Hello,
Bien sûr qu'un antivirus, aussi efficace soit-il n'est qu'un élément de protection et que nous avons (tous, du moins je l'espère) des restrictions sur les pièces jointes.
Or, dans le cas présent cela ne suffisait pas...
Je vais revenir donc sur ce pb en quelques lignes :
Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.
Ce fichier comprend une macro qui appelle une URL, dans le cas présent de type hxxp://pastebin.com /download.php?i=X1234XX (j'ai modifié l'adresse ;)) et télécharge un fichier qui s'avère être un VBS.
((petit apparté : c'est un partenaire qui a été touché et pas nous car ce type d'accès vers des sites de partage n'est pas autorisé chez nous))
La macro lance ce script qui télécharge la charge virale à partir d'une URL d'un site hacké (nom par défaut crypted.120.exe dans le cas présent) ainsi que 2 images dont l'utilité n'est pas connue.
Enfin l'EXE est lancé.
Le problème est que la charge virale change et que la protection par signature montre ici ses limites...
La seule protection efficace est de former les utilisateurs et d'avoir un anti-virus qui réagit vite aux nouvelles menaces.
Evidemment on doit aussi bloquer les macros de Word et Excel mais c'est encore à l'utilisateur de n'autoriser que les macros de fichiers sûrs car les macros sont de nos jour très utilisées.
Reste que le niveau de la plupart des utilisateurs en faible en terme de bonnes pratiques et de sécurité.
Cordialement, Bruno.
CSSI
-----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Xavier Beaudouin Envoyé : lundi 15 juin 2015 14:30 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel
Hello Bruno
Hélas j’aimerais bien dire que ClamAv est un bon logiciel… ce n’est clairement pas le cas.
Clamav est un logiciel OpenSource, il faut pas non plus dire que c'est de la merde en boite, si personne ne fournis la signature d'un nouveau virus aux mainteneur de Clamav....
Une infection (arrivée par mail) a eu lieu massivement semaine dernière (à partir de lundi).
Certains d’entre vous en ont sans doute entendu parler (crypted120.exe).
J’ai moi-même soumis l’échantillon à ClamAv mardi dernier et il ne le détectait toujours pas samedi.
Bon autre point, vous autorisez des .exe dans les mails ? Déjà rien que cette partie prouve qu'il manque une certaine sécurité de base dans les emails (après qu'il y ait quelqu'un d'assez bête pour cliquer dessus... c'est autre chose).
Rien que des .exe, .dll, etc... en générals doivent être mis en quarantaine par défaut, puis éventuellement sortit de cette quarantaine si besoin.
D'autre part les antivirus sont pour les machines comme un vaccin pour les humains : rien n'empêche d'appliquer des règles d’hygiènes strictes dans une boite...
Xavier