Espionnage industriel et Duqu

Duqu est un ver descendant de StuxNet. Contrairement à ce dernier, il ne vise pas à faire du sabotage industriel direct, mais plutôt à recueillir des données de renseignement et des ressources appartenant à des organisations, comme des systèmes de commande industriels, probablement en vue de futures cyber-attaques. C'est Kapersky-Labs qui a lancé l'alerte.

Il exploite une faille "zero-day" du logiciel MS-Word qui n'est pas encore réparée, mais pour laquelle Microsoft vient de proposer un patch. Son mode opératoire semble être essentiellement basé sur le key-logging.

Plusieurs serveurs ont déjà été infectés et ont du être arrêtés, notamment en France et en Belgique, mais les cibles principales seraient au Soudan et en Iran.

Sources : 01.net, GlobalSecurityMag, TheSiteOueb, Developpez.com et Clubic.

le malware se diffuse grâce à un fichier d'installation contenu dans un document Word (.doc) envoyé par e-mail aux utilisateurs. Une fois ouvert, ledit fichier exploite une vulnérabilité du moteur d'analyse de font (TTF) Win32k TrueType et peut infecter un poste par le biais de service.exe.

Donc, ne jamais ouvrir les mails inconnus et encore moins les liens qu'ils contiennent .... ça a toujours été ma règle d'or.

Le ver Duku ......... chépa pourquoi ça me fait marrer

une petite merveille antikeylogger :keyscrambler


ca crypte tout ce que vous tapez sur le net et ce avant que ce soit envoyé au navigateur, donc un éventuel keylogger installé sur votre pc ne peut capter que des trucs incompréhensibles pour lui

http://www.qfxsoftware.com/download.htm

fonctionne jusqu'à seven pour explorer et firefox

exemple avec le code de carte bleue 0123 il apparait en fait crypté 5597 , et le cryptage n'est jamais le même évidemment (peut pas vous faire de captures d'écran dsl, ca fait partir ma fenêtre keyscrambler aussi sec)

C'est en Anglais

Ça peut être bien utile pour un particulier qui surfe, mais ici on a affaire à une crasse destinée aux données industrielles. Pas besoin de Ffx ou IE pour aller chercher des données dans une base de données et l'envoyer par les commandes réseau "net". Même un simple fichier batch peut le faire.

aucune importance y a rien à paramétrer de spécial juste à installer et à l'ouverture de firefox il t'installera l'extension qui fonctionnera aprés redémarrrage de firefox

tout ce que tu tapes est crypté c'est tout ca apparait brièvement en haut à droite si tu veux que ca apparaisse







(outils dans firefox, puis keyscrambler option)

j'ai pas de problémes sous firefox depuis des mois et ca ralentit pas le surf

Je vais tester dés que j'aurai un peu de temps libre

Gabier-Nuton a écrit:Ça peut être bien utile pour un particulier qui surfe, mais ici on a affaire à une crasse destinée aux données industrielles. Pas besoin de Ffx ou IE pour aller chercher des données dans une base de données et l'envoyer par les commandes réseau "net". Même un simple fichier batch peut le faire.

oui c'est juste je ne parlais pas de ce virus là qui a l'air bien tordu mais en général du keylogging

keyscrambler déjoue juste les keyloggers qui enregistrent les frappes du clavier, ce qui évite de se faire détrousser sur le net lors d'achats notamment

la version payante crypte tout les fichiers du DD je crois mais rien n'est imparable pour des bons hackers

Je vais encore jouer les rabat-joies, mais j'essaye de raisonner, dites-moi si j'ai faux ou juste.

Ce logiciel fonctionne sous Windows. Donc, la touche enfoncée envoie un signal à l'OS, qui le traduit via l'outil keybord activé (sous dos , c'était keyb_be, keyb_fr, etc., l'équivalent Windows), qui lui-même transmet l'info liée au signal du clavier au logiciel concerné. Il suffit donc d'une requête sur le keycode pour savoir quelle touche a été frappée (au lieu de la valeur ASCII ou ANSI ou UTF ...) et avoir accès aux données tapées avant qu'elles ne soient codées par le keyscrambler.

C'est pour ça que je n'ai jamais pu faire confiance dans ces outils lorsqu'ils ne sont pas intégrés matériellement au clavier.

je ne suis pas assez calé pour te répondre

je pense que la grande majorité des keyloggers ne sont pas assez évolués pour intercepter avant le cryptage je suppose, aprés un keylogger concu pour déjouer les antikeyloggers qui cryptent ca doit forcément exister et être faisable

En fait, un antikeylogger purement logiciel peut intercepter les touches frappées au tout plus tôt lors de l'interruption système (c'était INT 0x0009 pour le clavier sous DOS, et INT 0x0016 pour la souris (*), si mes souvenirs sont bons, je ne sais pas si ça existe toujours sous Windows). Les différents services de ces interruptions renvoient une foule de données, et il suffit au ver, virus ou autre d'aller chercher ces infos au même niveau pour les avoir avant qu'elles ne soient cryptées codées.

Edit : Il y a plus de dix ans de ça, c'est fou les traces que ça laisse d'avoir du écrire soi-même des drivers en assembleur !


(*)Edit 2 : Pardon, j'ai fait erreur. Après vérification :
les INT 0x0009 et 0x0016 sont pour le clavier,
l'INT 0x0033 est pour la souris.
Ils s'emmêlent, les souvenirs ...

j'ai peu d'infos sur son fonctionnement à part qu'il est déclaré excellent et utile sur un peu tous les sites de téléchargement ou de sécurité


Ce logiciel crypte les frappes au clavier pour protéger les informations importantes (mot de passe, login, etc). Lorsque l’on tape sur le clavier, les frappes passent d’abord dans le système d’exploitation avant d’arriver au navigateur. Les Keyloggers (programme malicieux chargé dans la mémoire de votre ordinateur) profitent de cette faille pour voler les informations en enregistrant les frappes. C’est pour ça que des logiciels comme KeyScrambler apportent un peu plus de sécurité en cryptant les frappes afin qu’ils deviennent indéchiffrables.

je comprends qu'aucun keylogger ne s'en prend "directement" au clavier mais aux quelques millisecondes de latence où la frappe est interprétée puis représentée graphiquement sur l'écran

le chemin normal serait frappe clavier>traitement en mémoire vive>navigateur (ou logiciel évidemment)

et keyscrambler enverrait déjà crypté dés la frappe et avant que ce soit traité par le systéme pour affichage d'où son efficacité

(sous toutes réserves, ceci me dépasse un peu et ne dure que quelques millisecondes)

il faudrait que je m'installe mon propre keylogger pour voir si ca fonctionne ou pas

il faudrait que je m'installe mon propre keylogger pour voir si ca fonctionne ou pas

Ça y est, il est fou !

Dit autrement, mais il tire la même conclusion que moi.

Baluze a écrit:le chemin normal serait frappe clavier>traitement en mémoire vive>navigateur (ou logiciel évidemment)

Je ne pense pas. La frappe clavier est directement envoyée aux registres du processeur qui envoie une interruption matérielle, qui elle est interprétée par l'OS (interruptions logicielles) qui renvoie le keycode. A partir de là seulement l'anti-keylogger peut intercepter la donnée et la coder pour l'envoyer au reste du système.

Baluze a écrit:et keyscrambler enverrait déjà crypté dés la frappe et avant que ce soit traité par le systéme pour affichage d'où son efficacité

Pour affichage ou traitement, oui. Tout dépend donc du niveau auquel le keylogger intercepte la frappe de touche clavier.

Baluze a écrit:il faudrait que je m'installe mon propre keylogger pour voir si ca fonctionne ou pas

C'est une excellente idée, tu pourrais savoir directement s'il y a concordance entre le keycode et le code caractère renvoyé, une double interception, avec anti-keylogger installé et actif, avec affichage des valeurs interceptées suffirait pour savoir.

trouvé une fois de plus la réponse chez malekal

sans keyscrambler le keylogger installé trouve et se régale

http://forum.malekal.com/download/file.php?id=1755&mode=view&sid=9d4550dc8a9be647edb1941479810238

avec apparemment ca ne va plus du tout pour lui

http://forum.malekal.com/download/file.php?id=1756&mode=view&sid=9d4550dc8a9be647edb1941479810238

http://forum.malekal.com/testez-resistance-aux-keyloggers-t20726-30.html#p170138

testé avec ce programme

http://www.commentcamarche.net/download/telecharger-34075775-anti-keylogger-tester

Malekal_morte a écrit:Dans ce test, c'est un processus à part entière qui utilise les API pour logguer les frappes claviers.
Mais un keylogguer peut-être un driver ou une DLL (qui se charge par exemple dans tous les processus).
Si on passe le côté "je laisse entrer le loup dans la bergerie", ce n'est pas parce que ce test réussi que vous serez forcément protégé de tous les keylogguers notamment ceux en drivers qui ont des fonctionnalités de rootkits ou si c'est une DLL qui se charge dans explorer ou winlogon par exemple et que la configuration de votre HIPS est trop permissive pour ces processus, il y a des chances que le keylogger marche.

Donc la qualité de la prévention dépendrait de la manière dont le programme intrusif est codé et du paramétrage de la protection ?

A priori oui

je n'ai eu qu'un keylogger détecté dans toute ma vie windows

contre des dizaines de virus backdoors et autres rootkits

s'il en rend inefficace huit ou neuf sur dix, disons que keyscrambler minimise vraiment un risque déjà minime

c'est un contri sécurité ccm qui me l'avait conseillé, je ne sais plus qui, sur un autre forum



a une époque j'ai beaucoup acheté en ligne je n'ai jamais eu de problémes et je ne considère pas internet comme dangereux pour ça si on ne clique pas sur n'importe quoi

des spams de phishing j'en ai parfois, le dernier free voulait me rembourser 200 ou 300 euros, il leur fallait bien sur mes coordonnées bancaires complétes, seul petit hic je n'ai jamais acheté quoi que ce soit chez free

une seule fois j'ai failli vraiment me faire avoir par un faux mail de orange tellement il était bien fait et redirigé sur un site super bien imité



le prétexte aprés tout plausible était que je devais me connecter sur orange sous peine de fermeture de mon compte parce que des connexions venant d'autres pcs avaient été constatées sur mon compte
et à l'époque je surfais souvent à 3 endroits différents

c'est 2 fautes d'orthographe énormes dans le mail qui m'ont heureusement alerté, site contrefait pour avoir mes identifiants orange

