> Tous les forums > Forum Sécurité
 Malware "gendarmerie" - pour y voir plus clairSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
fiche
  Posté le 18/12/2011 @ 17:18 
Aller en bas de la page 
Astucien

Bonjour,

Avec l'infection à la mode "Gendarmerie nationale a bloqué votre ordinateur", les membres du Groupe sécurité de PC Astuces insistent sur le fait que les PC vérolés ont un système vulnérable aux exploits sur site WEB. Les logiciels (notamment Java et Flah Player) contiennent des vulnérabilités qui permettent l’infection du système à la simple execution d'une publicité infectée.
Ils recommandent donc de mettre à jour les différents programmes présents et surtout Java et Flah Player.

Imaginons un système non à jour (Windows, Java...) depuis quelques mois et un antivirus sans module "webguard" ou avec un module incapable de réagir à l'infection :

Les modules complémentaires de Firefox (ou Opéra) suivants permettent-ils d'éviter l'infection par la publicité pourrie ?
- Adblock Plus (ou Opéra Adblock) intègre t'il par défaut un filtrage de l'adresse de la publicité ?
- Noscript (ou Opéra Notscripts) bloque t'il l'execution du script de la publicité ?

Sur deux sujets, apparaissent des utilisateurs infectés disposant d'un compte limité. Ce compte limité est censé interdire la modification des fichiers présents dans le dossier Windows (notamment Windows/System32).
=> dans ces conditions, comment le fichier explorer.exe gérant l'interface utilisateur (bureau, explorateur...) a t'il pu être modifié par l'infection ?

Merci d'avance pour les éclaircissements.

Publicité
Evasion60
 Posté le 18/12/2011 à 18:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Fiche, et juste de passage

Je pense que cela est plus compliqué que ça, car un compte limité sur le Web peut se faire infecter
J'ai pas la réponse bien sûr, mais j'ai eu des ados à la maison sur compte limité, et ils m'ont bien crappé ma machine en 2005

Regarde ce lien =>
http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Cordialement

fiche
 Posté le 19/12/2011 à 16:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Mon PC et ceux de mes frères (tous sous XP) fonctionnent tous avec un compte limité.

Inconvénient : les mises à jours windows... ne fonctionnent pas. J'ai beau leur dire de les faire, c'est moi qui m'y colle lorsque je rentre et qu'ils daignent me passer la bête. Autant dire qu'il y a parfois entre 2 et 6 mois de retard.

L'un d'eux s'était fait infecter il y a un an ou deux malgré le compte limité mais il avait été assez facilement nettoyé (ce qui n'avait pas été le cas de mon autre frère qui était sous compte administrateur à l'époque : il avait fallu sortir l'artillerie lourde : les live CD Kaspersky et Dr Web...).

Le compte limité a donc son utilité. Logiquement, une infection ne devrait pas pouvoir modifier les fichiers sous C:\windows\system32 dans un compte limité.

Mais tous les fichiers présents sous C:\windows ne seraient pas protégés ?

Et sous Vista et 7, l'UAC n'a pas réagit au remplacement d'explorer.exe ou du registre ?

Pour l'extension AdblockPlus, j'ai trouvé dans la liste de filtrage FR une référence à "adserv" qui semble être le site pourvoyeur de l'infection Gendarmerie (adserv.com). Donc, elle devrait protéger le PC.

Noscript devrait elle aussi interdire l'infection si elle bloque par défaut tous les scripts ou au moins n'autorise que le sites de 1er niveau ?

Comme quoi, ces petites extensions seraient plus efficaces que les antivirus !

Anonyme
 Posté le 19/12/2011 à 17:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Comme quoi, ces petites extensions seraient plus efficaces que les antivirus !

+1, il est indéniable que l'antivirus ne se manifeste pour ainsi dire plus du tout depuis que je suis passé à Firefox/NoScript/AdblockPlus il y a de cela 2 ou 3 ans.

(NoScript que j'ai abandonné depuis pour YesScript car trop contraignant).

@+

koopa
 Posté le 19/12/2011 à 19:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

bonjour,

c'est clair qu'adblock supprime un grand nombre de liens, fenêtres potentiellements nuisibles.

Je l'ai clairement constaté à l'époque ou j'allais sur atdhe (streaming sports)..;et il suffit d'utiliser explorer pour bien voir la difference!

L'avantage d'adblock et aussi qu'il permet une plus grande clarté de la page web...et évite à l'utilisateur de se perdre dans les nombreuses fenêtres ou liens..qui apparaissent sur les sites de type Stream!!

Pour no script...je l'ai abandonné, car ca devenait désagréable d'autoriser en permanence chaques nouveaux sites.. (mais c'est clairement très efficace).

regis57100
 Posté le 19/12/2011 à 19:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

bonsoir,

moi j ai avast avec WEBREP activé et qui fonctionne avec la version alpha de Firefox

Evasion60
 Posté le 19/12/2011 à 19:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

A TLM

Pour l'extension AdblockPlus, j'ai trouvé dans la liste de filtrage FR une référence à "adserv" qui semble être le site pourvoyeur de l'infection Gendarmerie (adserv.com). Donc, elle devrait protéger le PC.

Oui, je me suis fais " infecté " volontairement ===> C'est bien ça
J'étais sous FireFox 7.0.1 ( Adblock+ // No Script )
... Un simple Ctr + Alt + Supp => à résolu mon essai => Arreter le processus // Faut être attentif, et rapide

Sous IE9 , ===> Je me mange l'infection plein pot
Attention, je n'ai aucun module " complémentaire ", avec IE9 ( sauf mes paramètres )

A suivre

Anonyme
 Posté le 19/12/2011 à 20:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir,

Intéressant et bon à savoir, merci

(j'ai des frangins/neveux adeptes de streaming susceptibles d'être infectés, et celle-ci a l'air d'aller si vite...)

@+



Modifié par Anonyme le 19/12/2011 20:10
koopa
 Posté le 20/12/2011 à 09:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

bonjour

@ evasion60 : Quel est le nom précis de ce processus ?

Publicité
fiche
 Posté le 20/12/2011 à 10:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Petite question a Evasion60 :

"Oui, je me suis fais " infecté " volontairement ===> C'est bien ça. J'étais sous FireFox 7.0.1 ( Adblock+ // No Script )
... Un simple Ctr + Alt + Supp => à résolu mon essai => Arreter le processus //"

Il se serait tout de même passé quelque chose (processus lancé) avec Adblock et No Script activés ? (je pensais que l'on ne verrait strictement rien puisque tout serait bloqué).

Pour bien comprendre : avez-vous testé avec Firefox pour savoir ce qui se passe avec :
- seul Adblock Plus activé
- seul No Script activé
pour connaitre leur degré d'efficacité chacun de leur côté sur ce type d'infection.

Côté utilisation de Noscript, pour ma part, je bloque tout et autorise au cas par cas. Par contre, pour d'autres utilisateurs, j'autorise les sites de 1er niveau pour ne pas trop rendre la navigation pénible.

Evasion60
 Posté le 20/12/2011 à 11:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

J'ai oublié de dire qu'avec FireFox, c'est quand j'ai désactivé AdBlock+, et Noscript que le rogue est apparu
C'était sur un site " X "

Fiche

Côté utilisation de Noscript, pour ma part, je bloque tout et autorise au cas par cas. Par contre, pour d'autres utilisateurs, j'autorise les sites de 1er niveau pour ne pas trop rendre la navigation pénible.


Je travaille un peu comme toi au niveau noscript !



Modifié par Evasion60 le 20/12/2011 11:41
Anonyme
 Posté le 20/12/2011 à 11:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

koopa a écrit :

bonjour

@ evasion60 : Quel est le nom précis de ce processus ?

bonjour,

Sans doute l'Explorer.exe phagocyté par twexx32.dll

(https://forum.pcastuces.com/infecte_par_le_virus_de_la_gendarmerie__help-f25s62115.htm?page=1&#4382996)

Evasion60, est-ce correct ?



Modifié par Anonyme le 20/12/2011 11:48
Evasion60
 Posté le 20/12/2011 à 12:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

RE

Voici le scan avec RogueKiller =>

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: **** [Droits d'admin]
Mode: Recherche -- Date : 17/12/2011 11:27:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETE
[SUSP PATH] HKUS\S-1-5-21-2280558674-1678247186-3373966309-1000[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETE
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> DELETE
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> DELETE

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

@+

Anonyme
 Posté le 20/12/2011 à 12:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci. Ce serait donc un processus au nom aléatoire du genre w25zxz84.exe (si j'ai bien compris ?)

fiche
 Posté le 20/12/2011 à 17:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

A Evasion60 : dernière question : Java et Flah player étaient-ils à jour ?

Lorsque j'ai lu l'article de Malekal (http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/) , j'ai eu l'impression que l'infection ne passait qu'à cause d'un défaut de mise à jour de Java.

En tout cas, cet exemple me permettra à nouveau de prêcher pour l'utilisation des deux extensions Adblock Plus et Noscript.

Evasion60
 Posté le 20/12/2011 à 18:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

fiche a écrit :

A Evasion60 : dernière question : Java et Flah player étaient-ils à jour ?

Lorsque j'ai lu l'article de Malekal (http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/) , j'ai eu l'impression que l'infection ne passait qu'à cause d'un défaut de mise à jour de Java.

En tout cas, cet exemple me permettra à nouveau de prêcher pour l'utilisation des deux extensions Adblock Plus et Noscript.

Bonsoir Fiche

Java/Sun => JRE 7u2
Flash Player => 11.1.102.55 ( du 12/11/2011 )

Oui, ns sommes d'accord, cette infection passe par les failles de Sécurité Java principalement

@+



Modifié par Evasion60 le 20/12/2011 18:48
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
99,99 €Pack de 2 têtes thermostatiques connectées tado à 99,99 €
Valable jusqu'au 27 Septembre

Amazon fait une belle promotion sur le lot de 2 têtes thermostatiques connectées tado qui passe à 99,99 € livrée gratuitement alors qu'on le trouve ailleurs à partir de 160 €. Remplacez le robinet thermostatique d'un radiateur pour le transformer en radiateur connecté et contrôlez votre chauffage depuis n'importe où avec l'application Tado pour iPhone et Android. Créez facilement vos planning de chauffre, créez des zones avec plusieurs têtes thermostatiques et faites des économies d'énergie. Les têtes tado peuvent être intégrées dans un système domotique (Jeedom, Domoticz) et peuvent être contrôlées à la voix avec Alexa, HomeKit, Assistant Google et IFTTT.

Nécessite un kit de démarrage avec un thermostat connecté comme ce modèle sans fil également en promotion.


> Voir l'offre
79,99 €Barbecue WEBER Compact Kettle 47 cm à 79,99 €
Valable jusqu'au 27 Septembre

Cdiscount fait une promotion sur le barbecue Barbecue WEBER Compact Kettle 47 cm qui passe à 79,99 € au lieu de 100 €. La livraison est gratuite. 


> Voir l'offre
111,01 €SSD externe portable Samsung T7 1 To à 111,01 € livré
Valable jusqu'au 27 Septembre

Amazon Allemagne fait une promotion sur le SSD externe portable Samsung T7 1 To qui passe à 106,27 €. Comptez 4,74 € pour la livraison en France soit un total de 111,01 € livré alors qu'on trouve le SSD à partir de 189 € ailleurs. Son format compact vous permettra de le transporter facilement avec vous. De quoi stocker parfaitement vos fichiers et de les emporter dans vos déplacements en toute sérénité. Grâce à la technologie PCIe NVMe intégrée et au connecteur USB 3.1 Type C, bénéficiez de vitesses supérieures pouvant atteindre 1050 Mo /s ! Compatible PC, Mac et Android, il se montrera rapidement indispensable. Le disque Samsung T7 se pare d'un boîtier robuste en aluminium qui résistera aux chutes. Il embarque également un cryptage avancé avec mot de passe.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre

Sujets relatifs
Juste pour voir si tout est propre.
malware fausse amende gendarmerie nationale
**Malware gouvernemental pour espionner Skype, FF*
Malware Secret Story "j'ai une mission pour toi"
Ça ne prend pas une machine pour la voir l'erreur!
Comment faire pour voir si j'ai pas de virus
licence gratuite pour l’anti-malware A-Squared
Demande aide pour infection par New Malware.j
rapport d hijackthis pour voir si je suis infecte
L'antivirus de C. A prend Windows pour un malware
Plus de sujets relatifs à Malware "gendarmerie" - pour y voir plus clair
 > Tous les forums > Forum Sécurité