Overblog
Suivre ce blog Administration + Créer mon blog
7 mai 2011 6 07 /05 /mai /2011 16:44

Here is the mail that currently spreads:

MSG_live_osama_060511-copie-1.PNG

The link provided does not work itlself.

But the real link does:

http://noticias. terra.woonet.co.kr/videos/paquistao/terrorismo/osama/05/05/2011/video-proibido-mostra-momento-da-execucao-de-obama-por-agentes-na-operacao.php?0.14094

 

PLease note the allusion to "Obama" et "execution", even if I'm not a linguist. There is probably a mistake, or a will to associate "Obama" and "execution" (that should be "Osama's execution"...).

IE9, working with SmartScren/Windows Defender does alert and blocks the download, that's good.

BTW, Clam In the Cloud and Panda Cloud do detect the sample as well.

Then, according to VT, 24 engines (reminder: command line versions) out of 41 do detect the malware:

http://www.virustotal.com/file-scan/report.html?id=e367ad6e9f26191e59dab7a9b681d05f40b23fee120ef1757def56c4a2b84f4b-1304723523

Murlo/Delf, well, nothing that new.

And to finish with, a sandbox:

http://www.threatexpert.com/report.aspx?md5=8bef97fcdd7a160b230749b824b9cb95

Just an oldfashion Rbot packed with Pklite32... and it mostly targets Brazilian websites/assets.

In a nutshell, do not open that email nor click on the link!

 

Partager cet article

Repost0
28 avril 2011 4 28 /04 /avril /2011 23:20

A force de lire un petit peu tout et n'importe quoi sur le sujet, je me suis dit que je devrais mettre à profit le retour d'expériences de quelques années de lutte antivirale (notamment désinfection en centre d'assistance).

 

Je vais donc proposer ici un mode opératoire assez générique, qui devrait suffire dans nombre de cas. Cependant, je ne dis pas que ce sera simple, ou très rapide, mais un minimum efficace ! A bon entendeur...

 

 

Etape 1 :

 Si vous avez déjà un anivirus installé, qu'il n'arrive pas à se mettre à jour, ou qu'il ne détecte rien, passez à l'étape 2.

Si, en plus, Windows Update ne fonctionne pas/plus, passez à l'étape 3.

Si votre PC est bloqué au démarrage, ou que la session Windows ne s'ouvre plus, passez à l'étape 3. 

 

Si l'état d'infection de la machine ne vous empêche pas d'installer un antivirus comme MS Security Essential pour Windows 7 (http://www.microsoft.com/fr-fr/download/details.aspx?id=5201), ou Kaspersky Free (https://www.kaspersky.fr/downloads/thank-you/free-antivirus-download) : choisissez-en un, installez-le, et tentez de le mettre à jour. Sous Windows 10, lancez un scan "hors ligne" avec Windows Defender Offline (https://support.microsoft.com/fr-fr/help/17466/windows-defender-offline-help-protect-my-pc).

 

Si la mise à jour réussit, lancez un balayage complet, désinfectez ce qui est détecté, et passez à l'étape 2.

 

Si l'installation ou la mise à jour ne marche pas, passez à l'étape 3.

 

 

Etape 2 :

Installez MalwareByte Antimalware (http://www.filehippo.com/fr/download_malwarebytes_anti_malware/ , pensez à désactiver l'essai de la version "premium", en fin d'installation), mettez-le à jour, puis lancez un balayage complet de la machine. Téléchargez le Safety Scanner (https://docs.microsoft.com/fr-fr/windows/security/threat-protection/intelligence/safety-scanner-download) et lancez un scan. 

 

Téléchargez DrWeb CureIt (http://www.freedrweb.com/cureit/?lng=fr), et lancez un scan complet du système.

Si toujours rien n'est détecté, passez à l'étape 3. Sinon, passez à l'étape 4.    

 

Etape 3 :

Téléchargez des CD qui permettent de scanner la machine sans que votre Windows soit en fonction : c'est le mode de désinfection le plus puissant !

