Microsoft supprime à distance le malware Sefnit
Et le client Tor des utilisateurs

Le , par Francis Walter

22PARTAGES

3  2 
Sefnit est un malware (Cheval de Troie) qui effectue des fraudes sur bitcoin au clic. Il utilise le réseau Tor pour dissimuler son trafic. Ce malware était supposé disparaître depuis 2011, mais a refait surface en juin dernier dans un mode plus silencieux, mais fielleux.

Le mystère autour de Sefnit planant encore, les spécialistes de la sécurité informatique ne sont pas restés muets à ce sujet. Il y a quelques mois, le Centre de Protection contre les Malwares (Malware Protection Center) de Microsoft a effectué une étude sur quelques procédures d’attaques du malware.

Selon les résultats de l’étude, en août dernier, environ 600.000 ordinateurs étaient infectés. Il a fallu seulement deux semaines pour que les ordinateurs infectés passent à 4 millions, en septembre. En effet, les programmes d’installation de Sefnit/Win32 s’exécutent sur ces millions d’ordinateurs infectés pour effectuer des instructions en masse et pour télécharger et installer des composants Sefnit à travers le réseau Tor. Ces instructions sont présidées par les hackers ukrainiens et israéliens nommés Scorpion et Dekadent.


Les OS Windows étant les principaux concernés par cette situation, Microsoft a retiré à distance le programme malveillant d’autant d’ordinateurs qu’il pouvait. Malgré ce retrait, les services clients Tor demeurent et fonctionnent en mode silencieux. La meilleure solution pour Microsoft au final, c’était de retirer aussi le client Tor des ordinateurs. Ce fut le cas dans un deuxième temps. Ce second acte qui pouvait être mal interprété par la société Tor, n'est pas resté sans explication de la part de Microsoft. Dans le billet de blog consacré à l’étude, la firme américaine faisait comprendre que la version du client Tor utilisé était vieille et vulnérable. Les clients Tor v0.2.2.35 et antérieurs étaient ceux installés alors que la version qu’exploite Sefnit pour ses fraudes est v0.2.3.25. La version actuelle du client Tor est la v0.2.4.20.

La réplique de Microsoft a fait perdre, en octobre dernier, 2 millions de clients à Tor. Ceci vient confirmer que la démarche de la firme contre le malware a vraiment eu de l’effet.

Source : blog Technet

Et vous ?

Que pensez-vous de l'action de Microsoft ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Pat_AfterMoon
Membre averti https://www.developpez.com
Le 20/01/2014 à 15:44
Citation Envoyé par Neckara Voir le message
Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor
A priori il ne s'agit pas du tout de backdoor, il n'y en a pas besoin. Il s'agit de Windows Update et de Microsoft Security Essentials.

Il y a aussi un utilitaire standalone qui permet de le faire : Microsoft Safety Scanner



October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.
November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.
Donc c'est plutôt de la bigdoor

Quand à la version de ToR supprimée, c'est une version spécifique installée de manière particulière par le malware, et Micrososft a même pris soin de contacter l'équipe de TOR afin d'éviter les désinstallation intenpestives.

Sources :
http://www.dailydot.com/technology/t...alware-remove/
http://blogs.technet.com/b/mmpc/arch...or-hazard.aspx
10  0 
Avatar de HelpmeMM
Membre éprouvé https://www.developpez.com
Le 20/01/2014 à 15:48
lire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...


Cleanup efforts

Since the Sefnit-caused Tor eruption in August, we have worked to curb this risk. In this process, we consulted with Tor project developers to help plan the cleanup. We retroactively remediated machines that had previously been cleaned of Sefnit but still had a Sefnit-added Tor service:

October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.

November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.
edit : il semblerait que je ne soit pas le seul a lire les sources
10  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 20/01/2014 à 16:52
Citation Envoyé par Neckara Voir le message
Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor
Oui, ça s'appelle Windows Update

Et non, ça ne se fait pas sans ton consentement, puisque c'est toi qui décides si tu installes les mises à jour ou pas. En l'occurrence, ils ont décidé d'enlever cette version spécifique de Tor (ancienne et qui a des vulnérabilités connues), en concertation avec les développeurs de Tor ; donc ça me semble quand même assez légitime comme intervention...

Après, tu vas me dire, ça reste quand même gênant que MS puisse décider de supprimer un logiciel installé ; mais vu le nombre d'utilisateurs, ce serait découvert très rapidement, et ce serait très mauvais pour l'image de MS s'il n'y a pas une solide justification derrière. Donc perso, ça ne m'inquiète pas beaucoup...
8  0 
Avatar de redcurve
Membre confirmé https://www.developpez.com
Le 20/01/2014 à 16:46
Citation Envoyé par HelpmeMM Voir le message
lire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...

edit : il semblerait que je ne soit pas le seul a lire les sources
Le résumé est volontairement bidonner pour donner l'impression que Ms a mis un backdoor dans windows alors que non. Je pense de developpez devrait être plus rigoureux dans ses publications
5  0 
Avatar de Pat_AfterMoon
Membre averti https://www.developpez.com
Le 20/01/2014 à 17:49
Citation Envoyé par Neckara Voir le message
Sinon pourquoi supprimer Tor plutôt que de le mettre à jour?
Parce que le ToR supprimé est celui qui est intégré au malware, à priori aucun utilisateur "normal" de ToR n'a vu la version qu'il avait installé lui même disparaître.

Évidement, cela n'a été possible que parce que la version de ToR intégrée au malware était bien particulière et qu'elle était installée dans un endroit inhabituel.
5  0 
Avatar de nicofuma
Membre à l'essai https://www.developpez.com
Le 21/01/2014 à 12:27
Citation Envoyé par william1 Voir le message

Qui définit les niveaux de dangerosité ? Ce n'est pas l'utilisateur.
Comme pour n'importe quel antivirus au monde, de même que ce n'est pas l'utilisateur qui décide quelle signature fait aprtie de la base de données.

Citation Envoyé par william1 Voir le message

Qui définit la suppression par défaut pour ces niveaux de dangerosité ? Ce n'est pas l'utilisateur.

Ce ne sont pas des pratiques assimilables à un logiciel malveillant ? À ma connaissance, les anti-virus classiques ne suppriment pas automatiquement les programmes infectés par défaut !
Pour de nombreux antivirus si justement, quand il s'agit (comme ici) non pas d'une heuristique mais simplement d'une comparaison de signatures.

Sinon, la grosse différence avec un logiciel malveillant c'est que lui il ne te donne ni contrat de license ni panneau de configuration très facile d'accès, simplet et intuitif.

Il serait temps d'arréter avec cette paranoïa et ce militantisme anti-microsoft viscéral. On a le droit de ne pas être d'accord avec eux mais il ya clairement des moments où il faut se calmer et regarder les choses en face.

P.S Et aussi, au passage (pour au dessus), ça te parait peut etre suprenant mais la mise à jour des signatures se fait quotidiennement, de manière automatique et transparente pour la totalité des antivirus qui utilisent une telle base de données (ne serait-ce que sinon et ben... l'antivirus il sert à rien).
5  0 
Avatar de nicofuma
Membre à l'essai https://www.developpez.com
Le 21/01/2014 à 14:58
IL ne faut pas oublier qu'il s'agit d'un antivirus activé par défaut et qui se désacive dès qu'un autre antivirus est installé sur la machine. De plus il s'adresse à des personnes qui ne savent pas ce qu'elles font et qui ne sauront pas quoi faire si on leur affiche le message : un virus a été détecté.
Sinon, considérant que microsoft est une société américaine, ce genre de clause n'est pas si surprenante car il s'agit tout de même plus de jurisprudence vis à vis des faux positifs que d'autre chose (ben oui au US tu peux porteer pleinte pour n'importe quoi et gagner, enfin obtenir un arrangement très facillement, car là bas les frais de justice ne sont pas remboursés et qu'un procès ça coute cher, personne ne se rappel de l'histoire de la mamie qui met son chat au micro-onde ? (car depuis il est bien écrit sur la notice qu'il ne faut pas le faire)).

Bref, pour moi ce n'est que de la jurisprudence pour des cas extrèmements rares mais qui restes possibles donc non improbables; cas qui découlent directement du public visé par le produit : les plus ignorants des consommateurs.

Et enfin, j'insiste, il s'agit d'un comportement "par défaut" justement et qui peut donc, de ce fait, être désactivé (et dans ce cas précis c'est facile et intuitif à modifier, ce n'est pas un comportement caché).

P.S Cette petite phrase sur les 95%, il s'agit d'un jugement porté sur une personne que tu ne connais pas et sans aucune connaissance de cause. Et c'est profondément insultant.

