Celebrites

Description de l’infection

Quelle est cette infection ?

Un nouveau rogue a fait son apparition. Ces derniers temps, il se développe et de nombreux cas sont recensés.

Son appellation technique :
Roqgue:W32/DotTorrent.A ou FraudTool.Win32.Agent.art (Kaspersky) ou Trojan.PrivacyProtector (Ikarus)… (L’appellation varie selon les éditeurs de logiciels de protection).

Ce cheval de Troie vient de Russie.

Il tente d’escroquer les utilisateurs en leur faisant croire qu’ils ont téléchargé un fichier illégalement.

Il prétend vous mettre en règle avec la loi en payant les licences, droits d’auteur et copyright.

Sur la fenêtre qui vous alerte que vous avez été hors la loi, vous avez le choix entre « Passer le cas au tribunal » et « Arranger votre cas en ordre de pré-essai » (à savoir payer une amende).

En aucun cas vous ne devez saisir vos coordonnées bancaires !

À ce jour, l’application se nomme :

• ARManager
• APManager
• IQManager
• AIManager

Dans la suite de cet article, on parle parfois de APManager, mais si dans votre cas, il s’agit de ARManager par exemple, remplacer apmanager par celui qui vous concerne. Il y a différentes appellations pour la même infection.

Voici l’écran principal de l’infection :

Une infobulle informant de l’activité illicite peut apparaître :

Comment peut-on y croire ?

On peut être amené à se demander comment on peut se laisser prendre au piège par cette infection au point de se faire arnaquer en payant.

Plusieurs éléments entrent en compte et font que même un utilisateur averti peut se laisser piéger !

• Intimidation (fond d’écran modifié très travaillé : rappelant une scène de crime, univers de la police)
• Parfois, il n’est plus du tout possible d’accéder au bureau
• Des logos paraissant officiels : Copyright Alliance, FBI Anti-Piracy, …
• Avec l’émergence de la recherche des pirates (loi Hadopi), l’utilisateur peut penser qu’un organisme officiel a remarqué ses activités illicites.
• Pour retrouver un ordinateur normal (son fond d’écran, …), l’utilisateur peut agir dans la précipitation et veut se mettre en ordre vis à vis de la justice
• On n’a pas vraiment le choix sur l’interface graphique : on « passe le cas au tribunal » ou on régularise sa situation !
• L’infection peut varier dans sa procédure « d’intimidation ».
  • Soit elle diffuse directement un message d’alerte demandant à l’utilisateur de payer pour des téléchargements illégaux.
  • Soit en première partie, APManager se fait d’abord passer pour un gestionnaire\accélérateur de téléchargement.

Après redémarrage et dans les deux cas, l’alerte viens se substituer à l’apparition du bureau, laissant penser (à tort) que la session est bloquée.

L’infection s’attrape actuellement via des faux sites de « Direct download » par catégories (films, musique, jeux, sexe) entièrement conçus et dédiés à la diffusion du malware.

Sur ces faux sites de téléchargement où l’infection est présente, les fichiers téléchargés sont tous en réalité des « downloaders » dont le but est d’installer l’infection.

Après exécution, le dossier %appdata%\AR(AP)(AI)Manager va être créé ainsi que le sous dossier « Metafiles » où l’on retrouve un fichier *.torrent contenant des informations relatives au téléchargement effectué sur le site piégé.

Exemple du contenu d’un faux *.torrent:

Le livre d’Eli|1024000|0|url qui mène à une image de la jaquette du film, album etc….

Ce fichier servira notamment un peu plus tard lors d’un simulacre de téléchargement.

Le downloader télécharge et installe ensuite le reste de l’infection.

S’en suit l’ouverture du programme APManager dont la fenêtre laisse penser à un banal gestionnaire de téléchargement.

Le fichier torrent est alors lu et les infos qu’il contient servent à mettre en place un simulacre de téléchargement via la fenêtre du programme.

Rien n’est téléchargé en réalité mais cette pseudo procédure de téléchargement accentuera la « peur du gendarme » et le sentiment d’avoir fait quelque chose d’illégal lors de la phase d’intimidation qui interviendra plus tard.

Une fois le « pseudo téléchargement » terminé c’est alors au tour de la phase d’intimidation d’entrer en jeu comme nous l’avons vu précédemment.

Désinfection

Vous n’avez pas accès à votre bureau

Si vous avez redémarré depuis l’installation de l’infection sur votre ordinateur, vous n’avez certainement plus accès à votre bureau :

pas d’icônes, pas de menu Démarrer,…

1) Tentez de rentrer la clé du produit pour que la désinstallation se fasse automatiquement :

Cette vidéo réalisée par moe vous montre comment procéder.

• Cliquez sur « Enter a previously purchased license code » et saisissez le numéro suivant : RFHM2-TPX47-YD6RT-H4KDM puis cliquez sur « OK ». La désinstallation s’effectue.

2) Faire la désinstallation manuellement

• Lancez le gestionnaire des tâches en maintenant les touches [CTRL] + [ALT] + [Suppr] enfoncées > onglet « Processus« .
• Cliquez droit sur le processus apmanager.exe (ou armanager.exe ou iqmanager.exe ou aimanager.exe …) puis cliquez sur « Terminer le processus« .
• Toujours dans le gestionnaire des tâches, cliquez sur « Fichier » puis sur « Nouvelle tâche« . Tapez %appdata% (les signes ‘%’ sont importants) puis [Entrée].
• Une fenêtre s’ouvre. Ouvrez le dossier correspondant à l’infection (AP Manager ou AR Manager ou IQ Manager ou AI Manager …) puis lancez le fichier uninstall.exe.

L’infection est alors désinstallée. Pour retrouver l’accès au bureau : Fichier > Nouvelle tâche, taper explorer.exe puis [Entrée].

Le bureau démarre, l’infection ne sera plus présente au redémarrage.
Néanmoins, il est fortement conseillé de passer Malwarebytes’ Anti Malware comme analyse complémentaire et de poster un message dans le forum Virus / Sécurité pour vérifier l’éradication complète de l’infection.

Vous avez accès à votre bureau

Méthode 1 : Désinstaller le logiciel infectieux

1) Tentez de rentrer la clé du produit pour que la désinstallation se fasse automatiquement :

Cette vidéo réalisée par mOe vous montre comment procéder.

• Cliquez sur « Enter a previously purchased license code » et saisissez le numéro suivant : RFHM2-TPX47-YD6RT-H4KDM puis cliquez sur « OK ». La désinstallation s’effectue.

2) Désinstallation manuelle :

• Démarrer > « Panneau de configuration« 
• Ajout/Suppression de programmes sous XP (« Désinstaller un programme » sous Windows Vista et 7).
• Sélectionnez le logiciel infectieux (AP Manager ou AR Manager ou IQ Manager ou AI Manager …) et cliquez sur Désinstaller.
• Redémarrez votre ordinateur et le fond d’écran de l’infection aura disparu.
• Il est fortement conseillé de passer Malwarebytes’ Anti Malware comme analyse complémentaire et de poster un message dans le forum Virus / Sécurité pour vérifier l’éradication complète de l’infection.

Méthode 2 : Malwarebytes’ Anti Malware

Téléchargez Malwarebytes’ Anti Malware

http://www.malwarebytes.org

À l’installation, vérifiez que « Mise à jour« , « Lancer programme » et « Scan complet » soient bien cochés.

Une fois à jour, le programme va se lancer. Cliquez sur l’onglet « Paramètres« , et cochez la case : « Arrêter internet explorer pendant la suppression« .

À la fin du scan cliquez sur « Afficher les résultats« .

Vérifiez que tout soit coché et cliquez sur « <gras>Supprimer la sélection« .</gras>

S’il vous est demandé de redémarrer >>> cliquez sur « Yes« .

Méthode 3 : List&Kill’em

DÉSACTIVEZ VOTRE ANTIVIRUS ET PARE-FEU SI PRÉSENTS !!!!!(car il est détecté à tort comme infection)

- Téléchargez List_Kill’em et enregistre le sur le bureau

- Double-cliquer ( clic droit « exécuter en tant qu’administrateur » pour Vista/7 ) sur le raccourci sur le bureau pour lancer l’installation

Laisser coché :

- Executer Shortcut

- Executer List_Kill’em

Une fois l’analyse terminée, clic sur « Terminer » et le programme se lancera seul

Choisir l’option Search

- Laisser travailler l’outil

Une fenêtre blanche apparait – c’est un peu long, c’est normal, le programme n’est pas bloqué.

- Poster le contenu du rapport qui s’ouvre aux 100 % du scan à l’écran « COMPLETED » ainsi que le rapport de Malwarebytes’ Anti Malware comme préconisé plus haut , sur le forum virus sécurité afin d’avoir une éradication définitive si des restes sont trouvés.

