La mise à jour étant gratuite chez Kaspersky, vous pouvez simplement télécharger les novueautés et en profiter en les activant à l’aide d’une licence valide dont vous disposez déjà.

- Kaspersky Administration Kit 8.0 : http://www.kaspersky.com/productupdates?chapter=146274756 ( system requirements : http://www.kaspersky.com/koss-2_system_requirements#comp17 )

- Kaspersky Antivirus for Windows Workstations 6.0 MP4 : http://www.kaspersky.com/productupdates?chapter=146274385 ( system requirements : http://www.kaspersky.com/koss-2_system_requirements#comp1 ) – Windows 7 supporté!

- Kaspersky Antivirus for Windows Servers 6.0 MP4 : http://www.kaspersky.com/productupdates?chapter=146274391 ( system requirements : http://www.kaspersky.com/koss-2_system_requirements#comp3 ) – Windows Server 2008 supporté!
En ce qui me concerne, si je peux émettre un avis, je déconseille de vous lancer dans la mise à jour avec ces premières versions. Surtout si vous gérez un réseau de taille importante et/ou critique!

La phase de beta test a été très longue chez Kaspersky mais semble avoir été trop courte par rapport aux premiers echos que je reçois des partenaires intégrateurs qui ont tenté la migration. Les premiers soucis non-testés en laboratoire semblent apparaître et les premiers bugs vont voir le jour.

Bien qu’en tant que revendeur ou client vous pourriez être poussé à migrer, ce que je peux recommander, c’est d’attendre simplement environ un mois après la sortie des produits : normalement, il y a une phase de récolte de bugs d’environ 3 semaines et, logiquement, d’ici environ début novembre nous devrions avoir des nouvelles releases comprenant les bugfixes. C’est avec ces versions là, que personnellement, je me lancerais dans la nouvelle aventure Kaspersky en production.

ABE

Je n’ai pas l’habitude de pourrir mon blog avec de la publicité mais aujourd’hui j’ai un bon plan à vous exposer.

Ayant reçu une demande de la part de myAntivirus.ch, je suis allé faire un tour sur leur site Internet et voir ce qui les démarque de la concurrence aujourd’hui et quel intérêt y a-t-il pour vous que je vous présente cette nouvelle boutique online parmi tant d’autres.

Les produits proposés par myAntivirus.ch sont uniquement les produits de Kaspersky Lab pour les utilisateurs privés :

• Kaspersky Antivirus 2009
• Kaspersky Internet Security 2009
• Kaspersky Mobile Security

La façon de faire est néanmoins très intéressante : après avoir passé votre commande et effectué le paiement (Visa, Mastercard et Paypal acceptés, paiement sécurisé SSL) vous recevrez de la part de myAntivirus.ch uniquement la licence qui activera le produit souhaité.

J’ai trouvé l’approche intéressante puisque tout le monde parle de gaspillage et économies aujourd’hui. Ici, vous ne recevrez pas de carton inutile et ne paierez pas de frais de port inutiles. Tout est fait pour rendre votre achat le plus propre et efficace possible.

De plus, vous pouvez à tout moment tester les produits Kaspesrky avant d’en acquérir la licence. Il suffit pour cela de télécharger et installer le produit souhauté depuis :

• Kaspesrky Antivirus 2009
• Kaspersky Internet Security 2009
• Kaspersky Mobile Security 2009

de l’activer en tant que version d’essai et en profiter gratuitement pendant une période de 30 jours (aucune fonctionnalité n’est bridée pendant le temps d’essai). Puis, acheter tout simplement la licence sur myAntivirus.ch (la licence est multilingue) et activer votre produit avec la licence reçue par email. Simplissime, sécurisé et efficace.

Alors, n’attendez plus, testez gratuitement et protégez vos ordinateurs.

Ce fut le cas il y a quelques jours à cause d’un problème d’intégration de KAV for ISA dans l’Admin Kit en sa version actuelle.

Le Network Agent était bien installé sur le serveur ISA, KAV for ISA également, même le plugin avait été installé sur la console d’administration mais le logiciel n’était pas vu par l’agent.

Après quelques investigations avec le support voici donc les éléments dont il faut tenir compte si l’on souhaite intégrer KAV for ISA dans la console d’Administration (supposant que KAV for ISA est déjà installé sur votre ISA server) :

- Tout d’abord, assurez-vous d’avoir bien configuré votre ISA server afin qu’il laisse passer les communications du Network Agent. Toutes les explications des règles à mettre en place sont décrites dans cette FAQ.

1 . Télécharger et installer le plugin KAV for ISA server 5.6 afin que l’Admin Kit puisse gérer ce logiciel

2. Installer l’agent en version 5.0.474 sur le serveur ISA, cet agent étant la seule release supportant la gestion de KAV for ISA server.

