Méga virus plein de spywares qui s'installe partout en ce moment.

Méga virus plein de spywares qui s'installe partout en ce moment. - Virus/Spywares - Windows & Software

Marsh Posté le 25-11-2011 à 14:08:39    

J'ai constaté la situation depuis hier.
 
Sur plusieurs PC dont le mien (chose qui ne m'est jamais arrivé), avec X 32, Vista 32, Vista 64, Windows 7 32.
Plusieurs config d'anti-virus, dont Norton, Avira, MS Essentiels, AVG...
Parefeu Norton, MS intégré, Commodo, Zonealarm free ... selon le cas.
 
D'abord : aucun antivirus et parefeu ne fonctionne même si la dernière MAJ d'Avira a réussi a bloquer l'attaque en cours (vraiment après la MAJ), et Microsoft Essential après la MAJ (alors que le virus l'avait bloquée) a réussi a trouver et éliminer (tous ?) une partie les troyens qui s'étaient installés, une fois que la majeure partie était désactivée à la main.
 
La grande majorité de ces ordinateurs étaient en mode utilisateur et non administrateur, mais le virus a réussi à passer outre au reboot sur certains et à installer un rootkit.
Cette attaque semble généralisée pourtant je n'entends rien de particulier dans les média et la presse ou sur les forums... or c'est une première sur la plupart de ces PC d'utilisateurs différents et très hétérogènes.
J'ai réussi à virer complètement le virus sur un seul poste et ça a été très galère. Totalement à la main car aucun outil n'arrivait à le faire correctement. Un autre poste précédemment testé m'a servi à me faire les dents en testant tous ces coutils... mais je devrais tout réinstaller dessus.
 
En gros l'attaque semble être en apparence un troyen classique du genre System Fix (voir web comment désintaller à la main), mais en réalité c'est une autre troyen, je ne sais lequel, qui introduit massivement un nombre incalculable de troyens.
 
La méthode me semble être claire d'après le témoignages et le vécu : mise à jour Adobe redirigée vers des serveurs au travers de proxys, par l'installation des modules du navigateur (MSIE et Firefox sont les victimes). Je ne sais pas comment les proxy de Windows 7, Xp et Vista (?) ont pu être redirigés sans aucune alerte.
Ceci permet de charger par les navigateurs de fausses mises à jours de plugins ou autre logiciels généralistes qui se mettent à jour contament.
 
Je pense que cette introduction massive de troyens cache autre chose et je ne sais pas si les anti-virus ou autres pare-feux sont prêts. J'ai l'impression que c'est tout nouveau et que c'est en train d'arriver un peu partout.
 
Comme il n'y a aucune protection actuellement j'invite franchement les gens à bloquer toute mise à jour Adobe, car Flash et Acrobat ont déjà été utilisé de façon quasi-certaine. Mais bien sur la protection est passagère car l'attaque peut profiter d'autres mises à jour.
 
Sur mon poste Vista 64, n'ayant pas réussi à reconfigurer mon proxy, cette attaque l'a fait pour Firefox qui a déclenché une mise à jour du plugin Adobe Acrobat, qui était censée se faire pour le système entier mais Vista 64 a d'abord signalé un exécutable au certificat non valide que j'ai refusé et MSIE a arrêté la MAJ comme non valide aussi.
J'ai des doutes sur Firefox cependant qui a un comportement étrange sur son profil par défaut depuis, malgré l'enlèvement du proxy basculé sur celui du system.
Ce qui m'étonne c'est que le système n'a pas été basculé mais que l'opération semble avoir réussi pour détourner le téléchargement des plugins Firefox.
Vista est plus sensible que W7 à ce genre de problème donc c'est pas sans surprise que je constate que les postes W7 ont été vérolés en douce tout comme XP.
 
Actuellement j'ai donné consigne à tout le monde de ne se connecter matériellement à internet qu'en cas de besoin.
 
Donc retour d'expérience attendu pour ceux qui ont une solution ou des infos plus précises.


Message édité par cocto81 le 25-11-2011 à 14:11:10
Reply

Marsh Posté le 25-11-2011 à 14:08:39   

Reply

Marsh Posté le 26-11-2011 à 20:06:07    

J'ai d'autres personnes qui m'ont dit avoir été infectés par les troyens cette semaine alors qu'ils sont équipés contre, notamment dans une société.
Ca ressemble beaucoup à ce qui s'est passé de mon côté.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed