Les virus par email

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87609
Inscription : 10 sept. 2005 13:57
Contact :

Les virus par email

Message par Malekal_morte » 31 janv. 2015 19:36

Les emails malicieux existent depuis de très nombreuses années. Voici un récapitulatif de la genèse et des quelques méthodes utilisées. L'objectif est bien entendu de mieux connaitre afin de mieux savoir comment éviter les virus envoyés par mail.

Historiques des campagnes

2000-2004 : Les vers de messageries

Un vers informatique est un code malveillant capable de s'auto-reproduire et de se déplacer à travers un ou des réseau(x), sa particularité c'est qu'il n'a pas besoin d'un support physique ou logique : disque dur, fichier, etc.. il assure sa survie et ses mutations à travers les réseaux.

Les vers actuels se propagent principalement grâce aux messageries électroniques par l'envoi de fichiers attachés. Une fois infecté, le ver va envoyer des copies de lui même aux destinataires du carnet d'adresses de la victime et ainsi de suite de manière quasi-exponentielle.

De 2000 à 2004 des vers de messageries ont été créés, des noms connus tels que "W32.Mydoom.M", le vers "Sobig" ou encore le vers "I Love You" ont infectés des millions de Windows à travers le monde. A l'époque, les réelles "campagnes", au sens que l'on connait aujourd'hui, en était qu'à leurs balbutiements et les internautes n'étaient absolument pas informés des risques et des menaces liés aux usages des réseaux et des outils informatiques.

Image

Image


2007 : Zhelatin/Storm

2007, les criminels professionnels entre en piste, des campagnes plus sophistiquées voient le jour avec notamment le ver Storm/Zhelatin/Peacomm/Nuwar. Le nom Storm vient de la première campagne qui a su exploiter la panique qu'à engendré la tempête Cyril qui a frappé le nord de l'Europe.

La vidéo suivante montre Storm :


Les innovations apportées sont multiples :
  • Utilise la technologie Rootkit Kernel-mode.
  • Utilise des liens cliquables externes au lieu de pièges jointes.
  • Utilise des thématiques / évènements (Saint Valentin, Poisson d'Avril, Noêl,...).


Quelques exemples de campagnes.

Ici le mail consiste à donner des liens qui conduisent aux binaires malicieux.
Image
Image

Storm Worm : Campagne MP3 World

Image

D'autres campagnes : Storm / Waledac - Kelihos

Storm Worm : campagne email célébrités nues

Image


Mi-2008 : scarewares - faux logiciels

Trojan-Downloader.Win32.Exchanger avait pour but de faire installer des faux logiciels : rogues/scarewares. A partir de maintenant, nous n'avons plus à faire à des vers mais à des zombies organisés par réseaux botnets dédiés aux activités : spam. Les botnets sont loués et servent à la gestion complète des campagnes malicieuses. Durant cette période va s'opérer une segmentation marquée des activités criminelles : un véritable éco-système se met alors en place.

Ces campagnes utilisaient plusieurs thématiques :
  • célébrités qui redirigeaient vers l'installation de faux codecs
  • news reprenant CNN vers de faux lecteurs
Le but est de trouver un prétexte pour faire cliquer l'internaute et l'attirer dans un piège.
Le programme téléchargé et executé, un rogue (faux-logiciel) était installé sur Windows.

Image

Image

Image

Image


2009+ : TDSS + Zeus/Zbot

D'autres campagnes diffuseront des programmes spécialisés dans les vols d'identifiants et d'informations bancaires, c'est le cas de : Zeus/Zbot ou TDSS.

La particularité des campagnes c'est d'exploiter l'image et les services d'entreprises connues comme : UPS, DHL Service, Facebook, Banques etc.. Généralement, ces pourriels redirigeaient vers des exploits WEB ( l'automatisation des infections )

Image

Mail ecard : Zbot/Zeus et TDSS.

Microsoft Outlook Critical Update - Zbot/Zeus

Image

Image

DHL Service :

Image

Faux email Facebook :
Image

ou encore MySpace ou UPS.


2014/2015 : Upatre & Dalexis

2014/2015 ont vu des campagnes Upatre puis en 2015 de TrojanDownloader:Win32/Dalexis. Ces deux malwares sont des trojans downloader qui ont pour but de télécharger d'autres codes malveillants. Notamment d'installer des rançongiciels chiffreurs de fichiers.

Ces campagnes visent surtout les anglophones et reprennent une nouvelle fois les entreprises connues implantées sur la toile comme : Fax Services, Voice Message. A chaque fois des pièces jointes malicieuses sont utilisées.

Image

Image

Image

Image


Les techniques employées

Comme vous l'avez constaté : deux méthodes sont utilisées pour infecter les internautes.

- pièces jointes malicieuses : l'utilisateur ouvre / exécute le fichier attaché.
- liens cliquables : l'utilisateur clique et cela redirige vers un programme ou vers un exploit WEB.

Tous les moyens sont bons pour tromper les victimes, l'ingenerie sociale ( social engeenering ), l'utilisation d'évènements prévisibles ( qui abaissent la vigilance ), l'utilisation de la "personnalisation du faux" : sites, logiciels, services d'entreprises, documents, logos,... Si en majorité les campagnes sont en langue anglaise, il peut arriver que des campagnes ciblées soient en français. Vous trouverez des exemples sur cette page.

Image

Image


Double extension

La double extension est un grand classique qui consiste à utiliser une icône connue sur un programme, par exemple celle d'un fichier PDF puis d'utiliser quelque chose comme ".pdf.exe" En effet, Windows par défaut masque les extensions de fichiers connus, l'internaute ne verra donc qu'un fichier avec une icône PDF et pensera alors que c'est un banal document PDF alors qu'il s'agit d'un exécutable. Ces anciennes méthodes étaient utilisées dès 2007 par les vers MSN : ces derniers se faisaient passer pour des photos.

Il y en a même eu avec des pièces jointes malicieuses en .gadget. Microsoft a depuis éliminé Gadget en reconnaissant qu'il s'agissait d'un véritable coupe-gorge : Les gadgets peuvent être exploités pour endommager votre ordinateur, accéder à vos fichiers, afficher du contenu répréhensible ou encore changer de comportement à tout moment. Un attaquant peut même utiliser un gadget pour prendre le contrôle intégral de votre PC. [ source: http://windows.microsoft.com/fr-FR/windows/gadgets ]

Image

Autre exemple avec des zips contenant un fichier .js ou chm - voir les cas Defender Pro 2015 et TeslaCrypt.


Scripts malicieux (WSH - Windows Scripting Host)

Des pièces jointes VBS peuvent être utilisées ( voir Malwares VBS / WSH (Windows Scripting Host) ) et surtout du JavaScript par la suite. Il est donc fortement conseillé de désactiver les scripts : Comment se protéger des scripts malicieux sur Windows.


Pour limiter la portée des emails malicieux, vous pouvez installer le programme Marmiton permet de filtrer ces scripts.

Image


Documents Microsoft Office piégés (Macros)

Il est possible d'infecter des Windows avec des documents Office ( Word, Excel, Access,.. ) avec des macros, Dridex s'en est fait une spécialité. Fin 2015, il est à l'origine des infections du ransomware Locky : Campagne Emails Word Malicieux

Sur la captures ci-dessous, on peut voir "Winword.exe" qui télécharge et exécute un programme.
Image

Le programme fait ensuite une requête WEB pour se connecter au serveur.
Windows est alors sous contrôle et les activités criminelles peuvent commencer.

Image

En vidéo :


En cas de doute, analyser le fichier sur VirusTotal. Si des détections sont présentes, n'ouvrez surtout pas le fichier. Si vous regardez bien, quasiment toutes les pièces jointes malicieuses utilisent des fichiers .zip - vous devez donc prêter une attention particulière à ces fichiers. Sans utiliser une seule macro, certains documents Word / Excel peuvent être tout aussi dangereux : mettez régulièrement vos logiciels à jour.

Image

Prenez le temps de lire le contenu de l'email. Vous y décèlerez peut être des anomalies, des fautes, des erreurs de syntaxes ou des éléments qui laissent à penser que celui-ci n'est pas authentique.

Voici un exemple de courriel légitime émanant de Free :

Image

Et ci-dessous, un courriel malicieux :

Image

Vous devez donc retenir ceci :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité