Tout à fait. Un exemple de plus de l'intérêt des bloqueurs de pub... et du fait qu'il n'y a absolument aucune raison de faire confiance aux sites web en matière de sécurité, même les plus gros (ici: Google !).

Voilà qui est intéressant: Dans le monde des logiciels malveillants, un "dropper" est un petit bout de code dont le but est d'aller télécharger un cheval de Troie pour l'installer.
On les repère généralement facilement sur le réseau car ils contactent des domaines connus pour distribuer des malwares, ou alors vont chercher des noms de fichiers connus, ou même des signatures de fichiers connus (MD5).
Certains dropper, pour éviter la détection par MD5, ajoutent le malware à la fin d'une image. Mais ce genre de chose peut aussi se détecter.

Lurk est un dropper un peu plus fûté: Il utilise la stéganographie. Le malware peut être incorporé aux pixels d'une image JPEG ou dans la musique d'un MP3. Ce n'est pas idiot: Cela rend la détection de ces malwares nettement plus difficile.
Il ne devient plus possible de les filtrer avec un firewall.
(Article source: http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader/)

Vous vous souvenez de cette BD de xkcd ?  Le protagoniste a une ferme de virus (à la manière d'une ferme de fourmis).
Et bien un gars a mis ça en place. Vous pouvez même uploader vos exécutables:  http://wecan.hasthe.technology/

Ben tiens, un spyware (très probablement) créé par les services de renseignements français. Je me doutais bien que ça existait (on avait déjà vu celui des USA et de l'Allemagne), je me demandais juste quand il allait être mis au grand jour.
LOL: Le nom interne du spyware: "Babar".
Question bonus: Cette merde est-elle détectée par les antivirus du marché ?
(PUTAIN ARRÊTEZ AVEC SCRIBD. Un chaton meurt chaque fois que vous l'utilisez. Fofox sait afficher nativement les PDF maintenant.)

On entend beaucoup de choses à propos du virus BadBios, mais surtout BEAUCOUP DE CONNERIES.  La principale étant qu'il peut infecter un ordinateur sans liaison réseau, simplement par ondes sonores.
Disons-le clairement: NON. Il ne PEUT PAS infecter un autre ordinateur simplement avec des sons.
Pourquoi ? Parce que pour que l'ordinateur cible réagisse aux sons, il faut qu'il y ait déjà un programme qui tourne, qui écoute par le micro, décode les sons et exécute ce qui lui est envoyé.  Je ne connais aucun système d'exploitation qui ait ça activé par défaut.   Donc arrêtons de propager des conneries: L'infection par ondes sonores n'existe pas.

La seule chose qui existe - et qui a été prouvée par ce POC - c'est que deux programmes peuvent effectivement communiquer par ondes ultra-sonores (ce qui en soit n'a rien de techniquement exceptionnel. Après tout les bons vieux modems RTC ne font rien d'autre: Convertir des bits en sons, puis des sons en bits. Dans le cas de badbios, c'est juste la gamme de fréquences utilisées qui est dans l'ultra-son au lieu d'être dans la gammes des sons audibles par les humains.)

EDIT: Voir aussi: http://sebsauvage.net/links/?ICiulg

Une critique de l'analyse du malware badbios. Le gars a l'air de s'y connaître en code BIOS et affirme que badbios ne peut pas infecter les BIOS de machines différentes.

C'est très technique, mais je me note cet article de côté comme exemple de code polymorphique. (Un malware polymorphique modifie son code à chaque copie, ce qui rend sa détection plus compliquée par les antivirus: Il ne peut pas y avoir une signature "simple".) (via http://lamaredugof.fr/blog/2013/10/actus-securite-confirme-2013-s43/)

Je me souviens m'être amusé à faire un peu de running-line. C'est une technique anti-débugging qui consiste à décrypter le code machine au fur et à mesure de son exécution. Ainsi, à un instant donné, vous n'avez jamais l'intégralité du code machine en examinant la RAM, mais seulement une petite portion, ce qui rend l'analyse beaucoup plus difficile.

Ah les bons souvenirs de l'assembleur x86, avec SoftIce, les trainers que je programmais en assembleur, le site de Fravia, et tous les bricolages logiciels.  ^◡^
(Et pour ceux qui ne connaissent pas Fravia: http://sebsauvage.net/rhaa/?2009/05/06/12/05/13-adieu-fravia )

Oh joli !  Je viens de recevoir par email un dropper de cheval de Troie détecté par pratiquement aucun antivirus (2/47 chez VirusTotal). Pas mal.  (Il exploite une faille de Microsoft Office. De toute manière j'utilise LibreOffice pour ouvrir ces documents  :-D)

Des chercheurs en sécurité ont montré la possibilité de planquer logiciels malveillants dans des cartes graphiques.
Vous vous souvenez de ce que je disais en 2009 ?:  « Les auteurs de virus sont en train de réaliser qu'il y a un terrain inexploré à prendre pour l'infection: le matériel (routeur, BIOS, mémoire des cartes PCI, firmwares...). »
Certes, ça c'est moins répandu que ce que je pensais, mais on en voit poindre de temps en temps.

Pourquoi le trafic du réseau TOR a-t-il récemment explosé ? (cf. http://sebsauvage.net/links/?vGEYtA).  Peut-être à cause de ce botnet.
Ce n'est pas la première fois qu'un botnet utiliser TOR pour le contrôle : http://sebsauvage.net/rhaa/index.php?2012/09/13/08/21/14-des-malwares-utilisent-tor-pour-contacter-leur-c-amp-c

Le mois dernier, il y a avait encore 37,2% des PC sous Windows. Mais en Chine, c'est encore 72,1 % (!).
Je vous laisse imaginer le pourcentage de machine piratées et pourries jusqu'à l'OS par des malwares...  :-/

Et merde... Opera s'est fait pirater et voler un certificat qui sert à signer ses exécutables. On verra donc apparaître des malwares avec des signatures valides et acceptés par Windows. (Jusqu'à ce qu'Opera révoque son certificat, en espérant que tout le monde vérifiera cette révocation. Je doute que Windows vérifie systématiquement la révocation des certificats, d'ailleurs. Ça arrivera sans doute avec une mise à jour WindowsUpdate, c'est à dire bien trop tard.)

Voilà (coucou tester): Java est désormais la principale source d'infection.

Et leur toolbar s'installe même si la décochez !

woua... Kaspersky a cassé le mot de passe d'un serveur contrôllant un botnet Flame.

rrhââ... saletés de ransomwares qui exploitent la naïveté des internautes débutants.
Le pire c'est que certaines variantes chiffrent (encryptent) vos fichiers, et vous les perdrez si vous ne payez pas.
Moralités:
- toujours se protéger et faire attention (antivirus, mises à jour du système et des logiciels...)
- TOUJOURS FAIRE DES BACKUPS.

Comme quoi, les auteurs de malware se tiennent à la page.

Rappelons-le: Ce genre de faille EXISTE. Contrairement à ce que j'ai déjà pu entrendre, ce n'est *PAS* une légende. Je veux dire: Être infecté simplement en affichant une page web. Démonstration avec cette faille d'Internet Explorer (pas encore corrigée par Microsoft).

Oh... visiblement le maître du botnet "Flame" a lancé l'ordre d'auto-déstruction du malware, ce qui a pour effet de désinfecter les machines. Il a aussi écrasé les secteurs disque du malware avec des octets aléatoires pour éviter la récupération et l'analyse du malware.

Visiblement le cheval de troie "Flame" est - tout comme Stuxnet - l'oeuvre d'un état à des fins d'espionnage. Super, il ne manquait plus que les états pour venir pourrir internet avec des virus. Et ça vient nous faire la morale sur le téléchargement de quelques musiques pendant qu'ils piratent des ordinateurs à l'échelle mondiale.

Chroniques de la cyber-guerre: ALORS VOILA, ON Y EST. On a enfin la confirmation que le cheval de Troie Stuxnet a été créé par un gouvernement (Israël, avec l'aide des USA) pour en attaquer un autre (Iran).
Je vous recommande cette présentation: http://www.ted.com/talks/lang/fr/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html
qui montre comment le cheval de Troie a été très spécifiquement conçu pour attaquer les centrifugeuses iraniennes.

Chez NakedSecurity: http://nakedsecurity.sophos.com/2012/06/01/stuxnet-usa-israel-iran-virus/

Voilà un mythe qui tombe: Les antiques fichiers RTF *peuvent* contenir du code malveillant.

Donc: régie publicitaire Clicksor à éviter.

Ahhh... pas con, le dropper de virus: Au lieu de demander à l'utilisateur l'autorisation de tourner en mode admin (ce qui semblerai louche), il lance l'installeur officiel de Flash (qui se présente comme une mise à jour Flash) et se place sous forme de DLL dans le même répertoire que l'installeur. Dès que l'utilisateur clic "Ok" dans l'UAC, l'installeur de Flash est alors exécuté avec les droits admin... et charge la DLL vérolée.

L'auteur d'un botnet travaille pour un éditeur d'antivirus/firewall. Des noms ! Des noms !
EDIT: C'est la société Agnitum, l'éditeur de "Outpost Firewall" (cf. http://nakedsecurity.sophos.com/2012/01/24/microsoft-kelihos-botnet-suspect/)