recommandons donc de mettre à jour CCleaner vers la dernière version (maintenant 5.35, après que nous ayons révoqué le certificat de signature utilisé pour signer la version impactée 5.33) et d'utiliser un produit antivirus de qualité, comme Avast Antivirus. 

Pour les entreprises, la décision peut être différente et dépendra probablement de leurs politiques informatiques. À ce stade, nous ne pouvons pas affirmer que les machines d'entreprise ne pourraient être compromises, même si l'attaque était très ciblée.

Nous allons fournir des mises à jour supplémentaires à mesure que nous progressons dans l'enquête.

===============signature ===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger


Dernière édition par Hornet le Mar 3 Oct - 0:11, édité 1 fois
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection
avatar

Messages : 3363
Réputation : 152

Feuille de personnage
Nom:
Race:

MessageSujet: Re: Avis aux utlisateurs de Ccleaner   Mar 26 Sep - 18:35

A noter également que les gars de Piriform disent que le malware stockait des infos dans la clé de registre suivante HKLM\SOFTWARE\Piriform\Agomo

donc petit rappel des clés/fichiers à verifier :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]
HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo
C:\Windows\system32\spool\prtprocs\w32x86\localspl.dll
C:\Windows\system32\lTSMSrv.dll

mais aussi 2 fichiers appartenant à Symantec et Corel :
pour les windows 32 bits : VirtCDRDrv32.dll
pour les 64 bits : EFACli64.dll

Si vous voyez un ou plusieurs de ces fichiers sur votre système, et que vous avez utilisé cette version de ccleaner, envoyez le fichier concerné sur virustotal pour voir s'il est infectieux ou demandez nous de l'aide sur le forum.

Pour les clés de registre, si vous vous y connaissez, vous pouvez supprimer les deux concernées.
ATTENTION, supprimer une clé de registre est dangereux, si vous n'êtes pas sûr de savoir ce que vous faites, ne touchez à rien et demandez nous !!!

===============signature ===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
 
Avis aux utlisateurs de Ccleaner
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Morbak's Home :: Informatique :: Informations utiles :: Discussions diverses-
Sauter vers: