Developpez.com

Plus de 14 000 cours et tutoriels en informatique professionnelle à consulter, à télécharger ou à visionner en vidéo.

Microsoft supprime à distance le malware Sefnit
Et le client Tor des utilisateurs

Le , par Francis Walter, Community Manager
Sefnit est un malware (Cheval de Troie) qui effectue des fraudes sur bitcoin au clic. Il utilise le réseau Tor pour dissimuler son trafic. Ce malware était supposé disparaître depuis 2011, mais a refait surface en juin dernier dans un mode plus silencieux, mais fielleux.

Le mystère autour de Sefnit planant encore, les spécialistes de la sécurité informatique ne sont pas restés muets à ce sujet. Il y a quelques mois, le Centre de Protection contre les Malwares (Malware Protection Center) de Microsoft a effectué une étude sur quelques procédures d’attaques du malware.

Selon les résultats de l’étude, en août dernier, environ 600.000 ordinateurs étaient infectés. Il a fallu seulement deux semaines pour que les ordinateurs infectés passent à 4 millions, en septembre. En effet, les programmes d’installation de Sefnit/Win32 s’exécutent sur ces millions d’ordinateurs infectés pour effectuer des instructions en masse et pour télécharger et installer des composants Sefnit à travers le réseau Tor. Ces instructions sont présidées par les hackers ukrainiens et israéliens nommés Scorpion et Dekadent.


Les OS Windows étant les principaux concernés par cette situation, Microsoft a retiré à distance le programme malveillant d’autant d’ordinateurs qu’il pouvait. Malgré ce retrait, les services clients Tor demeurent et fonctionnent en mode silencieux. La meilleure solution pour Microsoft au final, c’était de retirer aussi le client Tor des ordinateurs. Ce fut le cas dans un deuxième temps. Ce second acte qui pouvait être mal interprété par la société Tor, n'est pas resté sans explication de la part de Microsoft. Dans le billet de blog consacré à l’étude, la firme américaine faisait comprendre que la version du client Tor utilisé était vieille et vulnérable. Les clients Tor v0.2.2.35 et antérieurs étaient ceux installés alors que la version qu’exploite Sefnit pour ses fraudes est v0.2.3.25. La version actuelle du client Tor est la v0.2.4.20.

La réplique de Microsoft a fait perdre, en octobre dernier, 2 millions de clients à Tor. Ceci vient confirmer que la démarche de la firme contre le malware a vraiment eu de l’effet.

Source : blog Technet

Et vous ?

Que pensez-vous de l'action de Microsoft ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Neckara Neckara - Expert éminent sénior http://www.developpez.com
le 18/01/2014 à 4:30
Bonjour,

Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor (je vois difficilement comment ils auraient pu faire autrement). Donc déjà niveau sécurité, il faudrait se dépêcher de virer Windows de nos machines car rien ne nous garanti qu'ils n'essayeront pas de récupérer certains fichier pour les "analyser" (comprenez espionnage industriel).

Ensuite, retirer un logiciel sans l'avis du client (surtout que si j'ai bien compris, une upgrade aurait pu résoudre le problème) me semble être très limite du point de vu de la légalité.
Un virus ? Et bien on va lui retirer tous ces logiciels bizarre, là les "libres" qui ne sont pas sûr et qui comportent des failles potentielles. Et puis on va virer les fichiers infectés les *.odt, etc...

Enfin bref, sous couvert de faire quelque chose de "juste" (lutter contre les malware), on est en train de mettre en place et de tester un système assez horrible.
Avatar de Lutarez Lutarez - Membre chevronné http://www.developpez.com
le 20/01/2014 à 15:26
Citation Envoyé par Neckara  Voir le message
c'est que Windows a une backdoor

C'est aussi le cas sur absolument tout les systèmes mobiles actuels, donc n'oublie pas d'inclure Apple, Google, BlackBerry dans ton discours (et sûrement Mozilla, Samsung, etc). Bref, rien de nouveau...

Citation Envoyé par Neckara  Voir le message
c'est que Windows a une backdoor

Rien n'est dit à ce propos. Un patch correctif classique suffit amplement pour forcer la désinstallation d'un logiciel. Et vu que les MAJ demandent des droits administrateurs, c'est totalement invisible pour l'utilisateur.

Citation Envoyé par Neckara  Voir le message
Un virus ? Et bien on va lui retirer tous ces logiciels bizarre, là les "libres" qui ne sont pas sûr et qui comportent des failles potentielles. Et puis on va virer les fichiers infectés les *.odt, etc...

Des lois existent et mêmes les ricains sont obligés de s'y plier. Je pense qu'il est inutile de rappeler les décisions de l'UE concernant IE. Et cela risque de se reproduire avec Google.

Mais soyons sérieux : mieux vaut avoir plusieurs millions d'ordinateurs piratés à travers le monde servant des réseaux criminels plutôt que voir un éditeur de logiciel supprimer à distance un logiciel malveillant.
Avatar de Pat_AfterMoon Pat_AfterMoon - Membre averti http://www.developpez.com
le 20/01/2014 à 15:44
Citation Envoyé par Neckara  Voir le message
Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor

A priori il ne s'agit pas du tout de backdoor, il n'y en a pas besoin. Il s'agit de Windows Update et de Microsoft Security Essentials.

Il y a aussi un utilitaire standalone qui permet de le faire : Microsoft Safety Scanner


October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.
November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.

Donc c'est plutôt de la bigdoor

Quand à la version de ToR supprimée, c'est une version spécifique installée de manière particulière par le malware, et Micrososft a même pris soin de contacter l'équipe de TOR afin d'éviter les désinstallation intenpestives.

Sources :
http://www.dailydot.com/technology/t...alware-remove/
http://blogs.technet.com/b/mmpc/arch...or-hazard.aspx
Avatar de HelpmeMM HelpmeMM - Membre éprouvé http://www.developpez.com
le 20/01/2014 à 15:48
lire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...

Cleanup efforts

Since the Sefnit-caused Tor eruption in August, we have worked to curb this risk. In this process, we consulted with Tor project developers to help plan the cleanup. We retroactively remediated machines that had previously been cleaned of Sefnit but still had a Sefnit-added Tor service:

October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.

November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.

edit : il semblerait que je ne soit pas le seul a lire les sources
Avatar de redcurve redcurve - Membre actif http://www.developpez.com
le 20/01/2014 à 16:45
Citation Envoyé par Neckara  Voir le message
Bonjour,

Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor (je vois difficilement comment ils auraient pu faire autrement). Donc déjà niveau sécurité, il faudrait se dépêcher de virer Windows de nos machines car rien ne nous garanti qu'ils n'essayeront pas de récupérer certains fichier pour les "analyser" (comprenez espionnage industriel).

Ensuite, retirer un logiciel sans l'avis du client (surtout que si j'ai bien compris, une upgrade aurait pu résoudre le problème) me semble être très limite du point de vu de la légalité.
Un virus ? Et bien on va lui retirer tous ces logiciels bizarre, là les "libres" qui ne sont pas sûr et qui comportent des failles potentielles. Et puis on va virer les fichiers infectés les *.odt, etc...

Enfin bref, sous couvert de faire quelque chose de "juste" (lutter contre les malware), on est en train de mettre en place et de tester un système assez horrible.

Il faut lire les sources avant de raconter n'importe quoi. Microsoft à simplement ajouter la signature du malware et de cette version vérolé de TOR dans ses outils de sécurité windows defender, Microsoft safery scanner, etc.

Cleanup efforts

Since the Sefnit-caused Tor eruption in August, we have worked to curb this risk. In this process, we consulted with Tor project developers to help plan the cleanup. We retroactively remediated machines that had previously been cleaned of Sefnit but still had a Sefnit-added Tor service:

October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.

November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.

Avatar de redcurve redcurve - Membre actif http://www.developpez.com
le 20/01/2014 à 16:46
Citation Envoyé par HelpmeMM  Voir le message
lire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...

edit : il semblerait que je ne soit pas le seul a lire les sources

Le résumé est volontairement bidonner pour donner l'impression que Ms a mis un backdoor dans windows alors que non. Je pense de developpez devrait être plus rigoureux dans ses publications
Avatar de tomlev tomlev - Rédacteur/Modérateur http://www.developpez.com
le 20/01/2014 à 16:52
Citation Envoyé par Neckara  Voir le message
Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor

Oui, ça s'appelle Windows Update

Et non, ça ne se fait pas sans ton consentement, puisque c'est toi qui décides si tu installes les mises à jour ou pas. En l'occurrence, ils ont décidé d'enlever cette version spécifique de Tor (ancienne et qui a des vulnérabilités connues), en concertation avec les développeurs de Tor ; donc ça me semble quand même assez légitime comme intervention...

Après, tu vas me dire, ça reste quand même gênant que MS puisse décider de supprimer un logiciel installé ; mais vu le nombre d'utilisateurs, ce serait découvert très rapidement, et ce serait très mauvais pour l'image de MS s'il n'y a pas une solide justification derrière. Donc perso, ça ne m'inquiète pas beaucoup...
Avatar de bedane bedane - Membre régulier http://www.developpez.com
le 20/01/2014 à 17:10
Amusant , d'après les développeurs de Tor, ce sont eux-mêmes qui ont contacté Miscrosoft, et leur conclusion est que MS dispose probablement de backdoors pour supprimer des fichiers sur votre système.


Vu la fiabilité respective des 2 camps, j'aurais tendance à faire confiance à l'équipe tor plutôt qu'aux communicants de MS (on sait très bien qui milite pour plus de transparence de la part des "gros", ce n'est certainement pas MS).
Avatar de Neckara Neckara - Expert éminent sénior http://www.developpez.com
le 20/01/2014 à 17:33
Bonjour,

Citation Envoyé par HelpmeMM  Voir le message
lire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...

Citation Envoyé par redcurve  Voir le message
Il faut lire les sources avant de raconter n'importe quoi. Microsoft à simplement ajouter la signature du malware et de cette version vérolé de TOR dans ses outils de sécurité windows defender, Microsoft safery scanner, etc.

Je n'ai pas toujours le temps de lire toutes les sources de tous les articles surtout quand certaines sources peuvent faire 40 pages en anglais.
D'où l'intérêt d'avoir des résumé en français de ces actualités.

Citation Envoyé par tomlev  Voir le message
Oui, ça s'appelle Windows Update

Et non, ça ne se fait pas sans ton consentement, puisque c'est toi qui décide si tu installes les mises à jour ou pas. En l'occurrence, ils ont décidé d'enlever cette version spécifique de Tor (ancienne et qui a des vulnérabilités connues), en concertation avec les développeurs de Tor ; donc ça me semble quand même assez légitime comme intervention...

Je n'utilise plus beaucoup Windows donc j'ai essayé de rechercher quelques informations sur leur site ( http://www.update.microsoft.com/ )mais il faut obligatoirement avoir internet explorer pour le consulter...

Est-ce que les mises à jour sont bien "transparante" ? Sont-elles "automatiques" ?

Sinon pourquoi supprimer Tor plutôt que de le mettre à jour?
Avatar de Pat_AfterMoon Pat_AfterMoon - Membre averti http://www.developpez.com
le 20/01/2014 à 17:49
Citation Envoyé par Neckara  Voir le message
Sinon pourquoi supprimer Tor plutôt que de le mettre à jour?

Parce que le ToR supprimé est celui qui est intégré au malware, à priori aucun utilisateur "normal" de ToR n'a vu la version qu'il avait installé lui même disparaître.

Évidement, cela n'a été possible que parce que la version de ToR intégrée au malware était bien particulière et qu'elle était installée dans un endroit inhabituel.
Offres d'emploi IT
Développeur - software craftsman (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Architecte big data H/F
Safran - Ile de France - Magny-les-Hameaux (78114)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil