Microsoft supprime à distance le malware Sefnit
Et le client Tor des utilisateurs
Le 2014-01-17 17:24:59, par Francis Walter, Expert éminent sénior
Sefnit est un malware (Cheval de Troie) qui effectue des fraudes sur bitcoin au clic. Il utilise le réseau Tor pour dissimuler son trafic. Ce malware était supposé disparaître depuis 2011, mais a refait surface en juin dernier dans un mode plus silencieux, mais fielleux.
Le mystère autour de Sefnit planant encore, les spécialistes de la sécurité informatique ne sont pas restés muets à ce sujet. Il y a quelques mois, le Centre de Protection contre les Malwares (Malware Protection Center) de Microsoft a effectué une étude sur quelques procédures d’attaques du malware.
Selon les résultats de l’étude, en août dernier, environ 600.000 ordinateurs étaient infectés. Il a fallu seulement deux semaines pour que les ordinateurs infectés passent à 4 millions, en septembre. En effet, les programmes d’installation de Sefnit/Win32 s’exécutent sur ces millions d’ordinateurs infectés pour effectuer des instructions en masse et pour télécharger et installer des composants Sefnit à travers le réseau Tor. Ces instructions sont présidées par les hackers ukrainiens et israéliens nommés Scorpion et Dekadent.
Les OS Windows étant les principaux concernés par cette situation, Microsoft a retiré à distance le programme malveillant d’autant d’ordinateurs qu’il pouvait. Malgré ce retrait, les services clients Tor demeurent et fonctionnent en mode silencieux. La meilleure solution pour Microsoft au final, c’était de retirer aussi le client Tor des ordinateurs. Ce fut le cas dans un deuxième temps. Ce second acte qui pouvait être mal interprété par la société Tor, n'est pas resté sans explication de la part de Microsoft. Dans le billet de blog consacré à l’étude, la firme américaine faisait comprendre que la version du client Tor utilisé était vieille et vulnérable. Les clients Tor v0.2.2.35 et antérieurs étaient ceux installés alors que la version qu’exploite Sefnit pour ses fraudes est v0.2.3.25. La version actuelle du client Tor est la v0.2.4.20.
La réplique de Microsoft a fait perdre, en octobre dernier, 2 millions de clients à Tor. Ceci vient confirmer que la démarche de la firme contre le malware a vraiment eu de l’effet.
Source : blog Technet
Et vous ?
Que pensez-vous de l'action de Microsoft ?
Le mystère autour de Sefnit planant encore, les spécialistes de la sécurité informatique ne sont pas restés muets à ce sujet. Il y a quelques mois, le Centre de Protection contre les Malwares (Malware Protection Center) de Microsoft a effectué une étude sur quelques procédures d’attaques du malware.
Selon les résultats de l’étude, en août dernier, environ 600.000 ordinateurs étaient infectés. Il a fallu seulement deux semaines pour que les ordinateurs infectés passent à 4 millions, en septembre. En effet, les programmes d’installation de Sefnit/Win32 s’exécutent sur ces millions d’ordinateurs infectés pour effectuer des instructions en masse et pour télécharger et installer des composants Sefnit à travers le réseau Tor. Ces instructions sont présidées par les hackers ukrainiens et israéliens nommés Scorpion et Dekadent.
Les OS Windows étant les principaux concernés par cette situation, Microsoft a retiré à distance le programme malveillant d’autant d’ordinateurs qu’il pouvait. Malgré ce retrait, les services clients Tor demeurent et fonctionnent en mode silencieux. La meilleure solution pour Microsoft au final, c’était de retirer aussi le client Tor des ordinateurs. Ce fut le cas dans un deuxième temps. Ce second acte qui pouvait être mal interprété par la société Tor, n'est pas resté sans explication de la part de Microsoft. Dans le billet de blog consacré à l’étude, la firme américaine faisait comprendre que la version du client Tor utilisé était vieille et vulnérable. Les clients Tor v0.2.2.35 et antérieurs étaient ceux installés alors que la version qu’exploite Sefnit pour ses fraudes est v0.2.3.25. La version actuelle du client Tor est la v0.2.4.20.
La réplique de Microsoft a fait perdre, en octobre dernier, 2 millions de clients à Tor. Ceci vient confirmer que la démarche de la firme contre le malware a vraiment eu de l’effet.
Source : blog Technet
Et vous ?
-
Pat_AfterMoonMembre avertiA priori il ne s'agit pas du tout de backdoor, il n'y en a pas besoin. Il s'agit de Windows Update et de Microsoft Security Essentials.
Il y a aussi un utilitaire standalone qui permet de le faire : Microsoft Safety Scanner
October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.
November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.
Quand à la version de ToR supprimée, c'est une version spécifique installée de manière particulière par le malware, et Micrososft a même pris soin de contacter l'équipe de TOR afin d'éviter les désinstallation intenpestives.
Sources :
http://www.dailydot.com/technology/t...alware-remove/
http://blogs.technet.com/b/mmpc/arch...or-hazard.aspxle 20/01/2014 à 15:44 -
HelpmeMMMembre éprouvélire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...
Cleanup efforts
Since the Sefnit-caused Tor eruption in August, we have worked to curb this risk. In this process, we consulted with Tor project developers to help plan the cleanup. We retroactively remediated machines that had previously been cleaned of Sefnit but still had a Sefnit-added Tor service:
October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.
November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.
le 20/01/2014 à 15:48 -
tomlevRédacteur/ModérateurOui, ça s'appelle Windows Update
Et non, ça ne se fait pas sans ton consentement, puisque c'est toi qui décides si tu installes les mises à jour ou pas. En l'occurrence, ils ont décidé d'enlever cette version spécifique de Tor (ancienne et qui a des vulnérabilités connues), en concertation avec les développeurs de Tor ; donc ça me semble quand même assez légitime comme intervention...
Après, tu vas me dire, ça reste quand même gênant que MS puisse décider de supprimer un logiciel installé ; mais vu le nombre d'utilisateurs, ce serait découvert très rapidement, et ce serait très mauvais pour l'image de MS s'il n'y a pas une solide justification derrière. Donc perso, ça ne m'inquiète pas beaucoup...le 20/01/2014 à 16:52 -
redcurveMembre extrêmement actifLe résumé est volontairement bidonner pour donner l'impression que Ms a mis un backdoor dans windows alors que non. Je pense de developpez devrait être plus rigoureux dans ses publicationsle 20/01/2014 à 16:46
-
Pat_AfterMoonMembre avertiParce que le ToR supprimé est celui qui est intégré au malware, à priori aucun utilisateur "normal" de ToR n'a vu la version qu'il avait installé lui même disparaître.
Évidement, cela n'a été possible que parce que la version de ToR intégrée au malware était bien particulière et qu'elle était installée dans un endroit inhabituel.le 20/01/2014 à 17:49 -
nicofumaMembre à l'essaiComme pour n'importe quel antivirus au monde, de même que ce n'est pas l'utilisateur qui décide quelle signature fait aprtie de la base de données.
Pour de nombreux antivirus si justement, quand il s'agit (comme ici) non pas d'une heuristique mais simplement d'une comparaison de signatures.
Sinon, la grosse différence avec un logiciel malveillant c'est que lui il ne te donne ni contrat de license ni panneau de configuration très facile d'accès, simplet et intuitif.
Il serait temps d'arréter avec cette paranoïa et ce militantisme anti-microsoft viscéral. On a le droit de ne pas être d'accord avec eux mais il ya clairement des moments où il faut se calmer et regarder les choses en face.
P.S Et aussi, au passage (pour au dessus), ça te parait peut etre suprenant mais la mise à jour des signatures se fait quotidiennement, de manière automatique et transparente pour la totalité des antivirus qui utilisent une telle base de données (ne serait-ce que sinon et ben... l'antivirus il sert à rien).le 21/01/2014 à 12:27 -
nicofumaMembre à l'essaiIL ne faut pas oublier qu'il s'agit d'un antivirus activé par défaut et qui se désacive dès qu'un autre antivirus est installé sur la machine. De plus il s'adresse à des personnes qui ne savent pas ce qu'elles font et qui ne sauront pas quoi faire si on leur affiche le message : un virus a été détecté.
Sinon, considérant que microsoft est une société américaine, ce genre de clause n'est pas si surprenante car il s'agit tout de même plus de jurisprudence vis à vis des faux positifs que d'autre chose (ben oui au US tu peux porteer pleinte pour n'importe quoi et gagner, enfin obtenir un arrangement très facillement, car là bas les frais de justice ne sont pas remboursés et qu'un procès ça coute cher, personne ne se rappel de l'histoire de la mamie qui met son chat au micro-onde ? (car depuis il est bien écrit sur la notice qu'il ne faut pas le faire)).
Bref, pour moi ce n'est que de la jurisprudence pour des cas extrèmements rares mais qui restes possibles donc non improbables; cas qui découlent directement du public visé par le produit : les plus ignorants des consommateurs.
Et enfin, j'insiste, il s'agit d'un comportement "par défaut" justement et qui peut donc, de ce fait, être désactivé (et dans ce cas précis c'est facile et intuitif à modifier, ce n'est pas un comportement caché).
P.S Cette petite phrase sur les 95%, il s'agit d'un jugement porté sur une personne que tu ne connais pas et sans aucune connaissance de cause. Et c'est profondément insultant.
EDIT : Si je réagit comme ça aujourd'hui c'est juste car j'en ai marre d'entendre crier au loup à chaque fois que Microsoft publie un produit destiné aux plus ignorants ou à chauqe qu'ils communiquent sur une action somme toute relativement banale comme ici alors que au même moment on ne dis jamais rien sur les autres (qui ne font d'ailleurs pas cet effort de communiquer, peut être bien car on ne les a jamais traduit en justice et forcés à le faire au passage)le 21/01/2014 à 14:58 -
redcurveMembre extrêmement actifIl faut lire les sources avant de raconter n'importe quoi. Microsoft à simplement ajouter la signature du malware et de cette version vérolé de TOR dans ses outils de sécurité windows defender, Microsoft safery scanner, etc.
Cleanup efforts
Since the Sefnit-caused Tor eruption in August, we have worked to curb this risk. In this process, we consulted with Tor project developers to help plan the cleanup. We retroactively remediated machines that had previously been cleaned of Sefnit but still had a Sefnit-added Tor service:
October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.
November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.le 20/01/2014 à 16:45 -
HelpmeMMMembre éprouvé
hum ça c'est de la conclusion choc...
windows update peux potentiellement en faisant des mises a jours supprimer des fichiers et les remplacer par d'autre ? un update est donc une backdoor ?????????
C'est certainement une excuse , mais ce n'est pas parce qu'on lit quelque part quelque chose que c'est forcément vrai , un bon journaliste commence par lire les sources plutôt que de reprendre une résumé trouvé sur le net.
En l'occurence ce n'est certainement pas contre toi mais plutot contre le rédacteur de la news qu'est dirigé la critique. après tout tu ne fait que réagir à quelque chose que tu as lut et que tu penses juste.(pour ma part en tout cas je ne suis pas garant des dire de redcurve)
Sinon c'est expliquer dans les sources la raison de "pourquoi supprimer tor plutot que de le mettre à jour ?". (ou sinon tu lit le résumé de la personne qui a post avant moi)le 20/01/2014 à 17:54 -
GTSLASHInactifils restent capables de discernement
C'est pour ca qu'il y a des informaticiens et des societés informatique.
Dsl pour le stereotype ca m'a echappéle 21/01/2014 à 13:18