Méthode 4 : Restauration du système

Si vous avez un point de restauration antérieur à la date/heure de l’infection, vous pouvez restaurer le système.

/!\ Attention, les fichiers et logiciels installés après ce point de restauration seront perdus ! /!\
La méthode qui suit est « optimisée » pour XP. Il peut y avoir de faibles différences sous Vista et 7 (noms des boutons parfois différents).

• Aller dans le Menu « Démarrer » puis dans « Tous les programmes »
• Ensuite dans « Accessoires » et enfin dans « Outils système« 
• Choisir « Restauration du système« 
• Sélectionner « Restaurer mon ordinateur à une heure antérieure« 
• Cliquer sur « Suivant« 
• Choisir dans le calendrier affiché la date du point de restauration
• Choisir dans la liste de droite (si un choix est possible) le point de restauration précis
• Cliquer sur « Suivant » à deux reprises
• Le système va redémarrer pour restaurer les fichiers systèmes modifiés.

Plus d’informations

Vous trouverez ci-dessous des liens, des vidéos sur cette infection :

• Article F-Secure en anglais.
• Vidéo de désinfection par Ajout/Suppression de programmes (bureau accessible). Chargement long. Réalisée par crapoulou.
• Vidéo n’ayant pas accès au bureau – par mOe.
• Vidéo de désinstallation via une licence – réalisée par mOe.
• Vidéo plus technique sur le téléchargement de l’infection et son fonctionnement une fois installé (en musique) – réalisée par mOe.

Flash info : Les étapes de l’adoption du projet de loi créant le statut d’EIRL

Le projet de loi sur le statut d’entrepreneur individuel à responsabilité limitée (EIRL) a été adopté en première lecture par les députés mercredi 17 février 2010 et ensuite adopté jeudi 08 avril 2010 en fin de soirée au Sénat

La commission mixte paritaire (CMP) composée de députés et sénateurs avec pour mission d’aboutir à la conciliation des deux assemblées sur un texte commun a adopté ce texte le 28 avril 2010.

Ce nouveau statut entrera en vigueur le 01 janvier 2011

En cas de faillite, les anciens créanciers d’une entreprise passée en EIRL ne seront pas tenu de ne faire valoir leur droit que sur le patrimoine nouvellement affecté à l’activité professionnelle.

Que ce soit par besoin d’autonomie, de souplesse ou parce que le marché de l’emploi ne leur donne guère satisfaction, certaines personnes décident un jour de lancer leur propre activité et donc de devenir travailleur indépendant et se mettre à son compte.

L’entrepreneur indépendant est à la fois entrepreneur, propriétaire (de ses moyens de production) et son propre employé. Il est maître de ses décisons concernant son travail en ayant soin de s’adapter aux demandes de sa clientèle.

Les entrepreneurs individuels se répartissent dans plusieurs type d’activités :

* Agriculteurs,

* Artistes / Auteurs

* Artisans

* Commerçants

* Professions libérales

Pour s’installer en solo le futur travailleur indépendant constitue généralement une entreprise individuelle, parfois une eurl (entreprise unipersonnelle à responsabilité limitée).

La nouvelle loi créant le statut entrepreneur individuel à responsabilité limitée (EIRL) apportera beaucoup de simplicité. Elle permettra de déclarer au registre du commerce et des sociétés ou au répertoire des métiers, la liste des biens affectés à l’activité professionnelle de façon à les distinguer de ceux du patrimoine personnel. En cas de faillite de l’entrepreneur, les créanciers ne pourront saisir que le patrimoine professionnel. À l’inverse, les créanciers personnels de l’entrepreneur ne pourront pas
toucher aux biens affectés à l’activité professionnelle.

En matière de fiscalité, l’entrepreneur choisira, à sa guise, l’impôt sur le revenu ou optera pour l’impôt sur les sociétés.

Les formalités de création de votre entreprise seront réduites au minimum. Il suffira de demander votre immatriculation, en tant que personne physique, auprès du centre de formalités des entreprises situé :

* à la chambre de commerce et d’industrie pour les commerçants,

* à la chambre de métiers et de l’artisanat pour les artisans,

* au greffe du tribunal de commerce pour les agents commerciaux,

* à l’Urssaf pour les professions libérales.

Le statut de l’EIRL pourrait être choisi lors de la création de l’activité ou en cours d’activité.

Le Wardriving

Présentation du wardriving

Pour cela,un wardriver est équipé d’un terminal mobile, avec une antenne et éventuellement un mobile GPS. Il n’a alors plus qu’à se balader tranquillement pour capter les réseaux sans fils existants dans les parages et les cartographier.

Il pourra alors pratiquer deux sortes d’attaques :

• Détourner une connexion réseau à son avantage, et éventuellement pouvoir surfer sur Internet gratuitement ;
• Écouter ce qui se passe sur le réseau pour voler des informations notamment.

Les wardrivers utilisent les vulnérabilités du chiffrement WEP (Wired Equivalent Privacy) ainsi que la verbosité naturelle des protocoles mis en oeuvre dans 802.11b (Wifi aka Wireless Fidelity pour les intimes).

Remarque : le terme Warshalking désigne quant à lui le fait de  » tagger  » les lieux où des réseaux WiFi ont été découverts par wardriving.

Qu’est-ce que la norme 802.11b ?

La norme 802.11b est la norme la plus répandue de transport réseau sans fil, pour des raisons économiques, conjoncturelles et techniques (adaptateurs bon marché, portée > 100m, débit élevé > 10Mb/s). Elle a été adoptée par l’IEEE en juillet 1997.

A noter qu’il existe d’autres protocoles comme BlueTooth, Zigbee,HomeRF’s ou Airport, destinés aux réseaux particuliers (WPAN ou Wireless Personal Area Network).

La norme 802.11b utilise la bande de fréquence des 2.4 Ghz et contient 14 canaux. Quatre sont attribués à la France. Ceci permet de faire coexister plusieurs réseaux dans un même espace.

La norme 802.11b gère de hauts débits et permet d’atteindre des débits de 11 Mbps avec la technologie DSSS ( Direct Sequence Spread Spectrum).

D’autres normes apparaissent, comme la norme 802.11g (dont le draft a été accepté en septembre 2002 par l’IEEE) et qui devrait permettre d’atteindre des débits de 54 mbps sur la même bande de fréquence que la norme 802.11b. Il faut noter cependant que le débit faiblit à mesure que les correspondant s’éloignent, de 1 à 11Mb/s pour le Wifi.

Comment fonctionne un réseau sans fil ?

Un réseau sans fil est composé de deux types d’équipement :

• des « cellules » (ou BSS : Basic Service Set), des ordinateurs portables par exemple
  
• des « points d’accès au réseau » (Access Point ou AP), aussi appelés « ponts »
  

Le tout forme un réseau appelé ESS (Extended Service Set). Les ponts peuvent être reliés entre eux par un réseau filaire ou radio.

En fait, un réseau sans fil n’est pas très différent d’un réseau filaire du type Ethernet. Un « point d’accès  » peut être vu comme un hub. Toutes les « stations » reçoivent donc tout le trafic du réseau !

A noter d’ailleurs que les réseaux de téléphone portable (GSM, GPRS …) se basent sur les mêmes principes (BSS et PA).

Quelles menaces pèsent sur un réseau sans fil ?

Un réseau sans fil pose trois problèmes majeurs de sécurité :

• Si j’accède au réseau avec mon équipement sans fil, comment être sûr que quelqu’un possédant le même équipement que moi mais n’ayant pas à être sur le réseau, n’y accède pas aussi ? Peut-être même sans le vouloir ?
• Lorsque je suis en train de communiquer avec le réseau, comment être sûr que personne ne peut capturer le trafic et « écouter » de façon clandestine ?
• Est-ce que personne ne peut « brouiller » les fréquences et m’empêcher ainsi d’accéder au réseau en pratiquant une sorte de Déni de service ?

Pour contrer ses attaques, les solutions suivantes ont été prévues :

• Une station (ou cellule) doit s’authentifier avant d’avoir accès aux ressources du réseau. Pour cela, elle doit présenter à son AP un SSID (identifiant réseau), un secret partagé et éventuellement une adresse MAC référencée dans ses ACLs.
• Lorsque la station communique, le trafic est chiffré avec le secret partagé.

Quelles sont les vulnérabilités des réseaux sans fil ?

La norme 802.11b prévoit le protocole WEP pour sécuriser les échanges mais celui-ci est optionnel.