Jamais eu ce genre de crasses, seulement quelques virus et chevaux de Troie sans véritable grand danger. Faut dire que côté surf, je suis un peu parano ...

moi plutôt kamikaze

j'essaye beaucoup de freewares et sharewares plus je suis inscrit ne serait ce qu'une fois sur un paquet de sites ou services et j'ai donc une boite gmail bourrée de dizaines de spams quotidiens

bah j'ai confiance en moi (peut être trop)et j'ai l’armada prête à intervenir

en plus d'un antispyware +antivirus firewall + malwarebytes, j'ai charge à peu prés tous les outils de désinfection spécifiques sur une usb au cas où

style combofix ad remover pre scan hijackthis usbfix, bit defender free, kaspersky removal tool, housecall tdsskiller etc. etc

je vais trouver d'aprés les symptomes et les messages d'erreur dans google quelle est la bêbête et là le plus dur est fait

je m'en suis sorti à tout coup, sauf une fois ou j'ai du demander de l'aide sur ccm, là je calais vraiment complétement aprés avoir tout tenté

je suis parano en revanche sur les scans et le nettoyage quotidien donc mon pc est en principe toujours clean ou alors il ne reste pas longtemps infecté

mon tout dernier "virus" vient je crois de bywi fi cité comme trés bien sur CCM

à part qu'il te met un proxy dans firefox impossible à déloger ou presque, même en le décochant dans les options et allant dans about:config le virer il réapparaissait a chaque démarrage de firefox

pas de preuves formelles mais ca viendrait bien de by wifi, by wi fi viré le proxy avait disparu...

http://www.commentcamarche.net/download/telecharger-34075941-bywifi

c'est cette derme, et tout google dit que ca sent le virus sans que personne ne sache trop de quoi

http://i28.tinypic.com/10deipf.jpg

dommage parce que ca marche vraiment pour accélérer youtube qui est bridé par orange

Pourquoi ne pas le charger depuis l'éditeur original (Softonic) plutôt que par un site tiers ? Faudrait voir s'il amène les mêmes crasses d'origine ...

Gabier-Nuton a écrit:Pourquoi ne pas le charger depuis l'éditeur original (Softonic) plutôt que par un site tiers ? Faudrait voir s'il amène les mêmes crasses d'origine ...

il n'y a aucune toolbar à l'installation annoncée ni quoi que ce soit de louche

j'ai eu des alertes avast bizarres avec ce truc aussi, plus il bloque souvent la fermeture du pc

c'est basé entre autres sur un systéme de p2p

je pense que quand tu regardes la m^me vidéo youtube qu'un autre utilisateur de bywi, on est "reliés" si j'ose dire et je dois profiter de sa vitesse de connexion, du moins des morceaux déjà chargés chez lui d'où peut être cet espèce de proxy bizarre dans le navigateur

comment pourrait on accélérer du streaming par du p2p ?

si c'est indiqué p2p c'est donc bien du pair à pair avec d'autres utilisateurs et non des vidéos déjà stockées sur un serveur de bywifi par exemple

j'ai beau chercher je ne vois pas et à partir du moment ou tu es en p2p avec d'autres pcs, le risque de te faire hacker est grand si le gars en face sait hacker

de plus il y a deux logiciels annexes pour télécharger et transcoder inclus alors que je ne voulais qu'accélérer, besoin de rien pour télécharger une vidéo youtube firefox me suffit lol

dommage parce que test fait le curseur qui indique le cache vidéo déjà chargé bouge manifestement plus vite, je n'avais aucune coupure sur youtube même à débit pas trés important


t'as bien fait pour linux si tu savais tous les freewares windows aujourd'hui ont des toolbars commerciales ou pire, c'est affolant même antivir ccleaner photofiltre et les plus sérieux

Ben ce que tu me dis me confirme ce qui me semblait. On dirait bien que c'est une forme apparentée au BitTorrent (qui n'est finalement qu'un p2p particulier), mais qui semble connaitre bien plus de problèmes de sécurité.

C'est une des raisons principales pour lesquelles les logiciels libres sont plus sûrs : le code source étant disponible et le droit de modification ouvert, des milliers de programmeurs de par le monde peuvent checker le code et repérer (et corriger) ce qui ne va pas.

Les freewares ont toujours été des nids d'infections et de problèmes. Certains sont excellents, mais beaucoup sont soit codés avec les pieds, soit souvent infectés. Et le code source en étant fermé, seuls ceux qui l'ont fait (ou en ont acheté les droits) ont le droit de le modifier. Donc les mises à jour, y compris de sécurité, se font souvent attendre.