Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

[Etude] Les virus Mass-Mailer -- les coulisses

Messages recommandés

Sécurité: la dangereuse mutation du ver "mass-mailer"

Par Christophe Guillemin

ZDNet France

Mercredi 3 mars 2004

 

Enquête – Alors que le ver Netsky.D est classé en tête des alertes antivirus, le plus dangereux demeure pourtant l'apparition ce week-end de cinq variantes de Bagle. Elles contournent les protections classiques et ouvrent des portes dérobées. Une tendance inquiétante.

 

Depuis le 1er mars, les éditeurs de logiciels antivirus concentrent leurs alertes sur l'apparition d'un énième ver autorépliquant baptisé  Netsky.D, dont la principale caractéristique est de se multiplier à grande vitesse par e-mail. Or ce virus "mass-mailer" constitue un danger très relatif en matière de sécurité informatique, puisque son effet majeur est la saturation des serveurs de courrier.

 

Une autre menace est nettement plus préoccupante. En seulement 48 heures, sont apparues le week-end dernier cinq variantes du ver Bagle. Si elles possèdent tous les attributs d'un mass-mailer, elles créent pourtant une insécurité réelle en ouvrant des portes dérobées ("backdoors") sur les machines infectées.

 

Comme leurs grands frères, les Bagle C, D, E et F se transforment ainsi en virus troyen (fonctions d'un cheval de Troie), pour ouvrir une backdoor sur les systèmes touchés. Dans ces cas précis, ils utilisent un port TCP particulier, le port 2745, par lequel ils envoient, aux présumés auteurs du virus en Allemagne, un message contenant des informations sur la machine infectée.

 

«Ces backdoors permettent aux pirates de se servir des machines infectées comme relais pour du spam: faire office de serveurs web avec du contenu interdit, lancer des attaques [par saturation] en déni de service», constate Eyal Dotan, responsable recherche et développement de Tegam. Cet éditeur d'antivirus observe depuis longtemps le comportement "furfif" des nouvelles menaces virales. «Certaines backdoors permettent également de cartographier le parc informatique infecté. Ces informations sont renvoyées aux auteurs de ces vers; mais elles peuvent également être mises à disposition d'autres pirates pour lancer ensuite des attaques ciblées.»

 

Netsky.D pourtant classé en "alerte de niveau 1"

 

«Cela laisse à la communauté des "hackers" des machines en libre-service», explique pour sa part à ZDNet Alexandre Durante, directeur général de l'éditeur antivirus F-Secure France. Finalement, admet-il , «Netsky.D est moins dangereux que les variantes de Bagle». Pourquoi alors est-il classé en alerte 1 chez F-Secure, le plus haut niveau, alors que Bagle et ses variantes demeurent à 2? «Sa propagation est plus importante», répond M Durante. Pour F-Secure, le principal critère ce n'est donc pas la dangerosité du virus sur l'intégrité du système informatique infecté, mais sa capacité de nuisance sur tout son environnement.

 

Pourtant, la tendance la plus inquiétante en matière de sécurité informatique est bien cette mutation des virus-vers en chevaux de Troie, comme l'acquiesce Philippe Bourgeois, ingénieur sécurité au Cert-IST, le Centre de surveillance pour les secteurs de l'industrie, des services et du tertiaire.

 

«Pour une entreprise, le fait de recevoir un mass-mailer est moins grave que de voir ouvrir des backdoors, car cela permet de prendre le contrôle à distance d'une ou plusieurs machines. Cela engendre des risques de vol d'informations et d'utilisation des postes infectés pour réaliser d'autres attaques.»

 

Collaboration entre les auteurs de virus

 

Pour Eyal Dotan, les épidémies de type Bagle reposent sur une collaboration entre les auteurs de virus. «Ces vers donnent des signes de convergence et d’organisation entre différents types de communautés d’acteurs malveillants, qui peuvent travailler ensemble et se relayer», observe-t-il. «Bagle.B contacte des sites web pour y envoyer des informations sur les machines infectées, en utilisant une sorte de protocole d'échange générique. Ce dernier échange contient l'adresse IP de la machine infectée, ainsi que le port d'écoute. Ainsi, ce même protocole peut être utilisé par n'importe quel autre ver pour remonter des informations à ce même serveur, tout en établissant la cartographie des machines infectées.»

 

Le responsable de Tegam s'attend donc à un développement de ces «protocoles de communication et d'échange de données, qui pourront servir à l'ensemble de la communauté des auteurs de virus et des pirates».

 

L'apparition de cinq variantes de Bagle en deux jours a également porté un coup à la majeure partie des systèmes classiques de protection virale, basés sur une liste de signatures de virus qu'il faut constamment mettre à jour. «Ce week-end, dès qu'un éditeur publiait une mise à jour de ses signatures, le ou les auteurs de Bagle lançaient une contre-mesure en mettant en ligne une variante, pour laquelle il fallait donc une nouvelle mise à jour», confirme Alexandre Durante de F-Secure France.

 

Les dispositifs classiques des éditeurs antivirus contournés

 

Le virus dispose donc d'un pouvoir de substitution presque parfait, décrit Eyal Dotan. «Ces virus et vers ouvrent des backdoors pour permettre à d'autres virus et vers de venir s'installer à leur place. Ainsi, même si la signature du premier virus est connue des antivirus, il sera remplacé par un autre. C'est la technique employée par MyDoom.C ("DoomJuice") pour se substituer à son prédécesseur MyDoom.A.»

 

Une occasion pour Tegam de rappeler opportunément que son logiciel Viguard, qui fonctionne sans mise à jour, a stoppé toutes les versions de Bagle: il détecte le "comportement" des virus sans avoir besoin de leur signature.

 

L'éditeur a déjà réalisé une étude de recherche fin 2001, portant sur l'évolution des techniques d'attaques furtives dans les menaces virales. Elle établissait notamment des scénarios basés sur un virus théorique baptisé "GoodLuck", qui contournait les protections en multipliant ses variantes. De quoi décrire de véritables outils d'espionnage à distance très sophistiqués. Diffusé auprès d'experts en sécurité, notamment ceux du gouvernement français, Tegam a toujours refusé de rendre ce texte accessible au grand public, estimant que les informations qu'il contenait pouvaient tomber entre de mauvaises mains (*).

 

Évoqué en janvier 2002 par le quotidien Le Figaro, ce travail n'avait pas laissé indifférent le chef de la Direction centrale de la sécurité des systèmes d'information (DCSSI), vigie officielle du gouvernement français. «Ce rapport évoque un risque que nous ne pouvons pas écarter», déclarait alors solennellement Henri Serres. Des scénarios d'attaques malveillantes sur les systèmes d'information, avec des moyens inconnus, sont à prendre au sérieux. Mais nous n'avons jamais vu de virus de type GoodLuck jusqu'à présent.»

 

(*) Un résumé du rapport "GoodLuck" a été publié dans la revue Virus Bulletin en juin 2003 ("The scalable stealth trojan: an upcoming danger" - accès payant). Et des parties développées ont été publiées dans la revue spécialisée française MISC, dans ses numéros 10 et 11 de novembre 2003 et janvier 2004 (diffusion également payante).

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Myki, bonsoir à tous,

 

Merci pour cet article !

Je n'ai pas lu l'étude de fin 2001 mais l'article ci-dessus parle de convergence ver-troyen... c'est bien plus généralisé que çà ! il y a imbrication de "toutes" les techniques : spam, spyware, ver, troyen, intrusion, etc.

Comme je l'écrivais dans une autre discussion, chacun des aspects d'un malware est étudié et optimisé comme pour un vrai projet industriel !

Par exemple, au tout début, le virus accroissait la taille des fichiers exécutables avec des infections multiples qui faisaient que les tailles grossissaient beaucoup ! çà a été corrigé en ne réinfectant pas un fichier qui l'était déjà !

Par exemple, il y a quelques années, un virus qui exploitait le carnet d'adresse le faisait maladroitement en envoyant des emails à tout le carnet, maintenant, l'envoi ne semble pas se faire si le destinataire comporte certaines chaînes de caractères comme abuse, symantec, norton, nai, mcafee, bitdefender, etc.

Modifié par ipl_001

Partager ce message


Lien à poster
Partager sur d’autres sites

B'Jour tous,

 

euh je ne suis toujours pas très convaincu par toutes ces spéculations ...

 

Donc je me contenterai de publier des alertes et faits bruts jusqu'à ce qu'un vrai bilan soit fait avec le recul nécessaire et aprés clôture de cet épisode "malwares" encore plus dingue que les précédents ... :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Huhu.

A croire que c'est vrai (ou que ca devrait l'etre...), voici un pléthore d'article sur le sujet.

 

Cachés sous leurs virus, les pirates s'attaquent

04 mars 11:54:52

 

SAN FRANCISCO - Les créateurs de virus ayant récemment revendiqué la paternité de Netsky, MyDoom et Bagle se livrent une guerre par messages interposés, inclus dans le code-source de leurs petits programmes nuisibles, selon des experts de la lutte contre le piratage informatique.

 

De part et d'autre, s'affrontent les "pères" de MyDoom et Bagle - probablement des spécialistes de l'envoi de messages publicitaires non sollicités (spam) - explique Chris Belthoff, analyste chez Sophos, et la personne ou le groupe ayant créé Netsky, qui semble n'avoir aucune motivation commerciale.

 

"C'est presque comme s'ils se disputaient le haut de l'affiche", ajoute Belthoff. "Il se pourrait qu'ils jalousent la publicité que s'attirent leurs rivaux".

 

Les trois virus, qui s'auto-propagent via les carnets d'adresses des internautes, sont apparus au début de l'année. Les logiciels anti-virus ont été mis à jour depuis.

 

Cependant, dans la dernière version de Netsky, baptisée Netsky.F, un message encapsulé dans le code-source proclame: "Bagle - t'es nul". Auparavant, on pouvait lire: "MyDoom.F a volé notre idée".

 

Les codes-source de Mydoom.F, Bagle.I et Bagle.J s'adressent directement au créateur de Netsky. L'un des messages demande: "Ne ruinez pas notre petit commerce? Vous voulez la guerre?".

 

La dernière version de Bagle, Bagle.K, imite un courrier électronique qui émanerait du service technologique d'une grande entreprise tandis que la variante la plus récente de MyDoom, MyDoom.G, ordonne aux ordinateurs infectés de lancer une attaque contre le site internet de Symantec, précise Chris Belthoff.

 

De son côté, Netsky.F, dernier avatar du virus, tente de désactiver les variantes antérieures de MyDoom et de Bagle.

 

Cinq versions mises à jour des trois virus ont été diffusées en l'espace de quelques heures mercredi matin, selon la société russe d'anti-virus Kaspersky Labs.

 

"Il est difficile d'imaginer situation plus comique", constate Eugene Kaspersky dans un communiqué. "Une poignée de pirates jouent impunément avec internet et personne ne fait rien pour mettre fin à cette anarchie".

 

Source Libération

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites
Les virus se livrent une guerre d'insultes

 

Les propos injurieux relevés dans les codes sources des derniers virus soulignent la rivalité qui existe entre les divers auteurs.

 

C'est en langage fleuri que les auteurs de codes malicieux ont décidé de s'interpeller par virus interposés. L'éditeur Sophos révèle en effet la présence de messages orduriers dissimulés dans les codes sources des virus Bagle-J et Bagle-K. Dans le premier - qui, rappelons-le, tente depuis son apparition le 2 mars 2004 de désactiver antivirus et pare-feu et se réplique dans le répertoire d'échange de Kazaa - les auteurs s'adressent à ceux de Netsky de la façon suivante : "Hey,NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?". Le message contenu dans Bagle-K, apparu le lendemain, ne varie guère dans les insultes et ne prend même pas la peine de menacer l'équipe de Netsky de "ruiner notre commerce" et de "commencer la guerre".

 

Bagle n'est apparemment pas le seul à s'en prendre à Netsky. La variante G de MyDoom contient également un message, moins injurieux cependant, qui qualifie notamment Netsky d'application de "mauvaise qualité" ("shitty app"). Netsky aurait répliqué via sa variante F, mercredi 3 mars, par l'insertion suivante : "Skynet AntiVirus - Bagle - you are a looser!!!!". On notera au passage que les auteurs ne s'en sont pas (encore) pris à MyDoom dont le succès des premières versions peut difficilement le faire passer pour un "perdant" (voir édition du 2 février 2004).

 

Les messages cachés dans le code des virus expliquent-ils à eux seuls l'inflation de variantes des Bagle, Netsky et autres MyDoom ces dernières semaines ? "C'est certes la première fois que les messages textuels apparaissent aussi clairement dans le code", estime François Paget, ingénieur antivirus chez McAfee, "mais n'oublions pas que la constante de tous ces virus est l'ouverture d'une porte dérobée [sur l'ordinateur infecté, Ndlr] afin de pouvoir déposer un outil d'attaque." Les messages ne seraient donc qu'un écran de fumée destiné à détourner l'attention des utilisateurs pour préparer une action de plus grande envergure ? "Je n'ai pas d'idée sur la question", avoue l'ingénieur de McAfee, "mais d'une manière générale, les auteurs de virus, ou leur commanditaires, œuvrent tous dans la même direction : positionner des outils intrusifs pour créer une vaste toile mondiale d'ordinateurs vulnérables et vulnérabilisés afin de pouvoir mener d'autres types d'attaques." Les virus s'en prennent notamment aux serveurs de Microsoft, SCO ou la RIAA (voir édition du 2 février).

 

Une guerre - virtuelle - entre organisations criminelles n'est donc pas à exclure dans la mesure où chacun des virus s'attaquerait peut-être au même marché. En effet, chaque nouvelle version tente d'annihiler les capacités de nuisance du virus concurrent. "Je serais tenté de dire que ce n'est rien d'autre que de l'enfantillage", déclare François Paget. Surtout, le porte-parole pense que les éditeurs d'antivirus devraient éviter de communiquer sur cette histoire de messages "qui entretient avant tout l'ego des auteurs". Il est vrai que faire de la publicité aux auteurs de virus n'est pas le meilleur moyen d'inhiber leur motivation. Sauf que la publicité n'est certainement pas la véritable origine de leur action qui tend, selon toute hypothèse, à se criminaliser.

 

Christophe Lagane

 

Source VNUnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites
Les auteurs de virus en pleine guerre psychologique

Par Christophe Guillemin et Jerome Thorel

ZDNet France

Jeudi 4 mars 2004

 

Les créateurs de virus-vers semblent se répartir en deux camps: d'un côté, les auteurs de Mydoom et Bagle; de l'autre, ceux à l’origine de Netsky. Ils s'affrontent par insultes et contre-mesures interposées, devant des éditeurs antivirus presque démunis.

 

L'internet se transforme en champ de bataille: les auteurs des dernières importantes épidémies virales (Mydoom, Bagle et Netsky) s'y affrontent à coups de variantes, publiées à un rythme effréné et d'insultes intégrées dans les codes source.

 

Deux fronts s'opposent. D'un côté, il y a les auteurs de la série Mydoom (7 variantes) et Bagle (11 variantes). Ces deux vers troyens ouvrent des portes dérobées sur les postes infectés, afin d'en prendre le contrôle ou de s'en servir comme relais et lancer des attaques groupées ou envoyer des spams – un phénomène inquiétant, comme l'a révélé notre enquête publiée mercredi.

En face, il y a les auteurs de la série Netsky (6 variantes), nom sûrement inspirée par le virus "Sky Net" du film Terminator 3; ces vers de type "mass-mailer" ne font que saturer les réseaux, sans menacer l'intégrité des machines infectées.

 

Netsky aurait ouvert les hostilités. «Les dernières variantes de Netsky suppriment les clés de la base de registre de Windows, qui font que Mydoom et Bagle se chargent au démarrage», explique à ZDNet  Damase Tricart, chef de produit chez Symantec France.

 

Réponse éloquente du front Bagle, repérée par l'éditeur russe Kaspersky Labs dans le code source de la variante Bagle.I: «Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?» (série de noms d'oiseaux à l'adresse de Netsky qui se termine par ces mots: «arrête de ruiner notre business, tu veux la guerre?»).

 

Les auteurs de Netsky ont tiré les premiers

 

«Pour l'instant il n'y a pas de représailles techniques du côté de Bagle à l'encontre de Netsky, mais cela ne saurait tarder», poursuit Damase Tricart.

 

Pour Kaspersky, c'est bien le signe que la «guerre technologique» entre auteurs de virus prend une nouvelle tournure: «[ils] semblent bel et bien se mener une lutte pour empêcher la profilération de l'un ou l'autre de leurs virus», écrit-il dans un communiqué.

 

Les experts estimaient déjà qu'il y avait une collaboration entre les auteurs de Bagle. «Ces vers donnent des signes de convergence et d’organisation entre différents types de communautés d’acteurs malveillants, qui peuvent travailler ensemble et se relayer», nous disait dans notre enquête Eyal Dotan, responsable R&D de l'éditeur de logiciels antivirus Tegam.

 

«Cette situation nous amène à penser qu'internet va finalement se transformer en arène qui verra une lutte acharnée entre les virus», commente pour sa part Kaspersky. L'occasion pour son fondateur, Eugène Kaspersky, de remettre en avant son souhait de voir émerger un réseau internet moins anonyme, afin de pouvoir retrouver plus facilement les auteurs de virus.