Vous pourrez dès lors gérer la configuration de KAV for ISA, les tâches administratives et les msies à jour via l’Admin Kit.

Vous trouverez davantage d’informations concernant la gestion de KAV for ISA sur cette FAQ de la KB de Kaspersky Labs.

Il est cependant posssible de restaurer la gestion de ces produits par les manipulations suivantes :

- Installation de du Network Agent version 6.0.1405 sur le serveur Exchange

OU

- Remplacement du Admin Kit connector du Network Agent version 6.0.1710

Pour remplacer le connecteur :

• Téléchargez l’archive correspondant à l’application installée (Kaspersky Security 5.5 for Microsoft Exchange Server 2003 ou Kaspersky Anti-Virus 5.5 for Microsoft Exchange Server 2000/2003) et décompressez-la.

• Arrêtez le service Kaspersky Network Agent

• Remplaccez le connecteur par le nouveau décompressé dans le répertoire d’installation de l’antivirus :

KLEXConnector.dll – pour Kaspersky Security 5.5 for Microsoft Exchange Server 2003
KLEXAVConnector.dll – pour Kaspersky Anti-Virus 5.5 for Microsoft Exchange Server 2000/2003

• Exécutez le fichier .reg pour initialiser le nouveau connecteur

kse.reg – pour Kaspersky Security 5.5 for Microsoft Exchange Server 2003
kave.reg – pour Kaspersky Anti-Virus 5.5 for Microsoft Exchange Server 2000/2003

• Relancez le service Kaspersky Network Agent

Comme je l’ai déjà expliqué dans ce billet lors de mises à jour urgentes un redémarrage peut être requis pour finaliser la mise à jour.

Après avoir redémarré votre système, vous trouverez la lettre ‘e’ dans les mises à jour urgentes appliquées à votre système.

Pour ceux qui ont suivi ma recommandation et dissocié les autopatches des mises à jour de signatures, cette mise à jour urgente sera appliquée lorsque vous exécuterez la tâche de mise à jour correspondante sur vos postes clients.

Voici un utilitaire qui sait se charger de presque toute la gamme des produits Kaspersky sur plateforme Windows à savoir :

• Kaspersky Anti-Virus 6.0\7.0\2009
• Kaspersky Internet Security 6.0\7.0\2009
• Kaspersky Anti-Virus 6.0 for Windows Workstations
• Kaspersky Anti-Virus 6.0 for Windows Servers

Attention, si vous êtes sur un système 64-bits, il ne pourra nettoyer que KAV 2009 ou KIS 2009 !

Voici la procédure d’utilisation de ce cleaner :

• Téléchargez l’archive KAVremover9.zip
• Décompressez KAVremover9.exe depuis l’archive téléchargée et exécutez ce fichier

• Entrez le code affiché sur l’image dans le champ
• Cliquez sur le bouton Remove
• Attendez la confirmation de suppression et validez le redémarrage par le bouton OK

• Votre ordinateur redémarre

Si, pour une raison quelconque le cleaner n’a pas trouvé le produit qui vous pose des problèmes, vous pouvez exécuter le cleaner en lui précisant le produit à désinstaller et nettoyer via la ligne de commande. Exécutez l’utilitaire via la ligne de commande avec la syntaxe suivante :

kavremover9.exe [kav6 | kav7 | kav2009 | kav2009x64| kis6 | kis7 | kis2009 | kis2009x64 | kav6fs | kav6wks]

Par exemple, si vous avez Kaspersky Internet Security 2009 sur votre ordinateur, la commande ressemble à ce que vous voyez sur l’image ci-dessous.

- Moi oui, et j’ai le vertige en pensant au temps que j’ai perdu pour faire des découpes…

Pourtant, notre cher Windows XP embarque une fonctionnalité native pour faire ça… une simple combinaison de deux touches :

ALT + Printscreen

Vous effectuera une capture d’écran llimitée à la fenêtre sélectionnée au moment où vous appuyez sur les deux touches. Exemple :

Il suffira de taper un CTRL + V pour coller votre screenshot dans un fichier word ou autre…

Comme quoi, on en apprend tous les jours.

Il s’agit en effet d’une mise à jour des définition de l’IDS (système de détection d’intrusions) du module Anti-hacker mais aussi du driver NDIS qui permet d’intercepter le flux d’informations au niveau de la carte réseau.

Comme le changement se situe dans des couches basses du système d’exploitation, la demande de redémarrage est logique.

Sachez toutefois que le niveau de protection n’est pas compromis en attendant le redémarrage (je pense notamment aux serveurs… qu’on ne peut rebooter comme on veut).