S’il n’est pas utilisé, alors les trames ne sont pas chiffrées. Généralement, ne pas l’utiliser signifie même qu’aucune authentification par secret partagé n’est mise en œuvre, donc que le SI est configuré en mode « OpenSystem ». Dans ce mode, l’accès au SI est contrôlé par la seule connaissance du SSID, lequel est en permanence broadcasté en clair dans des trames appelées Beacons (WEP activé ou pas). En l’absence d’activation du WEP, il faut donc désactiver l’émission des beacons, faute de quoi le réseau serait
publiquement accessible.

Cependant, l’utilisation du protocole WEP pose également quelques problèmes.

Premièrement, l’authentification au réseau se fait grâce à un secret partagé par tous les équipements ayant le droit de se connecter. Si ce secret partagé est divulgué ou facilement repérable, c’est la sécurité du réseau dans son ensemble qui est mise en jeu. La gestion de secrets partagés personnalisés est possible mais non standard.

Deuxièmement, le protocole WEP se base sur l’algorithme RC4 pour chiffrer les échanges. L’algorithme RC4 a été développé par Ron Rivest (le  » R  » de RSA ) en 1987. Il s’agit d’un algorithme de chiffrement en continu à clef de longueur variable, qui permet de générer des nombres pseudo aléatoires. Le chiffrement consiste simplement à faire un XOR entre les pseudos aléas et les données en clair.

Plusieurs problèmes se posent :

• les trames de gestion et de contrôle ne sont pas chiffrées, en particulier, les adresses MAC sont visibles ;
• RC4 peut se contenter d’une clé de chiffrement de 40 bits ce qui n’est pas suffisant et permet une attaque par  » force brute  » :
  le pirate essaie toutes les clés jusqu’à trouver son bonheur et pouvoir déchiffrer le message.
• RC4 présente plusieurs failles dont une vulnérabilité identifiée par Fluhrer, Mantin et Shamir et ayant trait à la génération de la chaîne pseudo-aléatoire à partir du secret partagé (Key Scheduling Algorithm).
• L’implémentation de RC4 pour Wifi y introduit des faiblesses en chiffrant des portions de texte connu dans chaque paquet (vecteurs d’initialisation de 24 bits – par ailleurs sujets aux collisions).

En outre, deux chercheurs de l’université du Marylan, les professeurs Williman Arbaufh et Arunesh Mishra, ont mis en évidence la possibilité pour un wardriver de profiter d’une connexion existante ou d’intercepter les données de connexion.

En fait, le premier type d’attaque consiste à écouter le trafic d’un réseau sans fil. Quand le wardriver détecte qu’une session est établie entre une cellule et un point d’accès, il usurpe l’identité du point d’accès et envoie un paquet trafiqué à la cellule lui faisant croire que la connexion est terminée. Bien entendu, pour le vrai point d’accès la session est toujours ouverte et le wardriver pourra en profiter.

Le second type d’attaque ressemble à une attaque man in the middle. Le pirate se fait passer pour le point d’accès vis-à-vis de la cellule, mais il n’est en fait qu’un relais entre la cellule et le point d’accès, ce qui lui permet de filtrer toute la  » conversation « .

Notons aussi que des chercheurs de l’université de Berkeley (Californie) ont fait la démonstration d’une interception de connexion dans un rayon de 1 km, avec une antenne et du matériel électronique.

L’alliance chargée de la promotion de la norme Wi-Fi, la WECA (Wireless Ethernet Compatibility Alliance) a reconnu il y un an que le standard Wi-Fi présentait une importante faille de sécurité permettant de casser le système de chiffrement.

Conclusion

Les réseaux sans fil se répandent de plus en plus depuis 2 ans, ce qui explique que le wardriving devienne à la mode.

Mais les choses bougent et un nouveau protocole de sécurité vient d’être proposé. Il s’agit du WPA (Wi-Fi Protected Access) qui remplacerait à terme le protocole WEP et qui lui fonctionne avec des clés dynamiques, renouvelées tous les 10 ko de données (protocole TKIP : Temporal Key Integrity Protocol).

Ceci constitue un pas dans la sécurité, mais il est à noter que le protocole de chiffrement n’a pas changé. Théoriquement, il reste possible, une fois sur le réseau sans fil, d’écouter le trafic, mais la mise en place des clés dynamiques rend beaucoup plus ardues les attaques par force brute. Le WPA fait partie d’une nouvelle norme en cours de ratification, la norme 802.11i.Le Wardriving est une nouvelle forme de piratage, qui fait fureur actuellement et qui consiste à rechercher les réseaux sans fils détectables sur la voie publique.