skip to main | skip to sidebar
Code 18
Manuel du savoir-faire à l'usage des geeks et des curieux
RSS
  • Accueil
  • Le web au Québec
  • Liens
  • Twitter
  • Facebook
  • À propos

vendredi 15 janvier 2010

Trojan Internet Security 2010

Publié par Infinite Loop, à 23 h 57 0 commentaire

En revenant du boulot, j'avais l'intention de parler de jQuery 1.4 mais ça devra attendre à demain. Dès mon arrivée chez moi, ma blonde m'informe que l'ordinateur semble être aux prises d'un virus car Windows a un comportement étrange. Je lui réponds la blague classique que non, c'est tout à fait normal mais une fois devant l'écran, je vois bien que ça a dégénéré :

  • un nouveau programme s'est installé et il affiche un interface qui analyse l'ordinateur pour trouver des menaces : Internet Security 2010
  • le logiciel m'informe qu'il a trouvé 25 menaces dans l'ordinateur
  • des popup d'avertissement s'affiche constamment m'informant que des virus sont détectés et que je dois payer le logiciel pour pouvoir faire du nettoyage
  • le même logiciel m'indique qu'une adresse IP tente de pénétrer dans mon ordinateur. Une fois le câble réseau déconnecté, le popup persiste en m'affichant des adresses IP différentes
  • impossible de faire CTRL+ALT+DEL pour accéder au Task Manager
  • impossible de tuer le processus
  • impossible de supprimer l'exécutable dans
    C:\Program Files\InternetSecurity2010 car il est en cours d'utilisation
  • mon fond d'écran a été remplacé par une page HTML sur fond bleu avec un encadré noir indiquant :
    CRITICAL WARNING!

    YOUR SYSTEM IS INFECTED!

    System has been stopped due to a serious malfunction. Spyware activity has been detected.

    It is recommeded to use spyware removal tool to prevent data loss. Do not use the computer before all spyware removed.


J'ai donc pris mon ordinateur portable, je me suis connecté au web par wifi et je suis allé fouiller au sujet du programme Internet Security 2010. Mon intuition était bonne : il s'agit bien d'un virus caché sous une interface qui imite un logiciel anti-virus.

À partir du portable, j'ai téléchargé deux programmes :
  • La version gratuite de Malwarebytes Anti-malware pour retirer toute trace du virus sur le poste
  • CCleaner (gratuit), pour nettoyer les fichiers temporaires, la base de registres, cookies, etc)
Je les ai transférés à mon PC déconnecté d'Internet par une clé USB, installés et exécutés. Ce fût suffisant pour me débarasser du virus.

Il ne restait que l'alerte en fond d'écran. J'ai cherché dans les répertoires systèmes le fichier wallpaper.html et je l'ai supprimé. Juste avant, je l'ai ouvert avec NotePad++ pour examiner son contenu : du code JavaScript obfusqué en hexadécimal imprimé avec des instructions document.write(). Il va falloir que je convertisse son contenu pour voir ce qui s'y cache (qui sait, peut-être une fonction eval() ?).


Tags: Coffre à outils, Sécurité

0 réponse à "Trojan Internet Security 2010"


Publier un commentaire

Message plus récent Messages plus anciens Accueil
S'abonner à : Publier des commentaires (Atom)
    Suivre @code18 sur Twitter

    Catégories

    • Apache (21)
    • Citations (167)
    • Club Vidéo (24)
    • Coffre à outils (55)
    • CSS (8)
    • Curiosités (117)
    • Design Pattern (2)
    • Drupal (8)
    • Easter Eggs (22)
    • Extensions Firefox (20)
    • GIMP (7)
    • Histoire (21)
    • HTML (32)
    • Humour (57)
    • Intégration (34)
    • iPod (12)
    • JavaScript (110)
    • Jeu de combat (6)
    • Le coin du geek (128)
    • Liens (12)
    • Linux (56)
    • Livres (78)
    • Lois et principes (46)
    • Marché des saveurs (26)
    • Mathématique (18)
    • Mobile (5)
    • Montréal (32)
    • Musique (112)
    • Pancartes et écriteaux (16)
    • Perl (8)
    • Pérou (1)
    • PHP (130)
    • PostgreSQL (44)
    • Programmation (105)
    • Saviez-vous que (55)
    • Sécurité (22)
    • SEO (5)
    • SQL Server (22)
    • Vieilles publicités (6)
    • Virtualisation (8)
    • Voyages (1)
    • Zend Framework (26)