On nomme rootkit un programme ou ensemble de programmes permettant à un tiers (un pirate informatique, par exemple, mais pas nécessairement) de maintenir – dans le temps – un accès frauduleux à un système informatique. Le pré-requis du rootkit est une machine déjà compromise.

La fonction principale du « rootkit » est de camoufler la mise en place d’une ou plusieurs « portes dérobées ». Ces portes dérobées (utilisables en local ou à distance) permettent de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l’accès frauduleux initial, qui serait tôt ou tard comblée.

Un «rootkit» a pour but principal la furtivité, il permet par exemple de cacher certains processus, certains fichiers et clefs de registre, etc. Il opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). Le rootkit est souvent couplé à d’autres programmes tel qu’un sniffeur de frappe, de paquets…

Le meilleur moyen de se protéger des rootkit est de se prémunir contre les failles.

Trève d’explications, je vous propose de faire un lab pour vous rendre compte de la puissance de ces outils. Dans ce lab, nous allons exploiter qu’une possibilité qu’offre le rootkit FU, à savoir la possibilité de cacher l’existence d’un processus sur un ordinateur.

Avertissement

Pour réaliser le lab, je vous recommande vivement de travailler sur une machine virtuelle. Nous allons manipuler un code malicieux donc je décline toute responsabilité en cas de problèmes quelconques liés à ces maipulations. De même, il est évident que ce lab a un but purement éducatif.

1. Inventaire

- Machine virtuelle Windows XP SP2
- FU Rootkit
- Kaspersky Internet Security 7.0

2. Préparations

Tout d’abord, nous allons extraire le contenu de l’archive dans c:\temp, un répertoire créé à cet effet au préalable. Puis, on va passer en mode ligne de commandes : Démarrer -> Executer -> cmd

Nous allons nous déplacer dans le répertoire c:\temp : cd c:\temp
Puis en lister le contenu pour vérifier que tout est bien là : dir

3. Manipulation du rootkit

Ouvrez le Bloc notes et le Gestionnaire des tâches de votre Windows… La tâche notepad.exe est présente dans la liste des processus actifs de votre machine.

Dans l’invite de commandes tapez : fu -pl 30
Cette commande va renvoyer la liste des 30 premières tâches qui tournent sur votre système d’exploitation. Dans mon cas, il n’y en a que 24.

Ce qui nous intéresse ici c’est le PID (indentifiant unique de processus) de notre notepad.exe. Dans mon cas il s’agit du 1132 mais il sera probablement différent chez vous.

Nous allons donc utiliser le rootkit pour cacher le Bloc notes du Gestionnaire des tâches : fu -ph 1132

Votre Bloc notes reste ouvert, vous pouvez toujours l’utiliser, créer – ouvrir – modifier – enregistrer des fichiers texte, mais son processus, notepad.exe, ne figure plus dans la liste du Gestionnaire des tâches Windows !!!

Vous n’avez donc aucun moyen de savoir que ce processus tourne sur votre machine ! Essayons donc de re-lister les tâches avec notre rootkit : fu -pl 30

Pas mieux, le processus n’est plus dans la liste. Concrètement, le processus notepad.exe avec l’ID 1132 a été complètement supprimé des réferrences de votre système d’exploitation et Windows n’en suppose même pas l’existance.

Là où ça commence à faire peur, c’est que bien qu’inconnu par le système d’exploitation, le processus a accès aux ressources, à la mémoire, à d’autres processus (ex. Fichier – Ouvrir appelle une instance de l’Explorateur Windows) sans le moindre souci…

L’effet le plus “magique” de ce lab, c’est évidemment la fin. Que se passe-t-il si nous fermons le Bloc notes? Lui, qui est inconnu par le système d’exploitation… Quittez votre Bloc notes.

Eh bien le résultat est plus que basique : le système d’exploitation, comme pour toute autre fermeture d’une tâche, va libérer la mémoire vive que ce processus occupe. Le problème, c’est que dans notre cas il va libérer de la mémoire d’un processus qui n’existe pas; chose qui va résulter par un magnifique bluescreen comme ceci :

Puis, après reboot :

En gros, on nous avertit que ce qui se passe est sérieux : c’est déjà mieux que rien…

4. Prévention

Comme expliqué plus haut, il est nécessaire d’avoir la main sur le système pour y installer un rootkit. Dans ce cas de figure, le rootkit sera utilisé pour dissimuler un backdoor un autre processus malicieux sur votre machine. Dans ce lab, le Bloc notes Windows fera office de backdoor.

