L'ordinateur de ma mère a récemment été infecté par une sorte de rootkit. Cela a commencé quand elle a reçu un e-mail d'un ami proche lui demandant de consulter une sorte de page Web. Je ne l'ai jamais vu, mais ma mère a dit que c'était juste un blog en quelque sorte, rien d'intéressant.
Quelques jours plus tard, ma mère s'est connectée sur la page d'accueil de PayPal. PayPal a donné une sorte d'avis de sécurité indiquant que pour prévenir la fraude, ils avaient besoin d'informations personnelles supplémentaires. Parmi certaines des informations les plus normales (nom, adresse, etc.), ils lui ont demandé son SSN et son code PIN bancaire! Elle a refusé de soumettre ces informations et s'est plainte à PayPal de ne pas les demander.
PayPal a déclaré qu'il ne demanderait jamais de telles informations et que ce n'était pas leur page Web. Il n'y avait pas un tel «avis de sécurité» lorsqu'elle s'est connectée à partir d'un autre ordinateur, seulement du sien. Ce n'était pas une tentative de phishing ou une redirection quelconque, IE a clairement montré une connexion SSL à https://www.paypal.com/
Elle s'est souvenue de cet étrange e-mail et a demandé à son ami à ce sujet - l'ami ne l'a jamais envoyé!
De toute évidence, quelque chose sur son ordinateur interceptait la page d'accueil de PayPal et cet e-mail était la seule autre chose étrange à se produire récemment. Elle m'a confié de tout réparer. J'ai supprimé l'ordinateur de l'orbite car c'était le seul moyen d'en être sûr (c'est-à-dire de reformater son disque dur et de faire une installation propre). Cela semblait bien fonctionner.
Mais cela m'a fait me demander ... ma mère n'a rien téléchargé et exécuté. Il n'y avait pas de contrôles ActiveX étranges en cours d'exécution (elle n'est pas analphabète et sait ne pas les installer), et elle utilise uniquement le webmail (c'est-à-dire, aucune vulnérabilité Outlook). Quand je pense à des pages Web, je pense à la présentation de contenu - JavaScript, HTML et peut-être un peu de Flash.
Comment cela pourrait-il éventuellement installer et exécuter des logiciels arbitraires sur votre ordinateur? Il semble un peu bizarre / stupide que de telles vulnérabilités existent.
Réponses:
Si elle utilise une version obsolète d'IE (ou Firefox), il existe des vulnérabilités bien connues dans le navigateur lui-même. Oui, c'est un peu bizarre / stupide mais écrire un logiciel parfait est très très très très dur.
Il existe probablement des vulnérabilités inconnues / non divulguées dans les versions actuelles des navigateurs Web (ainsi que dans tous les autres logiciels)
la source
Je suis assez convaincu que flash a quelques vulnérabilités. J'ai été infecté par des sites Web que j'ai visités à l'aide de Firefox et je suis certain de n'avoir rien installé.
la source
Regardez les attaques cross-site scripting (XSS) - wikipedia ref .
Il peut également s'agir d'un exécutable malveillant dans une pièce jointe au courrier qui a été lancé.
Mais, puisque vous décrivez aller sur un site, un exploit de navigateur du site référé est probablement coupable.
Si elle clique sur des liens dans sa boîte aux lettres lorsqu'elle est connectée à Internet,
toutes les vulnérabilités de son navigateur sont exposées aux sites qu'elle atteint. Vous devriez au moins garder sa machine corrigée (si le système d'exploitation est toujours pris en charge) et installer un antivirus (ouais, cela déclenchera une grande conversation ici).
Mais, en grande partie, ce serait apprendre à ne pas cliquer sur un lien inconnu ou à ouvrir des pièces jointes inattendues qui garderont son système plus sûr .
Cette question ne devrait-elle pas être migrée vers SuperUser ?
Le fichier hôte Windows peut être modifié pour que le système soit toujours dérouté (même après un redémarrage).
Voici une attaque plus évoluée utilisant ces choses - Comment les logiciels malveillants étendent un réseau de phishing .
Si vous utilisez des choses comme Spybot Search & Destroy . Il continuera à vérifier votre fichier d'hôtes pour les dommages.
la source
Ce type d'exploit n'est dangereux que si vous exécutez votre navigateur avec des droits d'administrateur.
la source
IE n'est en aucun cas un navigateur sécurisé, mais une page Web ne devrait pas pouvoir infecter un ordinateur, sauf si elle exploite de très gros trous de sécurité dans les plugins et / ou les fonctionnalités complémentaires du navigateur.
Pour être aussi sûr que possible, utilisez un navigateur Web (comme Google Chrome) qui affiche les pages Web dans un bac à sable, un environnement virtuel, qui empêchera le code malveillant d'atteindre votre ordinateur. De plus, Chrome contacte une base de données de sites Web malveillants et affiche un avertissement avant de les charger, juste pour être sûr.
L'écriture de plugins et de modules complémentaires pour les navigateurs impliquera toujours un équilibre entre puissance et sécurité, quelqu'un vient de donner au plugin un peu trop de puissance. (Je parie son java)
la source
J'ai tendance à croire que ce qu'elle a vécu est le résultat d'un plugin obsolète comme Flash ou Java. Sauf si vous avez réellement besoin de Java sur le système, supprimez-le. Et essayez toujours de rester à jour avec les installateurs. Vraiment, si la sécurité est un tel problème, je leur dirais d'utiliser Linux. Cela a un bien meilleur programme de mise à jour. Alternativement, il se pourrait qu'il y ait un exploit dans le navigateur lui-même. IE8 est un ancien navigateur rempli de failles de sécurité. Utilisez Chrome, Opera ou Firefox, ils sont tous plus modernes et plus sécurisés. De plus, le fait qu'elle utilise XP signifie que le système n'a absolument aucun concept d'autorisations. Il n'y a ni sudo & root, ni UAC. Les systèmes d'exploitation Windows plus modernes comme 7 et 8 ont UAC, qui, bien qu'il ne soit pas à la hauteur de sudo + apparmor / SELinux sous Linux, est toujours beaucoup mieux que rien du tout.
Juste pour nettoyer une confusion, un site peut infecter votre ordinateur sans plugins. À savoir, JavaScript. Bien que les navigateurs modernes mettent en sandbox JavaScript pour ne pouvoir effectuer que des opérations sur les fichiers dans / tmp, JavaScript peut toujours tirer parti des vulnérabilités réelles dans le navigateur lui-même. Dans certains cas, cela peut même être des exploits dans des navigateurs corrigés (communément appelés exploit 0day) bien que de tels incidents soient rares.
la source