http://www.secuobs.com Observatoire de la securite Internet fr webmaster@secuobs.com 2009-07-07 15:27:35 - CERTLEXSI Weblog : Une vulnérabilité 0-day a été publiquement annoncée hier Réf Lexsi11939, concernant un contrôle ActiveX de Microsoft DirectXDirectShow Celui-ci peut être instancié dans le navigateur, et en luipassant certains paramètres spécialement formés, un débordement detampon se produithttp://www.secuobs.com/revue/news/117567.shtmlhttp://www.secuobs.com/revue/news/117567.shtml Secuobs.com : 2009-07-07 15:27:35 - CERTLEXSI Weblog - A 0-day vulnerability was publicly announced yesterday Ref Lexsi11939, in a Microsoft DirectX DirectShow ActiveX control It can beinstantiated in the browser, and by passing specially craftedparameters, a buffer overflow can occur You know what happens next:shellcode execution, malwarehttp://www.secuobs.com/revue/news/117566.shtmlhttp://www.secuobs.com/revue/news/117566.shtml Secuobs.com : 2009-07-02 21:15:22 - CERTLEXSI Weblog - The IP address block from ex-hosting company ConnectCom AS34596,193238360/22, has been transferred to Ukrainian operatorImperialNet on 29th June The IP address block 1951491080/24 waspreviously attributed to this operator ConnectCom is an entity whichuntil recently was well-known forhttp://www.secuobs.com/revue/news/116398.shtmlhttp://www.secuobs.com/revue/news/116398.shtml Secuobs.com : 2009-06-30 20:08:28 - CERTLEXSI Weblog - Le bloc d’adresses IP de l’ex-opérateur ConnectCom AS34596,193238360/22, a été réattribué le 29 juin à l’opérateur ukrainienImperialNet Ce même opérateur s’était déjà vu précédemment attribuerle bloc 1951491080/24 ConnectCom est une entité tristement connuepourhttp://www.secuobs.com/revue/news/115369.shtmlhttp://www.secuobs.com/revue/news/115369.shtml Secuobs.com : 2009-06-26 17:52:31 - CERTLEXSI Weblog - Denial of service encouragement messages have been published on variouswebsites since roughly a week ago These messages target Iraniangovernmental websites; see, for instance, this blog post that waspublished on June 21st on Twitter This call to action was relayedthrough hundreds of Twitterhttp://www.secuobs.com/revue/news/114114.shtmlhttp://www.secuobs.com/revue/news/114114.shtml Secuobs.com : 2009-06-23 19:45:45 - CERTLEXSI Weblog - Depuis près d'une semaine fleurissent en différents points de la Toiledes messages d'encouragement au déni de service contre des sites webiraniens ; en témoigne par exemple ce billet publié le 21 juin surTwitter Cet appel à déni de service a été relayé par plusieurscentaines dehttp://www.secuobs.com/revue/news/112761.shtmlhttp://www.secuobs.com/revue/news/112761.shtml Secuobs.com : 2009-06-09 16:18:17 - CERTLEXSI Weblog - This is the terrible conclusion after this three-day symposium:unfortunately, it's over This year, we're not going to make areport summarizing the various conferences, many blogs already do it,sometimes even in live It was an opportunity to reconnect with oldcolleagues and friends, meethttp://www.secuobs.com/revue/news/107429.shtmlhttp://www.secuobs.com/revue/news/107429.shtml Secuobs.com : 2009-06-09 13:42:18 - CERTLEXSI Weblog - C'est le terrible constat au bout de ces trois jours de symposium :malheureusement, c'est déjà fini Cette année, nous n'allons pasnous lancer dans un compte-rendu résumant les différentes conférences,de nombreux blogs le faisant déjà, parfois même en direct Cetteédition ahttp://www.secuobs.com/revue/news/107337.shtmlhttp://www.secuobs.com/revue/news/107337.shtml Secuobs.com : 2009-06-02 19:21:47 - CERTLEXSI Weblog - Among viruses that have made the headlines since the beginning of theyear, we can find a new variant of Virut/Virux/Scribble This is apolymorphic PE file exe and scr infector, connecting to an IRCserver waiting for commands This latest version also infects HTML,PHP and ASP files on thehttp://www.secuobs.com/revue/news/105002.shtmlhttp://www.secuobs.com/revue/news/105002.shtml Secuobs.com : 2009-06-02 16:56:14 - CERTLEXSI Weblog - Parmi les virus ayant marqué le début d'année, on trouve une nouvellevariante de Virut/Virux/Scribble Il s'agit d'un infecteur de PE dansce cas précis exe et scr polymorphe se connectant à un serveur IRCafin de recevoir ses commandes Cette dernière variante infecte aussiles fichiershttp://www.secuobs.com/revue/news/104960.shtmlhttp://www.secuobs.com/revue/news/104960.shtml Secuobs.com : 2009-05-15 19:00:23 - CERTLEXSI Weblog - Several editors have chosen Tuesday may 12th to release their patches:Microsoft with the traditional « Patch Tuesday » Apple with the 1057version of Mac OS X Adobe with new Acrobat Reader versions for 7x,8x and 9x branches The first patch, MS09-017 Ref Lexsi 11515,fixes no lesshttp://www.secuobs.com/revue/news/96798.shtmlhttp://www.secuobs.com/revue/news/96798.shtml Secuobs.com : 2009-04-20 12:58:14 - CERTLEXSI Weblog - Nous avons modifié quelques comportements sur notre blog : désormais lesbillets seront systématiquement rédigés en français et traduits enanglais et vice et versa, et par conséquent de nouveaux flux RSS /Atom appropriés sont proposés en langue française RSS ou Atom et enlanguehttp://www.secuobs.com/revue/news/85485.shtmlhttp://www.secuobs.com/revue/news/85485.shtml Secuobs.com : 2009-04-20 12:58:14 - CERTLEXSI Weblog - We have modified some behavior on our blog: our posts will systematicallybe written in french and translated into english and vice versa, andtherefore new feeds are available in french RSS or Atom and inenglish RSS or Atom As some team members didn't resist to the callof Twitter, you canhttp://www.secuobs.com/revue/news/85484.shtmlhttp://www.secuobs.com/revue/news/85484.shtml Secuobs.com : 2009-04-17 11:34:33 - CERTLEXSI Weblog - No less than 21 vulnerabilities have been published during the AprilMicrosoft Patch Day, spread among eight bulletins Five of them arerated critical because a remote attacker can exploit them to executearbitrary code: MS09-009: two vulnerabilities in Excel Ref Lexsi11548 and 11344,http://www.secuobs.com/revue/news/84605.shtmlhttp://www.secuobs.com/revue/news/84605.shtml Secuobs.com : 2009-04-16 17:02:59 - CERTLEXSI Weblog - Pas moins de 21 vulnérabilités ont été publiées dans le traditionnelPatch Day de Microsoft du mois d'avril, réparties dans huit bulletinsCinq sont qualifiés de critiques et permettent l'exécution de codearbitraire à distance : MS09-009 : deux vulnérabilités dans Excelhttp://www.secuobs.com/revue/news/84234.shtmlhttp://www.secuobs.com/revue/news/84234.shtml Secuobs.com : 2009-04-14 12:28:25 - CERTLEXSI Weblog - As we already mentioned, variant C of Conficker incorporates asophisticated peer-to-peer mechanism, allowing for payload transferbetween infected hosts without any attempt to connect to the famousdomain names This mechanism has been active for several weeksHowever, these last 24 hours, ahttp://www.secuobs.com/revue/news/83006.shtmlhttp://www.secuobs.com/revue/news/83006.shtml Secuobs.com : 2009-04-09 21:42:13 - CERTLEXSI Weblog - Comme nous l'avons déjà décrit, la variante C de Conficker intègre unmécanisme sophistiqué de type peer-to-peer, permettant le transfert depayload entre hôtes infectés sans passer par les fameux domainesgénérés par un algorithme Ce mécanisme est actif depuis plusieurssemaines ;http://www.secuobs.com/revue/news/81602.shtmlhttp://www.secuobs.com/revue/news/81602.shtml Secuobs.com : 2009-04-06 12:44:23 - CERTLEXSI Weblog - Nous encourageons les administrateurs réseaux des sociétés françaises -et plus particulièrement des opérateurs et fournisseurs d'accès - às'inscrire sur ce site spécifique de l'ISC Il permet de vérifier sides machines du réseau ont été détectées par les "pots de miel"http://www.secuobs.com/revue/news/79941.shtmlhttp://www.secuobs.com/revue/news/79941.shtml Secuobs.com : 2009-04-03 18:35:15 - CERTLEXSI Weblog - Dans des billets précédents, nous avons décrit des méthodologies etoutils en rapport avec la détection ou l'éradication de Conficker :script VBS de désinfection générique pour Conficker A/B/C utilisationdes mutexes pour créer un vaccin contre Conficker C génération desportshttp://www.secuobs.com/revue/news/79116.shtmlhttp://www.secuobs.com/revue/news/79116.shtml Secuobs.com : 2009-04-03 18:35:15 - CERTLEXSI Weblog - In previous posts, methodologies and tools related to the detection anderadication of Conficker were discussed: generic VBS script to removeConficker A/B/C using mutexes to build a digital vaccine againstConficker C TCP and UDP ports generation used by Conficker C's P2Pmechanism The proofhttp://www.secuobs.com/revue/news/79115.shtmlhttp://www.secuobs.com/revue/news/79115.shtml Secuobs.com : 2009-03-31 19:07:37 - CERTLEXSI Weblog - Dans des billets précédents, nous avons décrit des méthodologies etoutils en rapport avec la détection ou l'éradication de Conficker :script VBS de désinfection générique pour Conficker A/B/C utilisationdes mutexes pour créer un vaccin contre Conficker C génération desportshttp://www.secuobs.com/revue/news/77409.shtmlhttp://www.secuobs.com/revue/news/77409.shtml Secuobs.com : 2009-03-31 19:07:37 - CERTLEXSI Weblog - In previous posts, methodologies and tools related to the detection anderadication of Conficker were discussed: generic VBS script to removeConficker A/B/C using mutexes to build a digital vaccine againstConficker C TCP and UDP ports generation used by Conficker C's P2Pmechanism The proofhttp://www.secuobs.com/revue/news/77408.shtmlhttp://www.secuobs.com/revue/news/77408.shtml Secuobs.com : 2009-03-31 12:54:39 - CERTLEXSI Weblog - Tout le monde l'a dit et répété, le 1er Avril 2009, la dernière varianteen date du ver Conficker va commencer à générer des noms de domainepour tenter de s'y connecter et rapatrier une potentielle chargemalveillante Nous l'avons vu, le nouveau mécanisme de mise à jourreposehttp://www.secuobs.com/revue/news/77267.shtmlhttp://www.secuobs.com/revue/news/77267.shtml Secuobs.com : 2009-03-31 12:54:39 - CERTLEXSI Weblog - As everybody has said and repeated, on April, 1st 2009, the latestvariant of the Conficker worm will begin to generate domain names totry to connect to and retrieve a potentially malicious payload We sawthat the new update mechanism is now based on the generation of 50000domain names perhttp://www.secuobs.com/revue/news/77266.shtmlhttp://www.secuobs.com/revue/news/77266.shtml Secuobs.com : 2009-03-31 04:03:08 - CERTLEXSI Weblog - Le 24 mars dernier s'est tenu le 3e Forum International sur laCybercriminalité FIC organisé par la Gendarmerie Nationale à LilleLors de la précédente édition à Marcq en Bareuil, le lieu s'étaitrévélé un peu étroit au vu l'intérêt grandissant traduit par un grandnombre dehttp://www.secuobs.com/revue/news/77134.shtmlhttp://www.secuobs.com/revue/news/77134.shtml Secuobs.com : 2009-03-23 16:50:41 - CERTLEXSI Weblog - Poursuivons nos aventures "Confickeresques" avec une technique bienconnue, quoiqu'assez peu utilisée par les malware : la désactivationdu mode sans échec de Windows La configuration du mode sans échec seréalise via la clé HKLMSYSTEMCurrentControlSetControlSafeBootaucunhttp://www.secuobs.com/revue/news/73707.shtmlhttp://www.secuobs.com/revue/news/73707.shtml Secuobs.com : 2009-03-20 15:51:47 - CERTLEXSI Weblog - En Biologie, utiliser un vaccin consiste à inoculer une version rendueinoffensive d'un agent infectieux, de sorte qu'au moment del'infection réelle, le corps soit déjà prêt à réagir de manièreefficace et ne tombe ainsi pas malade Nous allons appliquer ceprincipe au virus, cette fois-cihttp://www.secuobs.com/revue/news/73133.shtmlhttp://www.secuobs.com/revue/news/73133.shtml Secuobs.com : 2009-03-17 17:15:26 - CERTLEXSI Weblog - Comme vu dans le précédent billet, le MSRT ne détecte pas la variante Cdu ver Conficker Existe-t-il une solution simple pour détecter etéradiquer la menace, sans disposer d'autre outil qu'un interprèteVBSscript pas d'antivirus, pas de removal tool, etc La réponse estoui Commehttp://www.secuobs.com/revue/news/71763.shtmlhttp://www.secuobs.com/revue/news/71763.shtml Secuobs.com : 2009-03-16 17:20:41 - CERTLEXSI Weblog - La réponse des créateurs de Conficker suite à l'action coordonnée deMicrosoft et de nombreux acteurs internationaux de la sécurité s'estfaite attendre, mais a finalement vu le jour sous la forme d'unenouvelle variante : ConfickerC Les auteurs ne pouvaient en effetlaisser àhttp://www.secuobs.com/revue/news/71364.shtmlhttp://www.secuobs.com/revue/news/71364.shtml Secuobs.com : 2009-03-16 12:55:52 - CERTLEXSI Weblog - The Council of Europe hosted this week its 4th annual Octopus Conferenceagainst Cybercrime in Strasbourg Nearly 300 experts, government andlaw enforcement officers from 70 countries gathered to exchange views,advices and good practices to help mitigate the growing threat ofcybercrime Councilhttp://www.secuobs.com/revue/news/71312.shtmlhttp://www.secuobs.com/revue/news/71312.shtml Secuobs.com : 2009-03-11 15:22:30 - CERTLEXSI Weblog - Trois bulletins ont été publiés ce mois-ci par Microsoft Un bulletin estqualifié de critique : MS09-006 : trois vulnérabilités dans le noyaude Windows, dont une permettant l'exécution de code arbitraire àdistance lors de la visualisation d'une image EMF ou WMF malicieusehttp://www.secuobs.com/revue/news/70065.shtmlhttp://www.secuobs.com/revue/news/70065.shtml Secuobs.com : 2009-03-09 22:36:48 - CERTLEXSI Weblog - "Voilà, c'est fini" disait la chanson de Jean-Louis AubertAujourd'hui marque en effet la date limite de remise des offres decandidature à la gestion de l'extension de domaines "fr" L'examendes dossiers devrait prendre 3 mois et la décision confiée auMinistre de l'économie pourraithttp://www.secuobs.com/revue/news/69241.shtmlhttp://www.secuobs.com/revue/news/69241.shtml Secuobs.com : 2009-03-06 13:51:20 - CERTLEXSI Weblog - Le framework Volatility permet d'analyser un dump de mémoire vive etcontient déjà un certain nombre de plugins pour Windows liste desprocessus, DLLs, connexions réseau, etc Pour présenter lespossibilités de cet outil, nous allons prendre l'exemple simple de laréalisation d'un clone dehttp://www.secuobs.com/revue/news/68046.shtmlhttp://www.secuobs.com/revue/news/68046.shtml Secuobs.com : 2009-03-02 15:17:34 - CERTLEXSI Weblog - Les listes des noms de domaine utilisés par le ver Conficker que nousavions publiées s'arrêtent au 28 Février 2009 Grâce à l'actioncoordonnée de Microsoft et de nombreux autres acteurs internationauxde la sécurité, l'intégralité des noms de domaines utilisés ont étéhttp://www.secuobs.com/revue/news/66500.shtmlhttp://www.secuobs.com/revue/news/66500.shtml Secuobs.com : 2009-02-25 18:42:57 - CERTLEXSI Weblog - We like getting spam messages But for business purposes of course Weneed to receive and analyze spam e-mails We could probably introducea category of posts related to the dumbest, trickiest or funniest spamcampaigns: the "Hall of Shame for spam" or "Hall of Spame" Forexample, receivedhttp://www.secuobs.com/revue/news/65143.shtmlhttp://www.secuobs.com/revue/news/65143.shtml Secuobs.com : 2009-02-12 18:21:44 - CERTLEXSI Weblog - Le désormais tristement célèbre ver Conficker n'en finit pas de sortir denouveaux tours de son chapeau, non pas qu'il se mette à jour via lesnoms de domaine qu'il génère, mais parce que son étude par reverseengineering révèle à chaque fois de nouvelles astuces L'ISC a déjàpostéhttp://www.secuobs.com/revue/news/61276.shtmlhttp://www.secuobs.com/revue/news/61276.shtml Secuobs.com : 2009-02-11 16:00:04 - CERTLEXSI Weblog - Ce deuxième patch day de l'année a vu la publication de 4 bulletins parMicrosoft, courant un total de 8 vulnérabilités Deux de ces bulletinssont qualifiés de critiques : MS09-002 : deux vulnérabilités de typecorruption de mémoire dans Internet Explorer, pouvant permettrehttp://www.secuobs.com/revue/news/60794.shtmlhttp://www.secuobs.com/revue/news/60794.shtml Secuobs.com : 2009-02-06 19:17:40 - CERTLEXSI Weblog - Février est maintenant démarré, et Conficker est toujours présent au seinde nombreux réseaux d'entreprise En effet, la nature des vecteurs depropagation utilisés et la difficulté à identifier les systèmesinfectés compliquent grandement son éradication Une descaractéristiques deshttp://www.secuobs.com/revue/news/59349.shtmlhttp://www.secuobs.com/revue/news/59349.shtml Secuobs.com : 2009-01-15 17:45:49 - CERTLEXSI Weblog - Winter is raging throughout Europe, but russian fraudsters find it rather"cool" Indeed, the "coolwinterru" domain name has been recentlyregistered to serve as a command and control server for a ZeuS trojanhorse variant The pirate, nicknamed "Foxtrot", advertises itsservices bulletproofhttp://www.secuobs.com/revue/news/51713.shtmlhttp://www.secuobs.com/revue/news/51713.shtml Secuobs.com : 2009-01-14 19:51:29 - CERTLEXSI Weblog - Ce premier Patch Day Microsoft de l'année s'est révélé particulièrementcalme puisqu'un unique bulletin a été publié, corrigeant trois faillesdont une déjà connue : MS09-001 : dans le pilote "srvsys", unevulnérabilité pouvant entrainer un déni de service Réf Lexsihttp://www.secuobs.com/revue/news/51367.shtmlhttp://www.secuobs.com/revue/news/51367.shtml Secuobs.com : 2009-01-12 15:00:24 - CERTLEXSI Weblog - Depuis le mois de décembre et la première variante de Conficker, nousavons eu l'occasion de conseiller et d'assister certains de nosclients sur la méthodologie à adopter pour faire face à ce nouveauver Ce billet reprend certaines informations pratiques, enparticulier sur une variante plushttp://www.secuobs.com/revue/news/50589.shtmlhttp://www.secuobs.com/revue/news/50589.shtml Secuobs.com : 2009-01-06 17:42:37 - CERTLEXSI Weblog - Le Cert-Lexsi vous souhaite une très bonne année 2009 The Cert-LexsiTeam wishes you a happy new year 2009 http://www.secuobs.com/revue/news/48987.shtmlhttp://www.secuobs.com/revue/news/48987.shtml Secuobs.com : 2009-01-06 17:42:37 - CERTLEXSI Weblog - Après les constats de fin d'année 2008 arrivent les pronoSSTICs :-pour l'année 2009 La cybercriminalité étant en constante évolution,nous ne pouvons qu'émettre des hypothèses, que voici : Toujours plusde malware Il n'y a vraiment pas de raison que l'augmentation dunombre dehttp://www.secuobs.com/revue/news/48986.shtmlhttp://www.secuobs.com/revue/news/48986.shtml Secuobs.com : 2008-12-12 15:53:58 - CERTLEXSI Weblog - Alors que Microsoft indique que la vulnérabilité annoncée deux joursplutôt dans Internet Explorer 7 touche en fait toutes les versionssupportées Alerte Lexsi 203, de nombreux codes d'exploitationcommencent à voir le jour sur la toile, l'un d'entre eux étant annoncécomme universel parhttp://www.secuobs.com/revue/news/43330.shtmlhttp://www.secuobs.com/revue/news/43330.shtml Secuobs.com : 2008-12-10 18:27:52 - CERTLEXSI Weblog - Comme tous les seconds mardi du mois, Microsoft nous livre ses mises àjour de sécurité Décembre ne déroge pas à la règle, et ce ne sont pasmoins de 28 vulnérabilités qui sont corrigées dans cette mouturehivernale On retrouve les composants classiques des patch-dayshttp://www.secuobs.com/revue/news/42572.shtmlhttp://www.secuobs.com/revue/news/42572.shtml Secuobs.com : 2008-11-14 10:58:55 - CERTLEXSI Weblog - After the RBN Russian Business Network episode in late 2007, after theAtrivo/Intercage episode recently, here comes the McColo episode Weare very happy to see that this bulletproof hosting company has beenshut down since a few days We had followed this case quite closely,and had beenhttp://www.secuobs.com/revue/news/35971.shtmlhttp://www.secuobs.com/revue/news/35971.shtml Secuobs.com : 2008-11-12 18:03:44 - CERTLEXSI Weblog - Le Patch-Day de ce mois-ci ne nous offre cette fois que deux bulletins desécurité, dont un seul qualifié de critique et un d'importantCelui-ci, répondant au doux nom de MS08-068, concerne unevulnérabilité dans SMB vieille de 7 ans La vulnérabilité RéfLexsi 10906 a en effethttp://www.secuobs.com/revue/news/35530.shtmlhttp://www.secuobs.com/revue/news/35530.shtml Secuobs.com : 2008-10-29 15:48:43 - CERTLEXSI Weblog - Following the recent post by Ivan on the legacy of the Nuclear Grabbertrojan horses developed by "Corpse", I recently came across a commandet control server cetc that "pays tribute" to this famous malwareauthor This coder used for its own purposes the domainsa311com/net/orghttp://www.secuobs.com/revue/news/32280.shtmlhttp://www.secuobs.com/revue/news/32280.shtml Secuobs.com : 2008-10-28 21:03:08 - CERTLEXSI Weblog - L'AFNIC, organisme de régulation des noms de domaine français, proposedepuis quelques mois une procédure extrajudiciaire de règlement deslitiges, en particulier des cas de cybersquatting manifeste Cettenouvelle procédure d’arbitrage permet aux ayant-droits s’estimantlésés par unhttp://www.secuobs.com/revue/news/32141.shtmlhttp://www.secuobs.com/revue/news/32141.shtml Secuobs.com : 2008-10-22 15:58:37 - CERTLEXSI Weblog - Direction Helsinki donc pour cet événement annuel rassemblant une bonnepart de la scène sécurité des pays nordiques Outre un accueil trèschaleureux et une température très fraiche, c'est l'occasion defaire le point sur l'état de l'art des différentes disciplines propresau petithttp://www.secuobs.com/revue/news/31057.shtmlhttp://www.secuobs.com/revue/news/31057.shtml Secuobs.com : 2008-10-22 15:58:37 - CERTLEXSI Weblog - Talk #1 : Investigating Mobile Phones for Malware and Spying Tools Nousdémarrons la matinée de cette seconde journée avec le talk'Investigating Mobile Phones for Malware and Spying Tools' de JarnoNiemelä F-Secure Un talk sympathique sur un sujet particulièrementà la mode qu'esthttp://www.secuobs.com/revue/news/31056.shtmlhttp://www.secuobs.com/revue/news/31056.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - We started to receive spam that looked like: JENNIFER LOPEZ EXTREMLYNAKED http://****/bst/relphp which in turn downloads avideoaviexe So far nothing special While loaded manually after adouble-click on it, in my Windows system, it installed a "Spyware"oh, no Luckily, ithttp://www.secuobs.com/revue/news/28127.shtmlhttp://www.secuobs.com/revue/news/28127.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - Adobe a posté hier un avertissement sur son blog concernant un verpostant sur des sites web de réseaux sociaux des liens vers un sitemalveillant Le site en question incite les utilisateurs à installerune nouvelle version de Flash Player, afin de visionner une vidéo des10 meilleureshttp://www.secuobs.com/revue/news/28126.shtmlhttp://www.secuobs.com/revue/news/28126.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - Le conflit aux enjeux complexes qui vient d'éclater au Caucase, etl'intervention militaire russe en Georgie qui fait suite aux tensionsen Ossetie du Sud et en Abkhazie a été l'occasion de l'ouverture d'unsecond front sur le terrain numérique Contrairement aux attaques quiont cibléhttp://www.secuobs.com/revue/news/28125.shtmlhttp://www.secuobs.com/revue/news/28125.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - Vous aviez peut-être reçu en Juillet qui ne l'a pas reçu le fameuxcourriel ayant pour objet un soit-disant problème de livraison d'unpaquet UPS Réjouissez-vous, la version francisée est arrivée : Ladétection antivirale étant sensiblement meilleure et le langageutiliséhttp://www.secuobs.com/revue/news/28124.shtmlhttp://www.secuobs.com/revue/news/28124.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - Rédacteurs : Nicolas Collery - Sylvain Sarméjeanne - Fabien Périgaud ;Relecture : Thomas Gayet Introduction Les attaques basées sur despages Web légitimes modifiées, en incluant tout un lot devulnérabilités spécifiques aux applications des postes clientsnavigateurs, lecteur multimédias s'inscrivent dans la durée etnécessitent du temps d'analyse Dernièrement, nos recherchesconcernant l'étude de vulnérabilités exploitées "dans la nature" nousont mené vers le répertoire ouvert d'un site Web contenant quatrefichiers, dont nous allons maintenant partager l'analysehttp://www.secuobs.com/revue/news/28123.shtmlhttp://www.secuobs.com/revue/news/28123.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - F-Secure présentait il y a quelques jours une annonce en provenance duforum de carding russophone Mazafaka pour un service de fourniture de"drops" : des mules qui permettent de réexpédier des colis contenantdes marchandises achetées frauduleusement ou des produits contrefaitsLehttp://www.secuobs.com/revue/news/28122.shtmlhttp://www.secuobs.com/revue/news/28122.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - La génération de spams à l'aide de caractères ASCII American StandardCode for Information Interchange n'est pas une nouveauté en soi, maiscertains analystes ont observé depuis quelques semaines une résurgencede "messages non sollicités" de ce type Même si ces emailshttp://www.secuobs.com/revue/news/28121.shtmlhttp://www.secuobs.com/revue/news/28121.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - Si nous avions été heureux des résultats de notre collègue FlorentMarceau toujours connu sous le doux sobriquet de "Barbu en Chef"l'année dernière au challenge d'ingénierie inverse T2, il s'estsurpassé -ou à consacré plus de nuits : - cette année, puisqu'il enest lehttp://www.secuobs.com/revue/news/28120.shtmlhttp://www.secuobs.com/revue/news/28120.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - Virtual worlds, either contemplative metaverses Second Life ordedicated to games MMORPG World of Warcraft are unique places ofhuman interaction because of their structure or their popularityTherefore, they represent a fertile ground for behavioural studies, asnoticed by certainhttp://www.secuobs.com/revue/news/28119.shtmlhttp://www.secuobs.com/revue/news/28119.shtml Secuobs.com : 2008-10-15 15:47:05 - CERTLEXSI Weblog - For those of us "mourning" the anticipated departure of Nuclear Grabber'strojan in late 2006, we turned out to be a little too eager to burythe “corpse” wwwcorpsespywarenet / wwwprodexteamcom: Corpse’sofficial sites back in 2005-07: Nuclear Grabber earlier, a311 Death,betterhttp://www.secuobs.com/revue/news/28118.shtmlhttp://www.secuobs.com/revue/news/28118.shtml http://www.secuobs.com Observatoire de la securite Internet fr webmaster@secuobs.com 2012-10-09 00:02:50 - CERT LEXSI Weblog : Une nouvelle campagne de SMS frauduleux avec numéro surtaxé a été lancée vendredi dernier en fin de journée NDLR plutôt bien vu du côté des escrocs Le contenu du SMS se présentait de la sorte Carte blueu NDLR faute comprise Bonjour Votre carte de crédit a été utilisée http://www.secuobs.com/revue/news/404308.shtmlhttp://www.secuobs.com/revue/news/404308.shtml Secuobs.com : 2012-09-13 16:25:23 - CERT LEXSI Weblog - LEXSI est fier de soutenir la 8ème édition de HACKLU qui aura lieu à Luxembourg du 23 au 25 octobre prochain HACKLU est un événement majeur en Europe dans le domaine de la sécurité des systèmes d'information Suivez les dernières actualités relatives à la conférence sur leur http://www.secuobs.com/revue/news/399473.shtmlhttp://www.secuobs.com/revue/news/399473.shtml Secuobs.com : 2012-06-29 14:53:41 - CERT LEXSI Weblog - Cert-Lexsi is a full member of FIRST since the beginning of this year We had the opportunity to assist and speak at this organization's annual conference in Malta last week with my colleague Jean-Michel As usually in such conferences, I haven't seen much from the island itself except hords of http://www.secuobs.com/revue/news/384585.shtmlhttp://www.secuobs.com/revue/news/384585.shtml Secuobs.com : 2012-06-21 17:10:53 - CERT LEXSI Weblog - Lors d'un audit de poste à la recherche d'un malware bancaire, nous avons rencontré une souche de Citadel, identifiée par les dossiers dans lesquels il se trouvait, à savoir des dossiers aux noms aléatoires dans C Documents and Settings User Application Data , contenant le binaire, les http://www.secuobs.com/revue/news/382920.shtmlhttp://www.secuobs.com/revue/news/382920.shtml Secuobs.com : 2012-06-14 15:09:17 - CERT LEXSI Weblog - A y est La liste des candidatures aux nouvelles extensions de domaines a été divulguée par l'ICANN Il y a beaucoup de choses à dire sur ce projet majeur de l'ICANN, ne serait-ce qu'à propos du processus en cours appelé batching Celui-ci vise à sélectionner les dossiers et les http://www.secuobs.com/revue/news/381565.shtmlhttp://www.secuobs.com/revue/news/381565.shtml Secuobs.com : 2012-03-20 16:19:27 - CERT LEXSI Weblog - Le CERT-LEXSI a développé une plateforme d'analyse automatisée d'applications Android pour différents besoins, dont celui consistant à extraire d'un flux de milliers d'applications les quelques applications suspectes méritant une analyse manuelle plus poussée En voici un exemple Aperçu http://www.secuobs.com/revue/news/364896.shtmlhttp://www.secuobs.com/revue/news/364896.shtml Secuobs.com : 2012-03-12 17:54:14 - CERT LEXSI Weblog - Nous nous sommes récemment intéressés au dernier venu dans le monde des malwares bancaires Citadel La publication du code source du malware Zeus a rendu possible la création de nouveaux malwares bancaires, et Citadel fait partie de ceux-ci L'une de ses particularités est la http://www.secuobs.com/revue/news/362975.shtmlhttp://www.secuobs.com/revue/news/362975.shtml Secuobs.com : 2012-03-12 17:54:14 - CERT LEXSI Weblog - We recently focused on the latest banking malware Citadel The Zeus source code release has made possible the creation of new banking malware, and Citadel is one of them One of its particularities is the possibility for the customers to request and or suggest the implementation of new features, http://www.secuobs.com/revue/news/362974.shtmlhttp://www.secuobs.com/revue/news/362974.shtml Secuobs.com : 2012-03-06 14:59:12 - CERT LEXSI Weblog - DERNIERE MINUTE La justice américaine a accédé à la requête du FBI demandant une prolongation de l'autorisation de mener des actions pour mitiger les postes infectés par le cheval de Troie DNSChanger 4 mois supplémentaires ont été accordé par le juge hier, ce qui repousse de facto http://www.secuobs.com/revue/news/361675.shtmlhttp://www.secuobs.com/revue/news/361675.shtml Secuobs.com : 2012-02-15 11:52:25 - CERT LEXSI Weblog - Nous avons lancé aujourd'hui un site Web de test pour vérifier automatiquement et simplement l'éventuelle compromission de votre machine par un cheval de Troie connu sous le nom de DNSChanger A l'instar du test en ligne créé pour vérifier une infection éventuelle par le malware Conficker, http://www.secuobs.com/revue/news/357929.shtmlhttp://www.secuobs.com/revue/news/357929.shtml Secuobs.com : 2012-01-24 10:55:16 - CERT LEXSI Weblog - Plusieurs dizaines de domaines distincts hébergés sur une classe d'adresse IP appartenant à OVH Pologne ont été utilisés ces dernières semaines comme relais de messagerie au sein de campagnes de spams Les domaines présentent un contenu identique, associé au domaine emailcloudme http://www.secuobs.com/revue/news/353728.shtmlhttp://www.secuobs.com/revue/news/353728.shtml Secuobs.com : 2011-11-24 11:57:16 - CERT LEXSI Weblog - Ca bouge au pays du fr omage l'AFNIC, registre en charge de l'extension fr continue sa révolution, suite à la loi du 22 mars et son décret paru le 1er août 2011 Pas mal de nouveautés ont ainsi été initiées ou sont en cours au 2ème semestre depuis le 1 7 2011 http://www.secuobs.com/revue/news/343647.shtmlhttp://www.secuobs.com/revue/news/343647.shtml Secuobs.com : 2011-10-18 15:33:38 - CERT LEXSI Weblog - A Distributed Denial of Service technique is actively exploited in the wild by attackers since a few months It leverages a vulnerability in game servers running First Person Shooter games based on the Quake III model Call of Duty, Enemy Territory, etc to redirect traffic response to a victim http://www.secuobs.com/revue/news/335400.shtmlhttp://www.secuobs.com/revue/news/335400.shtml Secuobs.com : 2011-10-04 18:19:29 - CERT LEXSI Weblog - Les plugins SpyEye, c'est un peu comme les pokemons, il y en a beaucoup, tous ne sont pas utiles, mais on a envie de tous les collectionner Alors que SpyEye évolue et passe en version 1348, qui ne semble apporter qu'une compatibilité avec les versions les plus récentes de Firefox, nous http://www.secuobs.com/revue/news/332621.shtmlhttp://www.secuobs.com/revue/news/332621.shtml Secuobs.com : 2011-09-01 14:55:31 - CERT LEXSI Weblog - La norme Unicode permet de représenter n'importe quel caractère, en lui donnant un nom et un identifiant numérique Très pratique pour les caractères exotiques, comme ceux de la langue Russe, Arabe, Chinoise, etc 1 A partir de la version Vista de Microsoft Windows, elle est supportée par http://www.secuobs.com/revue/news/326486.shtmlhttp://www.secuobs.com/revue/news/326486.shtml Secuobs.com : 2011-08-08 19:09:32 - CERT LEXSI Weblog - The Htran tool has recently been used during several cyberattacks, such as Shady RAT and the attack against RSA It is a Chinese port forwarding tool, allowing an attacker to use a compromised machine as a pivot to attack a network segment that is not directly accessible from the attacker's machine http://www.secuobs.com/revue/news/321741.shtmlhttp://www.secuobs.com/revue/news/321741.shtml Secuobs.com : 2011-08-08 12:34:04 - CERT LEXSI Weblog - L'outil Htran a récemment été utilisé dans plusieurs cyberattaques, dont Shady RAT et la compromission de RSA Il s'agit d'un outil chinois réalisant de la redirection de port port forwarding entre machines, permettant ainsi d utiliser une machine compromise comme pivot pour http://www.secuobs.com/revue/news/321664.shtmlhttp://www.secuobs.com/revue/news/321664.shtml Secuobs.com : 2011-07-12 17:57:41 - CERT LEXSI Weblog - Depuis maintenant près d'un an, il est apparu que certains groupes utilisant le malware bancaire ZeuS infectaient également les mobiles de leurs victimes, afin de leur dérober les SMS de confirmation envoyés par la banque en cas de tentative de virement Les premières versions impactaient http://www.secuobs.com/revue/news/316509.shtmlhttp://www.secuobs.com/revue/news/316509.shtml Secuobs.com : 2011-05-19 13:10:20 - CERT LEXSI Weblog - Une des différences les plus connues entre les systèmes de fichiers EXT2 et EXT3 est que ce dernier utilise un journal pour stocker ses transactions, facilitant grandement la récupération du système de fichiers en cas, par exemple, de coupure électrique Dans le cadre de la formation SANS 508 http://www.secuobs.com/revue/news/305840.shtmlhttp://www.secuobs.com/revue/news/305840.shtml Secuobs.com : 2011-04-28 17:08:12 - CERT LEXSI Weblog - Depuis l'année dernière, Microsoft distribue la mise à jour KB976002, proposant à l'utilisateur de choisir son navigateur parmi les 5 ténors du marché Alors que les deux leaders Internet Explorer et Firefox sont depuis longtemps déjà la cible des malware bancaires, les navigateurs Chrome, http://www.secuobs.com/revue/news/301398.shtmlhttp://www.secuobs.com/revue/news/301398.shtml Secuobs.com : 2011-04-28 17:08:12 - CERT LEXSI Weblog - After having presented some SpyEye plugins, let's have a look to its features to hide itself from the user To fully understand the contents of this post, remind that during an infection, SpyEye will create at the root of disk C a folder whose name is the executable name set during its http://www.secuobs.com/revue/news/301397.shtmlhttp://www.secuobs.com/revue/news/301397.shtml Secuobs.com : 2011-04-28 17:08:12 - CERT LEXSI Weblog - Since last year, Microsoft is distributing the KB976002 update, prompting the user to choose among the 5 main browsers While the two leading Internet Explorer and Firefox have been the targets of banking malware for a long, Chrome, Safari and Opera still seemed to resist the invader As recently http://www.secuobs.com/revue/news/301396.shtmlhttp://www.secuobs.com/revue/news/301396.shtml Secuobs.com : 2011-03-29 16:52:17 - CERT LEXSI Weblog - Après avoir présenté quelques plugins pour SpyEye, intéressons nous à son système de camouflage Pour bien comprendre le contenu de ce billet, rappellons que lors d'une infection, SpyEye va créer à la racine du disque C un dossier ayant pour nom le nom d'exécutable configuré lors de sa http://www.secuobs.com/revue/news/294838.shtmlhttp://www.secuobs.com/revue/news/294838.shtml Secuobs.com : 2011-02-23 18:07:27 - CERT LEXSI Weblog - SpyEye is endlessly evolving while a new version was just released version 1310 , new plugins appear, turning this banking malware into a Swiss Army knife that could quickly become the new standard in the cyber criminal world While we identified a USB devices propagation plugin earlier this http://www.secuobs.com/revue/news/287203.shtmlhttp://www.secuobs.com/revue/news/287203.shtml Secuobs.com : 2011-02-23 17:18:10 - CERT LEXSI Weblog - SpyEye is endlessly evolving while a new version was just released version 1310 , new plugins appear, turning this banking malware into a Swiss Army knife that could quickly become the new standard in the cyber criminal world While we identified a USB devices propagation plugin earlier this http://www.secuobs.com/revue/news/287188.shtmlhttp://www.secuobs.com/revue/news/287188.shtml Secuobs.com : 2011-02-09 20:22:15 - CERT LEXSI Weblog - SpyEye, a banking malware hitting the headlines after the announcement of its merge with the famous ZeuS, is a very modular clone of it, since plugins can be easily developed to add new functionalities Among these, we have identified a module for allowing it to spread through removable storage http://www.secuobs.com/revue/news/284071.shtmlhttp://www.secuobs.com/revue/news/284071.shtml Secuobs.com : 2011-02-08 20:37:20 - CERT LEXSI Weblog - SpyEye, malware bancaire faisant l'actualité suite à l'annonce de sa fusion avec le célèbre ZeuS, est un clone très modulaire de ce dernier, puisque des plugins peuvent être facilement développés et intégrés pour ajouter de nouvelles fonctionnalités Parmi ceux-ci, nous avons http://www.secuobs.com/revue/news/283734.shtmlhttp://www.secuobs.com/revue/news/283734.shtml Secuobs.com : 2011-01-31 14:01:03 - CERT LEXSI Weblog - Même si les entreprises et particuliers ont dû faire face à différentes menaces virales en 2010 en particulier Sality, Virut, Zeus, SpyEye, Bredolab, etc , Stuxnet est sans conteste le malware ayant été le plus médiatisé, y compris auprès du grand public Le Cert-Lexsi propose en http://www.secuobs.com/revue/news/281839.shtmlhttp://www.secuobs.com/revue/news/281839.shtml Secuobs.com : 2011-01-28 13:08:34 - CERT LEXSI Weblog - Le premier bilan du projet à but non lucratif Phishing-Initiative, mené conjointement par le Cert-Lexsi, Microsoft et Paypal, est disponible sur le blog de Phishing-Initiative http://www.secuobs.com/revue/news/281381.shtmlhttp://www.secuobs.com/revue/news/281381.shtml Secuobs.com : 2011-01-17 17:56:24 - CERT LEXSI Weblog - La presse espagnole a officialisé ce matin, via ses quotidiens El Mundo 1 et El País 2 , l attaque perpétrée par le groupe Anonymous le 16 janvier 2011 aux alentours de 19 heures Cette action, effectuée en réaction à la loi Sinde qui devrait être soumise au vote du Sénat à http://www.secuobs.com/revue/news/278717.shtmlhttp://www.secuobs.com/revue/news/278717.shtml Secuobs.com : 2011-01-12 19:13:56 - CERT LEXSI Weblog - Nous sommes ravis de vous annoncer le lancement officiel d'un projet contre les attaques de phishing http wwwphishing-initiativecom Merci à nos partenaires Microsoft et Paypal pour leur engagement et leur soutien, et à Google pour leur soutien technique Et merci d'avance aux internautes http://www.secuobs.com/revue/news/277783.shtmlhttp://www.secuobs.com/revue/news/277783.shtml Secuobs.com : 2011-01-07 21:52:09 - CERT LEXSI Weblog - Le 28 décembre 2010 à 20H05 GMT, wwwzanupforgzw , le site officiel du parti présidentiel de Robert Mugabe, à la tête du Zimbabwe depuis maintenant 30 ans, subissait une attaque par déni de service distribué DDOS Quelques heures après, le portail gouvernemental http wwwgtagovzw http://www.secuobs.com/revue/news/276666.shtmlhttp://www.secuobs.com/revue/news/276666.shtml Secuobs.com : 2010-12-01 17:03:46 - CERT LEXSI Weblog - La lutte contre les malware dépasse depuis quelques années les antivirus Désormais, de nombreux acteurs agissent, mais comme le souligne une étude empirique récente 1 , les fournisseurs d accès internet FAI sont dans une position privilégiée pour combattre les malware et les botnet qui se constituent 2 Notes 1 The Role of Internet Service Providers in Botnet Mitigation An Empirical Analysis , Michel van Eeten, Johannes M Bauer, Hadi Asghari, Shirin Tabatabaie et Dave Rand TU Delft, Michigan State and Trend Micro Etude disponible à l adresse http repositorytudelftnl assets uuid db5eac04-61f9-4e1d-8f6e-5cdf3613bf42 Hadis_Thesis_Finalpdf et http wwwoecdorg officialdocuments displaydocumentpdf cote dsti doc 2010 5 doclanguage en, 12 novembre 2010 2 Les autres acteurs concernés sont notamment les hébergeurs, mais aussi les réseaux professionnels et universitaires http://www.secuobs.com/revue/news/268584.shtmlhttp://www.secuobs.com/revue/news/268584.shtml Secuobs.com : 2010-09-28 15:25:40 - CERT LEXSI Weblog - La Birmanie est soumise à une forte censure depuis 1962, lorsque la junte a pris le pouvoir Comme les autres médias, l informatique et internet ont été très tôt contrôlés, comme le soulignent les premières lois restrictives de 1996 1 et 2000 2 Depuis l introduction du Net en 1997, http://www.secuobs.com/revue/news/252421.shtmlhttp://www.secuobs.com/revue/news/252421.shtml Secuobs.com : 2010-09-16 23:59:32 - CERT LEXSI Weblog - Microsoft a donc publié le correctif tant attendu pour la vulnérabilité LNK lundi dernier Observons la façon dont Microsoft l'a corrigée, par analyse différentielle de la bibliothèque shell32dll pour Windows XP SP3 Plusieurs nouvelles fonctions ont été ajoutées à la version http://www.secuobs.com/revue/news/246016.shtmlhttp://www.secuobs.com/revue/news/246016.shtml Secuobs.com : 2010-09-16 23:59:32 - CERT LEXSI Weblog - Microsoft released the awaited patch fixing the LNK vulnerability on Monday Let's have a look at how Microsoft fixed it, by performing a differential analysis on the shell32dll library for Windows XP SP3 Several new functions have been added to the fixed version of the DLL knowing that the http://www.secuobs.com/revue/news/246015.shtmlhttp://www.secuobs.com/revue/news/246015.shtml Secuobs.com : 2010-07-28 20:33:58 - CERT LEXSI Weblog - En août 2008, le haut commissaire nigérian Sunday Olu Agbi avait provoqué un tollé international en déclarant que les victimes d escroqueries 419 étaient tout aussi coupables que les escrocs eux-mêmes, et devraient être également emprisonnées Et pourtant, bien que personne n ait pris http://www.secuobs.com/revue/news/244729.shtmlhttp://www.secuobs.com/revue/news/244729.shtml Secuobs.com : 2010-07-20 17:36:54 - CERT LEXSI Weblog - Il n'aura échappé à personne que ces derniers jours ont principalement été occupés par le malware Stuxnet et sa méthode de propagation inédite utilisant une vulnérabilité jusqu'alors inconnue dans la façon dont Windows traite les icônes dans les fichiers LNK Sous Windows 7, http://www.secuobs.com/revue/news/242100.shtmlhttp://www.secuobs.com/revue/news/242100.shtml Secuobs.com : 2010-07-20 17:36:54 - CERT LEXSI Weblog - For a few days, the security ecosystem has been focusing on the Stuxnet malware and its innovative propagation method using a previously unknown vulnerability in the way Windows handles icons in LNK files In Windows 7, using AppLocker helps mitigates the flaw In a LNK file, it is possible to http://www.secuobs.com/revue/news/242099.shtmlhttp://www.secuobs.com/revue/news/242099.shtml Secuobs.com : 2010-06-15 21:57:20 - CERT LEXSI Weblog - L'édition 2010 du SSTIC est déjà terminée, et nous voilà de retour après un week-end de repos bien mérité voire nécessaire Sans faire de compte-rendu exhaustif, on peut tout de même noter quelques points Il n'a échappé à personne qu'il y a un fort besoin de main d'œuvre http://www.secuobs.com/revue/news/231737.shtmlhttp://www.secuobs.com/revue/news/231737.shtml Secuobs.com : 2010-05-12 16:30:10 - CERT LEXSI Weblog - Entre 14h et 15h aujourd'hui, les serveurs DNS utilisés pour gérer les zones DE Allemagne et AT Autriche ont été victimes d une grosse panne d origine encore non identifiée Côté allemand, sur les 6 serveurs DNS de DENIC, 4 auraient été hors service les seuls sites en http://www.secuobs.com/revue/news/221432.shtmlhttp://www.secuobs.com/revue/news/221432.shtml Secuobs.com : 2010-05-07 14:56:56 - CERT LEXSI Weblog - Les médias spécialisés focalisent depuis plus d'un an leur attention sur les nouvelles formes de risques apportés par le Web 20 - à savoir, micro-blogging Twitter , et réseaux sociaux personnels Facebook, MySpace et professionnels LinkedIn, Viadeo, etc Attention http://www.secuobs.com/revue/news/219909.shtmlhttp://www.secuobs.com/revue/news/219909.shtml Secuobs.com : 2010-05-05 15:54:25 - CERT LEXSI Weblog - Au beau milieu des acteurs de la réponse à incident de sécurité informatique se trouvent les services Abuse La quasi-totalité des hébergeurs disposent d'un tel service, généralement joignable exclusivement par e-mail à abuse nomduFAI Ces services travaillent sur des aspects techniques http://www.secuobs.com/revue/news/219040.shtmlhttp://www.secuobs.com/revue/news/219040.shtml Secuobs.com : 2010-04-28 17:53:33 - CERT LEXSI Weblog - No one missed it, the fix for the vulnerability in Windows Media Services that we reported to Microsoft was honored to be part of the small circle of patches pulled by the editor for not fixing the problem Immediately after the publication of the original patch, we have executed out of curiosity http://www.secuobs.com/revue/news/216941.shtmlhttp://www.secuobs.com/revue/news/216941.shtml Secuobs.com : 2010-04-28 16:34:58 - CERT LEXSI Weblog - Cela n'a échappé à personne, le correctif pour la vulnérabilité dans Windows Media Services que nous avions remontée à Microsoft a eu l'honneur de faire partie du cercle très restreint des correctifs retirés par l'éditeur pour non-correction du problème Dès le lendemain de la http://www.secuobs.com/revue/news/216920.shtmlhttp://www.secuobs.com/revue/news/216920.shtml Secuobs.com : 2010-04-28 11:04:36 - CERT LEXSI Weblog - On savait déjà que la récente vulnérabilité Ref Lexsi 13190 dans la gestion des actions Launch Action par Adobe Acrobat Reader était exploitée dans la nature Depuis hier circule un nouveau run de spam exploitant cette vulnérabilité Le message arrive de operator monentreprisecom http://www.secuobs.com/revue/news/216823.shtmlhttp://www.secuobs.com/revue/news/216823.shtml Secuobs.com : 2010-04-23 19:41:49 - CERT LEXSI Weblog - Update AFNIC contacted us regarding our recommandation to complain to them on this case Since a few weeks, the regulatory context of the registry's operations has changed Regarding disputes, the 4th paragraph of the annex of this legal text exposes their rights and obligations 4 Mise en http://www.secuobs.com/revue/news/215481.shtmlhttp://www.secuobs.com/revue/news/215481.shtml Secuobs.com : 2010-04-21 13:07:27 - CERT LEXSI Weblog - S'il était encore besoin de s'en convaincre, depuis la chute de l'hébergeur pirate Russian Business Network, le phénomène des hébergeurs pare-balles n'a fait qu'empirer De telles sociétés poussent comme des champignons, en prenant bien garde cette fois à rester sous le radar Ainsi, http://www.secuobs.com/revue/news/214472.shtmlhttp://www.secuobs.com/revue/news/214472.shtml Secuobs.com : 2010-04-20 19:51:14 - CERT LEXSI Weblog - Since a few weeks, a cybersquatter is targeting the French fr ccTLD again A well-known business newspaper called Les Echos published a few days ago a story about this case Until today, AFNIC -the French registry operator- is doing a good job at maintaining a low level of such abuses compared http://www.secuobs.com/revue/news/214223.shtmlhttp://www.secuobs.com/revue/news/214223.shtml Secuobs.com : 2010-04-16 19:09:57 - CERT LEXSI Weblog - Since 2009, the ZeuS Trojan, which also goes by the nicknames PRG , Zbot and WSNPoem, has been experiencing particularly disturbing transformations Laboratory observations conducted by security researchers have revealed the emergence of unprecedented functionalities over the past http://www.secuobs.com/revue/news/213088.shtmlhttp://www.secuobs.com/revue/news/213088.shtml Secuobs.com : 2010-04-15 16:20:40 - CERT LEXSI Weblog - This month, Microsoft has fixed a vulnerability that we reported last summer, about a stack-based buffer overflow in the Windows Media Unicast service of Windows Media Services on Windows 2000 Ref Lexsi 13242 Although vulnerability research is not part of our activities, we discovered it http://www.secuobs.com/revue/news/212510.shtmlhttp://www.secuobs.com/revue/news/212510.shtml Secuobs.com : 2010-04-14 17:52:17 - CERT LEXSI Weblog - Ce mois-ci, Microsoft a corrigé une vulnérabilité que nous leur avions remonté l'été dernier, concernant un débordement de tampon dans la pile dans le service Windows Media Unicast de Windows Media Services sous Windows 2000 Réf Lexsi 13242 Bien que n'ayant pas pour activité la http://www.secuobs.com/revue/news/212118.shtmlhttp://www.secuobs.com/revue/news/212118.shtml Secuobs.com : 2010-04-13 18:51:02 - CERT LEXSI Weblog - Le cheval de Troie ZeuS, aussi connu sous ses petits noms PRG , Zbot , ou encore WSNPoem , subit depuis fin 2009 des mutations particulièrement inquiétantes Les chercheurs en sécurité qui observent le malware en laboratoire ont en effet noté l apparition de http://www.secuobs.com/revue/news/211609.shtmlhttp://www.secuobs.com/revue/news/211609.shtml Secuobs.com : 2010-04-09 12:33:05 - CERT LEXSI Weblog - Un incident a affecté pendant près de 20 minutes hier soir le routage du trafic dans de nombreux pays Un opérateur chinois, qui annonce d'habitude quelques routes via BGP, a commencé vers 18h à annoncer plusieurs dizaines de milliers de routes relatives à des AS du monde entier Ceci a eu http://www.secuobs.com/revue/news/210479.shtmlhttp://www.secuobs.com/revue/news/210479.shtml Secuobs.com : 2010-04-05 16:55:09 - CERT LEXSI Weblog - Le Forum International sur la Cybercriminalité a ouvert ses portes pour deux jours, les 31 mars et 1er avril Cet évènement majeur à l initiative de la Gendarmerie Nationale a ainsi vu sa quatrième édition se dérouler dans l agréable Grand Palais de Lille Au programme, plus d une http://www.secuobs.com/revue/news/208934.shtmlhttp://www.secuobs.com/revue/news/208934.shtml Secuobs.com : 2010-04-02 13:02:41 - CERT LEXSI Weblog - Two days ago, Mebroot's author updated the configuration file transmitted to the infected bots and added a specific string onlineserv CM It refers to a software platform for online Cash Management services, provided by Digital Insight now Intuit to hundreds of American financial http://www.secuobs.com/revue/news/208397.shtmlhttp://www.secuobs.com/revue/news/208397.shtml Secuobs.com : 2010-03-30 21:06:23 - CERT LEXSI Weblog - Like in 2009, CERT-Lexsi attended this week's Octopus Conference on Cybercrime at the Council of Europe I won't try to summarize 3 days of intense debates and presentations You can find most of the presentations on the CoE website Update François Paget made also a good summary here I http://www.secuobs.com/revue/news/207022.shtmlhttp://www.secuobs.com/revue/news/207022.shtml Secuobs.com : 2010-03-19 12:44:11 - CERT LEXSI Weblog - On this blog, difficulties faced by antivirus software when dealing with fast-spreading malware such as Conficker or Virut were already exposed Here is another tricky example double infections We were recently contacted by a client who were experiencing difficulties to eradicate a virus from http://www.secuobs.com/revue/news/203354.shtmlhttp://www.secuobs.com/revue/news/203354.shtml Secuobs.com : 2010-03-18 19:18:26 - CERT LEXSI Weblog - Nous avons décrit à plusieurs reprises sur ce blog les difficultés rencontrées par les solutions antivirales pour faire face aux infections à grande échelle, comme Conficker ou Virut Voici un autre cas, celui des doubles infections Un client nous a récemment contacté pour nous faire http://www.secuobs.com/revue/news/203048.shtmlhttp://www.secuobs.com/revue/news/203048.shtml Secuobs.com : 2010-02-22 18:56:14 - CERT LEXSI Weblog - Lors de la conférence de sécurité BlackHat 2009, Stefan Esser, chercheur réputé pour ses nombreuses découvertes concernant le moteur PHP, a rendu publiques deux vulnérabilités 0-day dans le moteur PHP Une vulnérabilité de type fuite d'information dans la fonction explode , http://www.secuobs.com/revue/news/194239.shtmlhttp://www.secuobs.com/revue/news/194239.shtml Secuobs.com : 2010-01-21 10:39:34 - CERT LEXSI Weblog - Following the recent 0-day in Internet Explorer Réf Lexsi 12808 and the Operation Aurora, the 16-bit subsystem of Windows is vulnerable to a privilege escalation vulnerability All Windows versions are vulnerable, from NT 31 to Windows 7 Vulnerability Réf Lexsi 12828 impacts the VDM http://www.secuobs.com/revue/news/183951.shtmlhttp://www.secuobs.com/revue/news/183951.shtml Secuobs.com : 2010-01-20 18:30:11 - CERT LEXSI Weblog - Après la récente 0-day dans Internet Explorer Réf Lexsi 12808 et l'Opération Aurora, c'est au tour du sous-système 16 bits de Windows d'être vulnérable à une élévation locale de privilèges Toutes les versions de Windows sont affectées, de NT 31 à Windows 7 La http://www.secuobs.com/revue/news/183704.shtmlhttp://www.secuobs.com/revue/news/183704.shtml Secuobs.com : 2010-01-19 16:36:45 - CERT LEXSI Weblog - Adobe recently released versions 82 and 93 of Acrobat Reader, patching several critical vulnerabilities including the recent newPlayer 0-day Réf Lexsi 12676 As system vulnerabilities will become more and more difficult to find and exploit, vulnerabilities in third-party applications http://www.secuobs.com/revue/news/183120.shtmlhttp://www.secuobs.com/revue/news/183120.shtml Secuobs.com : 2010-01-18 15:15:52 - CERT LEXSI Weblog - Petit patch day pour Microsoft une seule vulnérabilité , mais Oracle et Adobe en ont aussi profité pour publier des mises à jour de sécurité critiques Microsoft n'a publié qu'un seul bulletin ce mois-ci MS10-001 vulnérabilité dans le parsing des polices EOT, permettant http://www.secuobs.com/revue/news/182729.shtmlhttp://www.secuobs.com/revue/news/182729.shtml Secuobs.com : 2010-01-13 15:29:40 - CERT LEXSI Weblog - L'annonce fracassante de Google, dont des secrets industriels auraient été volés par des hackers chinois, fait énormément de bruit aujourd'hui, et relance l'arlésienne de l'espionnage économique venu de Chine En réalité, très peu de détails ont été révélés sur cette attaque http://www.secuobs.com/revue/news/181103.shtmlhttp://www.secuobs.com/revue/news/181103.shtml Secuobs.com : 2010-01-07 18:17:12 - CERT LEXSI Weblog - More and more companies choose to use strong authentication to ensure security, which is no more assured by a simple password It is indeed easy to find by an attacker, either through social engineering, keylogging, brute force cracking or rainbow table What is called strong authentication is http://www.secuobs.com/revue/news/179243.shtmlhttp://www.secuobs.com/revue/news/179243.shtml Secuobs.com : 2010-01-07 16:17:06 - CERT LEXSI Weblog - De plus en plus d'entreprises font le choix d'utiliser de l'authentification forte, afin de garantir une sécurité qui n'est aujourd'hui plus assurée par un simple de mot de passe Celui-ci est en effet facilement trouvable par un attaquant, que ce soit par ingénierie sociale, keylogging, http://www.secuobs.com/revue/news/179186.shtmlhttp://www.secuobs.com/revue/news/179186.shtml Secuobs.com : 2010-01-05 15:48:23 - CERT LEXSI Weblog - Reading one of the last ISC's diaries reminds a trick we recently encountered during a malicious PDF document's analysis It explains a somewhat special shellcode method in a PDF exploiting the latest 0-day vulnerability in Adobe Reader Lexsi Ref 12676 Indeed, it is very small 38 bytes http://www.secuobs.com/revue/news/178347.shtmlhttp://www.secuobs.com/revue/news/178347.shtml Secuobs.com : 2010-01-05 13:03:01 - CERT LEXSI Weblog - Fervent utilisateur de Facebook depuis quelques semaines, j ai très vite succombé à ses charmes, et ai également vite pu constater l ampleur des dégâts en matière de sécurité Et au fond, je crois qu il ne faudra jamais attendre de Facebook ou de tout autre réseau social personnel http://www.secuobs.com/revue/news/178299.shtmlhttp://www.secuobs.com/revue/news/178299.shtml Secuobs.com : 2010-01-04 18:55:24 - CERT LEXSI Weblog - La lecture du billet de l'ISC de ce matin rappelle une astuce que nous avions récemment rencontrée lors de l'analyse d'un document PDF malveillant Celui-ci explique une méthode un peu particulière de shellcode dans un document PDF exploitant la dernière vulnérabilité 0-day dans Adobe http://www.secuobs.com/revue/news/177967.shtmlhttp://www.secuobs.com/revue/news/177967.shtml Secuobs.com : 2009-11-19 13:55:40 - CERT LEXSI Weblog - Une proposition de loi américaine, approuvée début novembre par le House Financial Services Committee, vise à rendre responsables les fournisseurs d accès Internet de la protection de leurs utilisateurs contre les contenus à caractère usurpatoire notion suffisamment large pour http://www.secuobs.com/revue/news/162947.shtmlhttp://www.secuobs.com/revue/news/162947.shtml Secuobs.com : 2009-11-09 16:24:05 - CERT LEXSI Weblog - Un ver se propage actuellement sur les iPhone jailbreakés, exploitant le fait que peu de gens ont pensé à changer leur mot de passe root suite à l'installation du serveur SSH Jailbreaker un iPhone ou un iPod Touch est une opération consistant à sortir de la sandbox dans laquelle http://www.secuobs.com/revue/news/158856.shtmlhttp://www.secuobs.com/revue/news/158856.shtml Secuobs.com : 2009-11-09 16:24:05 - CERT LEXSI Weblog - A worm is currently spreading on jailbroken iPhones, exploiting the hardcoded root account exposed by the SSH server Jailbreaking an iPhone or an iPod Touch consists in getting out of the sandbox the user and his applications normally run into, so as to execute code as root and take complete http://www.secuobs.com/revue/news/158855.shtmlhttp://www.secuobs.com/revue/news/158855.shtml Secuobs.com : 2009-10-29 22:01:29 - CERT LEXSI Weblog - An email which seems to come from the Facebook team has been circulating for a few days Its attachment is yet another variant of the Bredolab downloader, already known for installing other malware Waledac, Daurso, Koobface, etc Here is an example you are likely to have received it as well http://www.secuobs.com/revue/news/155385.shtmlhttp://www.secuobs.com/revue/news/155385.shtml Secuobs.com : 2009-10-29 22:01:29 - CERT LEXSI Weblog - Depuis quelques jours circule un courriel semblant provenir de l'équipe technique Facebook Mais sa pièce jointe n'est autre qu'une variante du downloader Bredolab, déjà connu pour installer d'autres logiciels malveillants Waledac, Daurso, Koobface, etc Voici un exemple de message que vous http://www.secuobs.com/revue/news/155384.shtmlhttp://www.secuobs.com/revue/news/155384.shtml Secuobs.com : 2009-10-26 16:55:20 - CERT LEXSI Weblog - Il y a deux semaines, Microsoft a corrigé Réf Lexsi 12420 une faille dévoilée à la Black Hat par Moxie MarlinSpike fin juillet concernant les certificats X509 qui n'a pas obtenu une grande attention La faille en elle-même est triviale la plupart des bibliothèques gérant les http://www.secuobs.com/revue/news/154040.shtmlhttp://www.secuobs.com/revue/news/154040.shtml Secuobs.com : 2009-10-26 16:55:20 - CERT LEXSI Weblog - Two weeks ago, Microsoft fixed Ref Lexsi 12420 a flaw disclosed at the Black Hat by Moxie MarlinSpike in late July regarding X509 certificates which did not get a big attention The flaw itself is simple most libraries handling X509 certificates, such as NSS libraries used by Firefox or http://www.secuobs.com/revue/news/154039.shtmlhttp://www.secuobs.com/revue/news/154039.shtml Secuobs.com : 2009-10-22 17:20:10 - CERT LEXSI Weblog - Le petit landernau de la lutte contre la cybercriminalité est consterné, cette semaine, par le coming out d un jeune chercheur en sécurité, Peter Kleissner ce dernier a déclaré être lié au gang à l origine du cheval de Troie Torpig, et être à l origine du site web http://www.secuobs.com/revue/news/153002.shtmlhttp://www.secuobs.com/revue/news/153002.shtml Secuobs.com : 2009-10-15 17:19:17 - CERT LEXSI Weblog - Il apparaît que l'attaque mentionnée dans notre précédent billet n'était pas si ciblée que ça Des centaines d'entreprises dans le monde sont en effet attaquées Beaucoup de banques sont ciblées, mais pas uniquement, des sociétés sans aucun rapport avec le secteur bancaire étant http://www.secuobs.com/revue/news/150853.shtmlhttp://www.secuobs.com/revue/news/150853.shtml Secuobs.com : 2009-10-14 20:08:02 - CERT LEXSI Weblog - Plusieurs banques européennes sont sujettes, en ce moment même, à des attaques ciblées contre leurs directions des systèmes d information les personnels informatiques de ces banques reçoivent des spams ciblés, l adresse e-mail source ayant été changée pour qu apparaisse une http://www.secuobs.com/revue/news/150463.shtmlhttp://www.secuobs.com/revue/news/150463.shtml Secuobs.com : 2009-10-02 16:44:18 - CERT LEXSI Weblog - Cette semaine, l arrestation d une figure emblématique du crime organisé en Israël ouvre une fenêtre sur des pratiques désormais courantes dans le domaine du jeu d argent en ligne Dror Alperon, fils du parrain mafieux Ya akov Alperon, a été arrêté par la police israélienne mardi http://www.secuobs.com/revue/news/146841.shtmlhttp://www.secuobs.com/revue/news/146841.shtml Secuobs.com : 2009-09-21 17:26:46 - CERT LEXSI Weblog - L équipe derrière WepAWet, également co-auteur de la très populaire sandbox Anubis, a mis en ligne le site du projet FIRE accronyme pour FInd RoguE networks , qui présente des statistiques d activité malicieuse par opérateur réseau On remarque immédiatement que les Etats-Unis sont http://www.secuobs.com/revue/news/142800.shtmlhttp://www.secuobs.com/revue/news/142800.shtml Secuobs.com : 2009-09-17 16:42:32 - CERT LEXSI Weblog - Un malware intéressant a été repéré dans la nature il s agit d un cheval de Troie Windows qui serait utilisé dans des attaques par rebond Jusqu ici rien d original, si ce n est que le troyen est coordonné au moyen d une structure command control http://www.secuobs.com/revue/news/141850.shtmlhttp://www.secuobs.com/revue/news/141850.shtml Secuobs.com : 2009-09-09 20:27:22 - CERT LEXSI Weblog - Yesterday, a vulnerability Lexsi Ref 12225 announced as a remote denial of service affecting Microsoft Windows Vista, Seven and 2008 has been published by a security researcher It affects the SMBv2 protocol, a new version of the well-known SMB By changing a single parameter of a negotiation http://www.secuobs.com/revue/news/139239.shtmlhttp://www.secuobs.com/revue/news/139239.shtml Secuobs.com : 2009-09-09 20:27:22 - CERT LEXSI Weblog - Microsoft vient de livrer ses correctifs pour le mois de septembre Huit vulnérabilités ont été corrigées, toutes qualifiées de critiques La 0-day affectant IIS n'est pas corrigée MS09-045 vulnérabilité dans le moteur JScript de Windows Réf Lexsi 12234 MS09-046 http://www.secuobs.com/revue/news/139238.shtmlhttp://www.secuobs.com/revue/news/139238.shtml Secuobs.com : 2009-09-09 20:27:22 - CERT LEXSI Weblog - Microsoft has just released its security bulletins for September Eight vulnerabilities have been fixed, all rated critical The 0-day affecting IIS has not been fixed MS09-045 vulnerability in the Windows JScript scripting engine Ref Lexsi 12234 MS09-046 vulnerability in the Windows http://www.secuobs.com/revue/news/139237.shtmlhttp://www.secuobs.com/revue/news/139237.shtml Secuobs.com : 2009-09-08 21:22:44 - CERT LEXSI Weblog - Aujourd'hui, une vulnérabilité Réf Lexsi 12225 annoncée comme un déni de service distant touchant les versions Vista, Seven et 2008 de Windows a été publiée par un chercheur en sécurité Celle-ci affecte le protocole SMBv2, nouvelle mouture du bien connu SMB En modifiant un simple http://www.secuobs.com/revue/news/138780.shtmlhttp://www.secuobs.com/revue/news/138780.shtml Secuobs.com : 2009-09-03 15:45:59 - CERT LEXSI Weblog - The first half of 2009 has seen the following main virus threats Conficker, Virut and Neeris The latter is a worm which spreads like Conficker by exploiting the MS08-067 vulnerability It was far from receiving the same media attention as Conficker but did succeed in infecting many companies http://www.secuobs.com/revue/news/137404.shtmlhttp://www.secuobs.com/revue/news/137404.shtml Secuobs.com : 2009-09-02 15:47:30 - CERT LEXSI Weblog - La première moitié de l'année 2009 a été marquée par 3 familles de malware Conficker, Virut et Neeris Ce dernier est un ver se propageant comme Conficker via la vulnérabilité MS08-067 Il est loin d'avoir eu la visibilité médiatique de Conficker, mais il a bel et bien infecté de http://www.secuobs.com/revue/news/136947.shtmlhttp://www.secuobs.com/revue/news/136947.shtml Secuobs.com : 2009-08-18 22:51:31 - CERT LEXSI Weblog - Une attaque de déni de service est en cours depuis ce week-end contre plusieurs sites web de jeu d argent en ligne Les sites web suivants sont en effet sous le feu d une attaque provenant d un botnet http wwwsnaiit SNAI Italie http wwwvierkleecom Vierklee Wettbüro http://www.secuobs.com/revue/news/132061.shtmlhttp://www.secuobs.com/revue/news/132061.shtml Secuobs.com : 2009-08-13 21:47:16 - CERT LEXSI Weblog - Aujourd hui, le forum r00t-y0u, bien connu pour héberger toutes sortes d outils et transactions frauduleuses, affiche un bien étrange message sur sa page d accueil son administrateur déclare que le site était sous surveillance des forces de l ordre, et que toutes les discussions http://www.secuobs.com/revue/news/130671.shtmlhttp://www.secuobs.com/revue/news/130671.shtml Secuobs.com : 2009-08-11 21:09:14 - CERT LEXSI Weblog - D après plusieurs sources -dont le président de Facebook, Max Kelly- l attaque serait liée à une manoeuvre destinée à faire taire un bloggueur géorgien surnommé Cyxymu , comme la capitale de l Abkhazie Celui-ci dispose de comptes sur les principaux réseaux sociaux Livejournal, http://www.secuobs.com/revue/news/129942.shtmlhttp://www.secuobs.com/revue/news/129942.shtml Secuobs.com : 2009-08-07 06:00:28 - CERT LEXSI Weblog - Ce n'est pas la première fois que la plateforme est prise pour cible par les pirates, mais il semble que ce soit la première fois que le site soit indisponible pendant plusieurs heures Twitter a confirmé l'attaque lien Pour quelles raisons un pirate en voudrait-il à Twitter au point de http://www.secuobs.com/revue/news/128615.shtmlhttp://www.secuobs.com/revue/news/128615.shtml Secuobs.com : 2009-07-30 22:03:51 - CERT LEXSI Weblog - Un nouveau kit d exploitation de vulnérabilités a été découvert, et serait utilisé dans la nature pour des attaques massives Il s agit d un kit nommé SPack Ce kit est commercialisé depuis avril 2009 pour un montant de 250, et vient rejoindre la longue lignée des kits http://www.secuobs.com/revue/news/126626.shtmlhttp://www.secuobs.com/revue/news/126626.shtml Secuobs.com : 2009-07-17 16:27:09 - CERT LEXSI Weblog - Une série de sites gouvernementaux américains et sud-coréens ont quasi-simultanément été ciblés par une attaque de déni de service lors du week-end du 4 juillet Cette attaque massive visait à les rendre inaccessibles et de fait, les sites des départements du Trésor, des http://www.secuobs.com/revue/news/121857.shtmlhttp://www.secuobs.com/revue/news/121857.shtml Secuobs.com : 2009-07-17 16:27:09 - CERT LEXSI Weblog - Those who had the chance to get a 4 day long week-end will face a difficult comeback with an impressive number of patches to apply Indeed, besides being the French national day, the 14th of July has been the opportunity for several vendors to publish security bulletins and patches First and http://www.secuobs.com/revue/news/121856.shtmlhttp://www.secuobs.com/revue/news/121856.shtml Secuobs.com : 2009-07-16 15:54:37 - CERT LEXSI Weblog - Ceux qui ont eu la chance d'avoir un week-end prolongé vont connaitre un retour difficile avec un nombre impressionnant de correctifs à appliquer En effet, le 14 juillet, en plus d'être la fête nationale française, a été l'occasion pour de nombreux éditeurs de sortir des bulletins et des http://www.secuobs.com/revue/news/121395.shtmlhttp://www.secuobs.com/revue/news/121395.shtml