Supposons donc une machine compromise sur laquelle nous installons maintenant une solution antivirale. Tout en gardant le rootkit sur votre système, installez Kaspersky Internet Security 7.0 en choisissant “Installation rapide” donc en gardant toutes les options par défaut. A l’étape de l’activation, choisissez “Activer la version d’évaluation”, puis à la fin de l’installation, redémarrez le système.

En démarrant le scan complet de votre système, votre antivirus va évidemment détecter la présence du fichier fu.exe reconnu comme “Rootkit.Win32.Fu”. Si vous cliquez sur Supprimer, vous éradiquez le rootkit de votre machine. Trop facile direz vous. Ne le faites pas, lisez la suite.

Cliquez sur Ignorer afin de ne pas effacer fu.exe.

Imaginons maintenant que votre rootkit n’est pas connu par votre antivirus. Pour représenter ce cas de figure, nous allons ajouter fu.exe aux exclusions mais cette exclusion ne sera effective que pour l’antivirus fichiers. Pour ce faire, allez dans la console de votre KIS 7.0, cliquez sur Antivirus Fichiers puis Ouvrir le rapport. Dans l’onglet “Détectés” vous trouverez l’information du fu.exe détecté au préalable par l’antivirus. Faites un click droit dessus et chosissez “Ajouter la zone de confiance” puis sélectionnez exactement les mêmes options que l’image ci-dessous et validez.

Exécutez maintenant les mêmes opérations que ce que l’on vient de faire dans la partie 3. Manipulation du rootkit et cachez le processus notepad.exe. Une poignée de secondes plus tard, votre antivirus va vous avertir qu’un processus caché a été découvert en vous proposant plusieurs possibilités d’actions à accomplir. Remarquez que le processus caché a été découvert même qu’il s’agit d’un processus inoffensif dans notre cas.

Choisissez, dans le doute, Quarantaine. Vous verrez qu’on arrive à terminer le processus caché sans forcément tout casser en produisant un écran bleu comme c’est le cas si on choisit Terminer ou si l’on quitte l’application comme vu au-préalable.

Conclusion

Dans un premier temps, un système à jour avec tous les patchs de sécurité installés est déjà difficilement atteignable. Dans un second temps, il n’exsite pas de patch pour la connerie humaine donc en évitant de télécharger et ouvrir n’importe quoi, on élimine encore une bonne partie de chances de se faire infecter. Et, finalement, une solution antivirale récente et surtout mise à jour, éliminera encore quelques pourcents des possibilités. En respectant les trois conditions, on arrive à avoir un résultat convaincant, qui tend, dira-t-on, vers zéro pourcent.

—
Définition rootkit (extraits utilisés en introduction de cet article)
FU Rootkit Project

Cette technique s’appelle Zip of death. On l’appelle aussi parfois Zip bomb. En gros, il s’agit de provoquer un buffer overflow en profitant d’une réalisation approximative de l’antivirus qui tourne sur la passerelle mail ou qui analyse le contenu des mailbox exchange. Que les possesseurs de IMSS se sentent concernés par exemple…

Un peu de pratique (lisez la suite avec le sourire) :

Ouvrez le notepad. Posez quelque chose sur la touche ‘a’ de votre clavier et allez boire un café, même deux; allé trois… A votre retour, le fichier contiendra des gigas de a : enregistrez le fichier.

L’étape suivante consiste à profiter de l’intelligence de l’algorythme de compression zip. Compressez votre fichier texte à l’aide de Winzip ou un autre outil. Concrètement, qu’est-ce qui va se passer? – Votre outil de compression va analyser le fichier texte et se dire : “3Go de ‘a’ ” ce qui va donner une archive compressée de 25ko… (je vois le sourire qui se dessine sur votre visage)

Il ne reste donc plus qu’à attacher le zip à un mail et le faire partir à destination d’une passerelle visée. Le process de l’antivirus va joyeusement ouvrir le zip, allouer de la mémoire pour scanner un fichier qui va se transformer en gigas de données à scanner. Dans le meilleur des cas, le processus prendra des heures (dépendant évidemment de la taille initiale du fichier à scanner une fois décompressé); dans le pire, le process crashe.

Les premières apparitions de ce type d’attaque ont été recensés en 2001, la technique étant intéressante même avec une connexion à Internet en 56k. On avait alors observé un envoi massif du fameux 42.zip dont voici un exemple : 42.zip. Le nom du fichier vient de sa taille de 42ko mais qui décrit un contenu compressé de 53To!! Imaginez l’impact….

Remarquons, ceci peut aussi servir à se créer un motif pour passer auprès de la jolie secrétaire et jouer au chevalier sauveteur en lui débloquant son poste qui freeze en analysant le mauvais zip que vous venez de lui déposer sur le disque par le réseau… Cette issue-là n’est pas aussi grave que la première. A vous de voir laquelle vous intéresse…