Voici quelques exemples de ces CD que je vous recommande : le CD Windows Defender Offline, Kaspersky Rescue Disk, Avira AntiVir Rescue System, voire le ESET Rescue CD (ex de sites pour les liens de téléchargement : http://livecdlist.com/purpose/windows-antivirus). Si vous n'êtes pas totalement allergique à l'anglais, et que vous préférez travailler sur clé USB, je vous conseille le "tout intégré" SARDU (http://www.sarducd.it/).

 

Si vous avez déjà un live CD à base de noyau Win32 (type WinPE, ou BartCD), je vous recommande fortement de télécharger Sophos en version ligne de commande (SAV32CLI, http://www.sophos.com/fr-fr/support/knowledgebase/13251.aspx) et de lancer un scan complet.

 

 

Redémarrez votre machine et :

- tentez à nouveau d'installer un antivirus de votre choix. Si cela ne fonctionne pas, passez à l'étape 5. Réalisez l'étape 2 si ce n'est pas déjà fait, et passez à l'étape 4.

- si vous avez un antivirus installé et fonctionnel, vérifiez qu'il se met bien à jour et qu'il a bien scanné entièrement le PC récemment.

 

Si avez encore des doutes, tentez l'étape 5.

 

 

Etape 4 :

Prenez le CD d'installation de Windows, insérez-le dans le lecteur de CD/DVD, et ouvrez une ligne de commande pour y taper :

sfc / scannow.

Ceci va vérifier que les fichiers de Windows sont bien intègres (ils peuvent avoir été altérés à cause de votre infection virale).

 

Vérifiez que Windows Update fonctionne (forcez une vérification des mises à jour disponibles), et que votre antivirus est à jour (forcez sa mise à jour).

 

Le problème viral devrait maintenant être réglé !

 

 

Etape 5 :

 

     

Essayer des scan en ligne : ESET Online scanner (http://www.eset.com/fr/home/products/online-scanner/), ou Kaspersky Online Scanner (http://www.kaspersky.com/fr/virusscanner). Autre idée, essayer une solution antivirale "dans le nuage" avec des fonctions d'émulation/Analyse de code en dynamique avancées, ex Panda Cloud (http://www.cloudantivirus.com/en/#!/free-antivirus-download).

 

 

Si vous avez toujours un doute sur le fait que votre machine soit infectée, il reste la solution de l'anti-rootkit, sous Windows.  

Je vous recommande GMER, Sophos Anti-Rootkit, AVG AntiRootkit. NB  CureIT a aussi des fonctions avancées d'anti-rootkit.

 

Lancez des analyses du système et relevez les éléments trouvés. Attention, certains peuvent être parfaitement légitimes (comme des pilotes, ou des produits comme DaemonTools, etc)

Vérifiez chacun des fichiers signalés.

Au besoin, redémarrez la machine avec un CD, prélevez le fichier "suspect", et soumettez-le à VirusTotal ou VirScan (voire au bac à sable en ligne de PC Tools, si vous connaissez).

 

Vous devriez alors arriver à trier le bon grain de l'ivraie.

 

Une fois l'anti-rootkit de passé, vous pouvez utiliser les outils Sysinternals pour vérifier de A à Z le système Windows. Attention, cela n'est valable que si un anti-rootkit a été passé au préalable, puisque les produits Sysinternals lisent de façon exhaustive les API Microsoft, mais ces dernières peuvent être détournées par une fonction rootkit d'un code viral...

 

La toute dernière option sera donc la plus lourde et complexe : soit prend un dump (complet) de la mémoire de la machine, soit la démarrer en mode de débogage noyau. Puis avec un débogueur comme WinDBG, vous pourrez lister les processus et modules chargés (commandes !process 0 1, lmf, .dml_start, etc) pour comparer les résultats avec ce que vous voyez avec ProcessExplorer par exemple.    

 

 

Bonne chance / chasse !

Partager cet article

Repost0
19 avril 2011 2 19 /04 /avril /2011 23:25

Let's talk a little bit about the A: availability... and maybe also about the I: integrity...

 

I do my best to put in application the advices I give at work: make sure you back up your systems and data... well, I decide to use the Rescue and Recovery software than ships with my Laptop.

 

Alright, I was then very happy to be able to use my NAS, as a destination backup for R&R (as they all call it).

 

A few weeks after that, I had... a crash. :(  there begin the problems...