EDIT : Si je réagit comme ça aujourd'hui c'est juste car j'en ai marre d'entendre crier au loup à chaque fois que Microsoft publie un produit destiné aux plus ignorants ou à chauqe qu'ils communiquent sur une action somme toute relativement banale comme ici alors que au même moment on ne dis jamais rien sur les autres (qui ne font d'ailleurs pas cet effort de communiquer, peut être bien car on ne les a jamais traduit en justice et forcés à le faire au passage)
4  1 
Avatar de redcurve
Membre confirmé https://www.developpez.com
Le 20/01/2014 à 16:45
Citation Envoyé par Neckara Voir le message
Bonjour,

Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor (je vois difficilement comment ils auraient pu faire autrement). Donc déjà niveau sécurité, il faudrait se dépêcher de virer Windows de nos machines car rien ne nous garanti qu'ils n'essayeront pas de récupérer certains fichier pour les "analyser" (comprenez espionnage industriel).

Ensuite, retirer un logiciel sans l'avis du client (surtout que si j'ai bien compris, une upgrade aurait pu résoudre le problème) me semble être très limite du point de vu de la légalité.
Un virus ? Et bien on va lui retirer tous ces logiciels bizarre, là les "libres" qui ne sont pas sûr et qui comportent des failles potentielles. Et puis on va virer les fichiers infectés les *.odt, etc...

Enfin bref, sous couvert de faire quelque chose de "juste" (lutter contre les malware), on est en train de mettre en place et de tester un système assez horrible.
Il faut lire les sources avant de raconter n'importe quoi. Microsoft à simplement ajouter la signature du malware et de cette version vérolé de TOR dans ses outils de sécurité windows defender, Microsoft safery scanner, etc.


Cleanup efforts

Since the Sefnit-caused Tor eruption in August, we have worked to curb this risk. In this process, we consulted with Tor project developers to help plan the cleanup. We retroactively remediated machines that had previously been cleaned of Sefnit but still had a Sefnit-added Tor service:

October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.

November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.
4  2 
Avatar de HelpmeMM
Membre éprouvé https://www.developpez.com
Le 20/01/2014 à 17:54
Citation Envoyé par bedane Voir le message
et leur conclusion est que MS dispose probablement de backdoors pour supprimer des fichiers sur votre système.

hum ça c'est de la conclusion choc...

windows update peux potentiellement en faisant des mises a jours supprimer des fichiers et les remplacer par d'autre ? un update est donc une backdoor ?????????

Citation Envoyé par Neckara Voir le message
Je n'ai pas toujours le temps de lire toutes les sources de tous les articles surtout quand certaines sources peuvent faire 40 pages en anglais.
D'où l'intérêt d'avoir des résumé en français de ces actualités.

Sinon pourquoi supprimer Tor plutôt que de le mettre à jour?
C'est certainement une excuse , mais ce n'est pas parce qu'on lit quelque part quelque chose que c'est forcément vrai , un bon journaliste commence par lire les sources plutôt que de reprendre une résumé trouvé sur le net.
En l'occurence ce n'est certainement pas contre toi mais plutot contre le rédacteur de la news qu'est dirigé la critique. après tout tu ne fait que réagir à quelque chose que tu as lut et que tu penses juste.(pour ma part en tout cas je ne suis pas garant des dire de redcurve)

Sinon c'est expliquer dans les sources la raison de "pourquoi supprimer tor plutot que de le mettre à jour ?". (ou sinon tu lit le résumé de la personne qui a post avant moi)
2  0 
Avatar de GTSLASH
Inactif https://www.developpez.com
Le 21/01/2014 à 13:18
ils restent capables de discernement
Justement non. Et je parle d’expérience.

C'est pour ca qu'il y a des informaticiens et des societés informatique.

Dsl pour le stereotype ca m'a echappé
3  1 
L'environnement de bureau Xfce 4.14 est disponible après quatre ans de développement, il apporte de nombreuses mises à jour et correctifs
États-Unis : une fuite de documents montrerait que la Maison-Blanche veut « protéger les Américains de la censure en ligne »
Visual Studio Code 1.37 est disponible : cette version affiche les résultats d'une recherche dans l'explorateur de fichiers
Apprendre à programmer en Go avec les templates GoLand, un tutoriel d'Ekaterina Zharova
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web