 

«Nous sommes confrontés à une situation vraiment ridicule, où une poignée d'auteurs de virus joue sans complexe avec le réseau mondial sans qu'aucun des membres de la communauté internet ne puisse adopter des mesures efficaces pour mettre fin à cette situation», avance le fondateur. «Cette impuissance ne provient pas d'un manque de volonté de changer la situation, mais bien de l'incompatibilité de l'architecture moderne d'internet avec les exigences de la sécurité informatique». En février 2003, Eugène Kaspersky nous confiait déjà qu'il prônait des «identifiants uniques pour chaque internaute» comme solution miracle à l'insécurité informatique.

 

Le réseau mondial pris en otage?

 

Reste que ces variantes de virus-vers à répétition montrent surtout l'impuissance des systèmes antivirus qui agissent "après l'incendie", selon une liste de signatures à mettre à jour régulièrement. Un modèle de détection sur lequel reposent la plupart des éditeurs du marché, de Symantec (Norton) à McAfee (VirusScan), en passant par Trend Micro (PC Cillin) et... Kaspersky Labs (KAV).

 

L'occasion pour Tegam de mettre en avant son logiciel Viguard basé sur une reconnaissance comportementale (dite "heuristique") des virus, particulièrement efficace, martèlent ses responsables, contre tous les types de virus-vers: de LoveLetter ("Iloveyou") en 2000 aux toutes dernières séries Mydoom, Bagle et Netsky. Il s'agit ainsi de bloquer un virus par son mode de fonctionnement, et non plus par une suite d'octets caractéristiques (la signature propre à chaque variante).

 

Tegam fait face dans cette approche avec l'éditeur norvégien Norman Data Defense Systems, qui a racheté il y a quelques années la société néerlandaise ESASS, connue dans les années 90 pour son logiciel heuristique ThunderByte AntiVirus. Norman s'étend aussi longuement, dans un communiqué du 1er mars 2004, sur la guéguerre qui fait rage par codes source interposés.

 

Du côté de Symantec, on précise que des fonctions de reconnaissance heuristique ont déjà été  intégrées dans Norton afin de stopper les attaques virales par «reconnaissance générique de familles de virus». Mais pour l'instant, ces nouvelles méthodes «n'ont pas encore donné pleinement satisfaction» dans le cas de Mydoom ou Bagle, précise Damase Tricart. Le responsable préfère pointer vers un exemple plus positif: celui du virus Spybot, apparu en octobre 2003 et qui a engendré 500 variantes. «Elles ont toutes été reconnues par le même module sans nécessité de mise à jour.»

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

B'Soir,

 

si ces barjots avaient au moins l'idée de faire des virus antivirus, comme certains autres avec "la guerre des étoiles" ?

 

Hop on ouvre tous les mails et on les laisse se détruire ! Resterait plus qu'à balayer les cadavres.

 

Pour ce qui est des scans heuristiques, F-PROT est très bon, à tel point qu'il faut trier dans les alertes ! Mais ça va encore dépasser le pauvre usager moyen qui ne connait pas les noms des progs qu'il installé ... Big problem, non ? :P

Modifié par O.Fournier

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour à tous,

 

est-ce que vous sauriez quels sont les logiciels qui me permettraient de filtrer les mails que je reçoit qui contiennent un virus ds leur pièce jointe. histoire de m'éviter d'avoir à les supprimer à chaque fois que j'en reçoit.

j'ai pensé au logiciels anti-spams mais je n'ai pas réussi à trouver si oui ou non ils peuvent bloquer ce genre de pourriels. :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Rémi, bonsoir à tous,

bonjour à tous,

 

est-ce que vous sauriez quels sont les logiciels qui me permettraient de filtrer les mails que je reçoit qui contiennent un virus ds leur pièce jointe. histoire de m'éviter d'avoir à les supprimer à chaque fois que j'en reçoit.

j'ai pensé au logiciels anti-spams mais je n'ai pas réussi à trouver si oui ou non ils peuvent bloquer ce genre de pourriels. :-(

... ??? tout simplement un antivirus !!! j'ai du désactiver l'option de scan des e-mails d'AVG (gratuit -> http://www.grisoft.com/us/us_dwnl_free.php ) parce que je voulais conserver les e-mails infectés : il était trop efficace ! :P Modifié par ipl_001

Partager ce message


Lien à poster
Partager sur d’autres sites

Il y a aussi Magic Mail Monitor qui te permet de voir quels mails sont dans tes boites avant de les recuperer avec un client de messagerie, y'a pas un truc du nom de MailWasher aussi?

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×