 

I did a fresh install of W7, and I was then ready to restore my backup (I thought I would just have to re-install R&R on the new W7)... well, not really :(

 

I have first to say that the R&R software was not said to be fully compliant with Win7... Nonetheless, Lenovo did publish it with the System Update technology, so that my laptop had it installed right away.

 

And shortly after the day I did my backup, there was an update of R&R software. The only thing is that new version of Rescue & Recovery does not detect my backup! Neiter of the NAS, nor on a local partition (when I had copied the whole RRbackups content, that is on my NAS).

 

I can't believe what I read on the forums:

http://forums.lenovo.com/t5/ThinkVantage-Technologies/Rescue-and-recovery-doesn-t-see-my-backup/td-p/207165

 

A new/different version of R&R is not able to restore a backup build with another version of R&R! So why do they publish automatic updates for R&R with SystemUpdate, and don't tell the users about that quite important point regarding the backups they've already created?

 

 

So, the full advise is: make sure you have backups, but also TEST them on a regular basis!

Partager cet article

Repost0
20 mars 2011 7 20 /03 /mars /2011 03:42

...et le mauvais élève du moment est : Finjan ! c'est à dire une société spécialisée dans la sécurité web...

Visiblement, les infrastructures de Finjan sont en train d'être reprises par M86Security....

 

Et voici ce que cela donne quand certaines précautions ne sont pas prises lors de la migration des certificats HTTPS (quand on utilise la barre d'outils Finjan Secure Browsing) :

msg_certif_Finjan_m86security_200311.jpg

Ou alors Finjan se serait-elle fait pirater ses serveurs ??

Plus sérieusement, comment expliquer une telle situation à un utilisateur lambda ? déjà que la sensibilisation (notamment aux "messages d'alertes" dans le navigateur) n'est pas simple...

Partager cet article

Repost0
16 mars 2011 3 16 /03 /mars /2011 23:58

I'm gonna deal here with a few tips to monitor, and even detect, real network intrusion cases.

 

Just for the records, Netbios is not a protocol, it is a network interface. NetBT (Netbios over TCP) is a protocol, for instance. Nowadays, MS networks use SMB shares and protocols.

 

Then, let me say that the Windows culture of a firewall tends to block almost every little packet that comes from the network, but not what goes from the computer to the network! Thus, even some kindda hardened Windows network configurations will just be verbose over the network, as soon as the RJ45 cable is plugged...

And that's just what we need to detect the intrusion!

 

 

First of all: protocols that are not related to pure MS Networks (ie: SMB):

 

- SSDP Enabled by default in Vista and Win 7. Multicast.

It is being sent as HTTP over UDP, port 1900. IP 239.255.255.250.

 

- Bonjour (Apple): Multicast DNS

It comes from Apple system, but also from Windows OS where users installed any of the Apple software: iTunes, QuickTime, Safari, MobileMe... (the service is called "Bonjour")

It is being sent over UDP, port 5353, IP 224.0.0.251.

 

- WPAD (Web Proxy Audto-Discovery): DNS resolution & NetBU/NetBT (resolution) broadcast 

It comes from computers where the option like "auto detect configuration" has been validated as a proxy configuration for the browser.

 

- DHCP (discover): It comes from computers set to automaticaly obtain network configuration through DHC.

It uses UDP, port 68.

 

- IGMP: It comes from many computers running different systems, and very often Apple software.

It is being sent over UDP, port 3702, to IP 239.255.255.250.

 

- WS Discovery: It comes from many computers running Vista/Win7.

It is being sent to IP  224.0.0.22,   and with requests like: "V3 Membership Report / Join group 224.0.0.252 for any sources"

 

 

 

Then, what to watch in a regular MS network environment:

 

- NBNS: computers that are connected to a network, with "MS networks" compliance, will broadcast their name over UDP, and port 138.  You'll see any computer's name within your network broadcast segment 

So, if you use Wireshark, I suggest you to set a filter like:

udp.port==138

 

 

- browser (NetBT): used when a computer wants to announces itself as a "Master browser" of a network. This is certainly not normal when there are WINS servers!