    Divers

    Archives

    • ►  2015 (6)
      • ►  août 2015 (1)
      • ►  juillet 2015 (1)
      • ►  février 2015 (3)
      • ►  janvier 2015 (1)
    • ►  2014 (8)
      • ►  décembre 2014 (1)
      • ►  novembre 2014 (1)
      • ►  octobre 2014 (1)
      • ►  août 2014 (2)
      • ►  juillet 2014 (2)
      • ►  janvier 2014 (1)
    • ►  2013 (53)
      • ►  décembre 2013 (2)
      • ►  novembre 2013 (1)
      • ►  octobre 2013 (3)
      • ►  septembre 2013 (2)
      • ►  août 2013 (5)
      • ►  juillet 2013 (3)
      • ►  juin 2013 (5)
      • ►  mai 2013 (3)
      • ►  avril 2013 (7)
      • ►  mars 2013 (7)
      • ►  février 2013 (11)
      • ►  janvier 2013 (4)
    • ►  2012 (105)
      • ►  décembre 2012 (8)
      • ►  novembre 2012 (5)
      • ►  octobre 2012 (4)
      • ►  septembre 2012 (1)
      • ►  août 2012 (8)
      • ►  juillet 2012 (7)
      • ►  juin 2012 (7)
      • ►  mai 2012 (10)
      • ►  avril 2012 (13)
      • ►  mars 2012 (15)
      • ►  février 2012 (15)
      • ►  janvier 2012 (12)
    • ►  2011 (146)
      • ►  décembre 2011 (14)
      • ►  novembre 2011 (11)
      • ►  octobre 2011 (12)
      • ►  septembre 2011 (13)
      • ►  août 2011 (15)
      • ►  juillet 2011 (17)
      • ►  juin 2011 (18)
      • ►  mai 2011 (15)
      • ►  avril 2011 (9)
      • ►  mars 2011 (7)
      • ►  février 2011 (3)
      • ►  janvier 2011 (12)
    • ▼  2010 (398)
      • ►  décembre 2010 (29)
      • ►  novembre 2010 (28)
      • ►  octobre 2010 (32)
      • ►  septembre 2010 (34)
      • ►  août 2010 (22)
      • ►  juillet 2010 (35)
      • ►  juin 2010 (42)
      • ►  mai 2010 (36)
      • ►  avril 2010 (37)
      • ►  mars 2010 (34)
      • ►  février 2010 (32)
      • ▼  janvier 2010 (37)
        • Citation no. 67 sur les statistiques
        • Laisser du pourboire à la façon Feynman
        • Le monde de Wal-Mart
        • Cracker un MD5 de PostgreSQL
        • Lire la valeur par défaut d'un champ PostgreSQL
        • La route de Cormac McCarthy
        • Guitare digitale Misa
        • Montréal, c'est toi ma ville !
        • Citation no. 66 sur l'opinion
        • Slumdog Millionaire
        • Raccourci pour basculer entre les fenêtres et le b...
        • Blogue dont vous êtes le héros
        • Apple Pastry Kit pour iPhone
        • YSlow : suggestions d'optimisations
        • Échec et mat
        • Citation no. 65 sur l'absurdité
        • Restaurer GRUB pour du multiboot (MBR)
        • Créer des éléments du DOM avec jQuery 1.4
        • Fixer le master boot record (MBR)
        • Trojan Internet Security 2010
        • Syntaxe particulière des appels de fonctions JavaS...
        • Changement non permis dans SQL Server Management S...
        • Jeu de soccer sur iPod et iPhone
        • Transformation de texte en CSS
        • Comment sauver Zelda ?
        • Citation no. 64 sur la bière
        • SQL Server et les vues à recompiler
        • Trucage musical impressionnant de Lasse Gjertsen
        • 0xDEADBEEF
        • Questions d'entrevue chez Google
        • Lister les fonctions de jQuery
        • Maintenant, on peut tuer par Internet
        • Citation no. 63 sur la compréhension
        • Jean-Yves Lafesse et le service informatique
        • PI - Mazda 3.1415
        • Connexion PostgreSQL sous une machine virtuelle
        • La surprise de Google pour 2010
    • ►  2009 (429)
      • ►  décembre 2009 (32)
      • ►  novembre 2009 (34)
      • ►  octobre 2009 (33)
      • ►  septembre 2009 (37)
      • ►  août 2009 (37)
      • ►  juillet 2009 (39)
      • ►  juin 2009 (38)
      • ►  mai 2009 (37)
      • ►  avril 2009 (35)
      • ►  mars 2009 (36)
      • ►  février 2009 (32)
      • ►  janvier 2009 (39)
    • ►  2008 (84)
      • ►  décembre 2008 (34)
      • ►  novembre 2008 (39)
      • ►  octobre 2008 (11)

    Abonnés

Copyright © All Rights Reserved. Code 18 | Converted into Blogger Templates by Theme Craft