So the wireshark filter becomes:

udp.port==138 || browser

 

 

- LLMNR (RFC 4795): used when no local DNS was found on the network. It tries to convert names to IP (for example, regarding a Brother printer:  LLMNR  Standard query A BRN001BA927E1C9). Also works for WPAD requests. It is send to 224.0.0.252, port 5355 UDP. Multicast UDP

So the wireshark filter becomes:

udp.port==138 || udp.port==5355 || browser

 

 

- NCSI (Network Connectivity Status Indicator): comes vith Vista and Windows Seven systems. Used to detect/check network connectivity, meaning access to one txt file over HTTP, in Microsoft's point of view.
It is bieing sent first as a DNS request: DNS  Standard query AAAA dns.msftncsi.com.

Please note it is an IPV6 one, that could help to distinguish it from others.
Then, it attempts to download http://www.msftncsi.com/ncsi.txt, so that's: 131.107.255.255  over HTTP.

Obviously, on of the best places to monitor such requets is the firewall, not your own computer...
So, if there should be no Vista/W7 machines on your LAN, the wireshark filter could be: dns.qry.name==dns.msftncsi.com

Else, it is best IMHO to watch: ip.addr==131.107.255.255

 

 

 

- my own experience proves that there are a few transactions that use SMB. Therefore, the filter becomes:

udp.port==138 || udp.port==5355 || browser ||  smb

 

 

In a nutshell:

udp.port==138 || udp.port==5355 || browser || smb || udp.port==68 || udp.port==5353 || udp.port==1900 || udp.port==3702

 

 

- you should now exclude your own IP from the network capture (reminder of syntax: !(ip.addr== %your_IP%) )

 

You could say "hey, I don't mind, I use Linux"... well, pretty wrong, since as long as your linux system wants to be compliant with a Windows network, it will broadcast almost the same traffic than Windows boxes...I do detect intrusions concerning linux and Mac systems, with the same idea!

 

 

Now, here are a few requests that you could also watch, depending on what your standard master/configuration is:

 

- Google Desktop:

DNS    Standard query A desktop3.google.com

 

- Vista/Windows 7 money converter gadget (on the desktop)

  DNS    Standard query response CNAME money.service.co1.cb3.glbdns.microsoft.com

Response type A 65.55.17.39

 

 

 

 

To finish with, for this first run, I suggest to the network admin to keep an eye on:

- WINS servers' logs: Active directory unknown domains lookups, host announcements, master browser announcements

- DNS servers logs: (Active directory) unnkown domains lookups, unknown FQDN lookups

DNS watch was already mentioned in a MISC article, I dont remember the date nor the number (detect network intrusion with DNS).

   

 

Looking for some documentation?

http://support.microsoft.com/kb/188001

http://www.wireshark.org/docs/dfref/b/browser.html

http://isc.sans.edu/port.html?port=139

http://isc.sans.edu/port.html?port=138

http://isc.sans.edu/port.html?port=137

http://isc.sans.edu/port.html?port=445

http://www.hsc.fr/ressources/presentations/srv_res_win/srv_res_win.pdf

http://support.apple.com/kb/HT2463

http://www.tcpipguide.com/free/t_DHCPLeaseAllocationProcess-2.ht

http://msdn.microsoft.com/en-us/library/bb736562%28v=vs.85%29.aspx

 

 

 

 

 

 

 

Partager cet article

Repost0
12 mars 2011 6 12 /03 /mars /2011 01:37

Je n'avais pas envisagé d'écrire un article ce soir, cependant l'état de la Freebox m'y incite...

 

Après avoir allumé la TV, un message me dit qu'une mise à jour est nécessaire pour le Freebox Server... je ne peux faire que "Valider", aucune autre fonction de menu n'est accessible visiblement.

 

Je suis donc la procédure, en bon élève. La Freebox redémarre, OK. Manque de chance, le message "veuillez patienter pendant la mise à jour du FreeBox Server" persiste...

 

J'éteins donc le Freebox Player, et je le rallulme. Et là, je reviens au message "une mise à jour du FreeBox Server est nécessaire, appuyez sur OK pour continuer" !

 

Au bout de la 4ième tentative, toujours pareil, il semble bien qu'il ait un souci... Et là, l'abonné non spécialiste est censé appelé l'assistance de Free, pour un bogue causé par une mise à jour forcée ?? je n'ose y croire.

Pourtant, là, la TV et le multimédia ne fonctionnent plus...

 

A suivre

 

Mise à jour du 16/03 : Solution = tout débrancher et rebrancher d'abord le Freebox server, puis le lecteur. Et là, comme par magie, l'installation du microprogramme (firmware) se fait...

Partager cet article

Repost0
8 mars 2011 2 08 /03 /mars /2011 01:47

Une fois n'est pas coutume, le courriel étant francisé (et non pas en bon Français, petite nuance), je vais donc publier l'article en Français, pour la communauté francophone... principale "cible" donc du courriel.

Il me semble que l'on peut qualifier cet échantillon de version Facebook du scam 419, en français dans le texte...

Que les amoureux du français châtié ne m'en veuillent pas, je vais publier "en l'état" le message, et certains passages sont assez loufoques (vive les traducteurs automatiques ?) :

 

Walter FrankMarch 8, 2011 at 12:00pm
Objet : hi
Bonjour,


Je travaille pour la nostalgie et annonce Photo Shop, une sortie de l'échelle des petites entreprises sans site web. Nous recherchons des photos de modèles amateurs que nous ne pouvons pas les moyens de payer top modèles professionnels.

Mon client veut mettre à jour leur carte Recharge téléphone (Lebara Uk) avec des photos de bonnes personnes à la recherche.

Je suis tombé sur votre photo de profil qui s'inscrit dans le type exact de la statistique nécessaire pour les affiches qui est la principale raison pour laquelle je vous ai contacté.

Votre visage ne figurent sur la carte de téléphone Recharge.

La rémunération totale pour l'emploi est £ 15,000 ou son équivalent dans votre devise et vous avez droit à 20% de cet argent.

Photos de l'affiche sera envoyée à vous avant qu'il ne soit lancé en avril.

Si vous êtes intéressé par cette opportunité, s'il vous plaît envoyez-nous vos photos de profil, tourné près de votre visage (surtout le visage) et de l'image complète de vous-même directement à ma boîte de réception. Email: (frankwalter1112 @gmail.com)

Alors que mon client sera en mesure d'en choisir un adapté à la carte de téléphone. Une fois que mon client a choisi l'image qui il aime mieux alors la prochaine sera de traiter votre contrat et le paiement.

Encore une fois, vos photos ne seront pas victimes de violence et nous nous assurerons d'un contrat est signé avec vous et que vous êtes payé avant qu'il ne soit utilisé. Une fois que je reçois votre photo dans mon e-mail je vais vous répondre dans les 24 heures pour vous faire savoir ce que le client dit et quelle photo qu'il a choisi.

Je me réjouis de votre réponse.

Merci et bonne journée.

Cordialement,
Frank Walter.
--------------------------------------------
Mise à jour, après quelques recherches d'informations et des commentaires :
- Surtout : ne vous impliquez pas là dedans, vous risqueriez d'être accusé de complicité ou recel
- Si vous avez commencé avec eux, faites un dossier avec TOUT ce dont vous disposez, et allez voir la police ou contactez l’OCLCTIC avec les pièces. Ils sauront quoi faire à partir des éléments factuels que vous apporterez.
- dans l'éventualité où vous avez réellement affaire à une organisation malveillante, je ne vous recommande pas de jouer au plus malin : passer du mode virtuel au monde physique, pour les menaces ou représailles, n'est pas si compliqué... 
- une petite lecture complémentaire : http://www.arobase.org/arnaques/porter-plainte.htm

Partager cet article

Repost0
25 février 2011 5 25 /02 /février /2011 21:01

For those who feel concerned with website/webapp security, I'm gonna post here a few hints to :

- find the technology behind a website/portal (based on the fingerprinting idea, within the URL itself)

- check that the default admin URL is still accessible (leading to the questions: accessible for everyone? with default password?...)


This comes from my own experience, and also from the work of the guys owning the Nikto project (BTW: great job for the tool!).

 

Obviously, you may complete that with a real (HTTP?) headers check: very often the website will tell you its version and even what's running on it!

 

Here is the list, first version, and to my knowledge, there is not equivalent list on the web:


/backend_dev.php
/admin
/admin/login.php
/admin/phpinfo.php
/admin/system.php3
/administrator
/administration
/.admin
/stats
/server-status
/phpinfo
/phpinfo.php
/phpmyadmin/
/manager/list
/cfide/administrator
/wp-login.php
/?q=admin
/cgi-bin/printenv
/.htaccess
/bin/fpadmin.htm
/iisadmin
/_vti_bin/fpadmin.htm
/webadmin.nsf
/admin-serv/config/admpw
/servlet/AdminServlet
/lists/admin
/server
/siteminder/smadmin.html
/forum/admin/wwforum.mdb
/hostadmin/?page=
/sips/sipssys/users/a/admin/user
/simplebbs/users/users.php
/SiteServer/Admin/knowledge/persmbr/vs.asp
/IDSWebApp/IDSjsp/Login.jsp
/signon

/wp-admin
/login_form
/phpmyldap

/misc/drupal.js



And to finish with, I have been told that a well know french website hoster uses this port for the admin interface: 10000...
(so the URL to test could be something like subdomain.domain.tld:10000 ....)

 

I'll do my best to update that bill (update 1, done).

 

Please note that I can't be held responsible if you use that piece of information without having the right to assess security level (I mean auditing a system/app).

 

 

Partager cet article

Repost0
24 février 2011 4 24 /02 /février /2011 00:26

Just to say that I received a few hours ago a spam, like in the ancient time :), but not in French this time.

 

Here is the link that appears within the body of the email:

http://g1.globo.com/sao-paulo/noticia/2011/02/video-em-que-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.html-0.79795

 

but in fact, here is the real link:

http://videos .katebowman.com.au/images/youtube/videos/abuso/22/2/2011/video-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.php?0.79795 

Caution! This one is  malicious!

 

Indeed it will automatically redirect the user to:

http://89. 149.226.195/css/video-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet-AVI.exe

 

About the "subject" of the link, that should be interesting for an user? it is about a police clerk, "naked", makes me remind the "sextape" of a few stars... here is a translation of it:

http://g1.globo.com/sao-paulo/noticia/2011/02/video-em-que-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.html

"Police" and "naked", probably two words that could invite a person to click on the link... 

 

What about the IP hosting the malware, while accessed through the browsers?

- Opera 11: no warning

- Safari 5.0.3: no warning

- Firefox 3.6.13: no warning 

- IE 9: no warning...!

 

Okay, that's not really a good start. Browsers embedded security could certainly be more efficient....

Let's see what VT says about the sample: 9 engines out of 43 do detect it... I've seen better detection.

BTW, Nod32 full version (and up to date) does detect it as a variant of Banload.PMI... but Clam In the Cloud does not detect anything, and that surprises me a lil bit.

 

The sample is being run on ThreatExpert sandbox. I just received the results, they look interesting!

http://www.threatexpert.com/report.aspx?md5=8d20e04ba3e66b85fc54860794332ed6

 

I'll talk about them more in details pretty soon. 

 

 

Partager cet article

Repost0
12 février 2011 6 12 /02 /février /2011 05:58

Once again, Chrome jumped to a new version. It is now at 9.0.597.84.

 

But what I find interesting to point out is that:

- the new version detection is silently done, without any user agreement nor notice

- the download of the new version is also being silently and automatically done 

In short, the next time you restart Chrome, the new version is there. And whereas Chrome is a quite recent browser, it has already had 9 versions... (remember: IE 9 is still a beta version, Firefox 4 too, Safari still a v5... and yes Opera v10)

 

The thing is, if you use G Chrome as a lightweight client, this kindda "forced update" may lead to compliance issues, for instance application not being tested/validated with the new Chrome version before it is being deployed.

 

Furthermore, there are only a few details about this update, except: 

http://googlechromereleases.blogspot.com/2011/02/stable-channel-update.html  

But who owns this blog? is it really an official "G Chrome" web blog? sorry, I don't find any proof of authenticity.

 

There is also http://www.google.com/support/forum/p/Chrome/thread?tid=4125a7f102c8ae9e&hl=en , but this is a forum, not an official portal...

 

In a nutshell, Chrome updates itself without (almost) any notification... therefore it is a software that a company does not manage completely, thus I do not recommend to use Chrome as a default web browser for production applications... (unless the firm has got real efficient proxies with filtering layer and reports...).

 

I hope this helps.

Partager cet article

Repost0