Domaines, Registrars dans le monde des Malwares

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Site Admin
Site Admin
Messages : 97617
Inscription : 10 sept. 2005 13:57
Contact :

Domaines, Registrars dans le monde des Malwares

Message par Malekal_morte » 23 nov. 2008 17:08

Voici une page sur les domaines, whois et IP dans le monde des malwares.

Cette page vous explique comment obtenir certaines informations sur le site WEB que vous consultez notamment le lieu et où le site Web est hébergé.
Dans certains cas, cela peut permettre ou non de dissiper certains doutes quant à la nature du site, par exemple, pour un site d'antispywares cela peut permettre de déterminer si l'antispyware est un rogue ou non (bien que l'aspect graphique et le contenu sont aussi des indications).

Le whois ("qui est-ce?") permet d'obtenir des informations sur le domaine comme le propriétaire, le Registrar, la date d'enregistrement du domaine etc.
Je vous cache pas qu'en qui concerne les informations sur le propriétaire, il est possible à l'enregistrement du domaine de mettre "n'importe quoi" ce que les auteurs de malwares font en général mais en recoupant les informations on arrive généralement à des choses bizarres ce qui peut permettre de déduire que le site est illicite.
Certains registrars masquent aussi ces informations pour des raisons de confidentialité.

Le site suivant http://network-tools.com/ permet d'effectuer des Whois.
saisissez le nom du domaine, cochez Whois à gauche.

Voici les informations pour le domaine ANTIVIRUSSENTRY.COM (rogue Antivirus Sentry)
Domain Name: ANTIVIRUSSENTRY.COM
Registrar: INTERNET.BS CORP.
Whois Server: whois.internet.bs
Referral URL: http://www.internet.bs
Name Server: NS.ANTIVIRUSSENTRY.COM
Status: clientTransferProhibited
Updated Date: 27-oct-2008
Creation Date: 27-oct-2008
Expiration Date: 27-oct-2009

>>> Last update of whois database: Sun, 23 Nov 2008 07:28:59 EST <<<

Registrars.Domain antivirussentry.com

Date Registered: 2008-10-27
Date Modified: 2008-10-27
Expiry Date: 2009-10-27

DNS1: ns.antivirussentry.com

Registrant
Jack Hall
Tooley 88a
EC1Y 1BL London
United States

Administrative Contact
Jack Hall tooleymail (at) gmail dot com
Tooley 88a
EC1Y 1BL London
United States
Tel: +1.9252465690

Technical Contact
Jack Hall tooleymail (at) gmail dot com
Tooley 88a
EC1Y 1BL London
United States
Tel: +1.9252465690
Le registrar du domaine est INTERNET.BS CORP.
Le domaine a été enregistré le 27 Octobre.
Le Registrant se nomme Jack Hall et est apparemment aux Etats-Unis.
C'est aussi lui le contact Administratif et Technique.

Maintenant regardons le bloc-IP du serveur WEB.
ANTIVIRUSSENTRY.COM has address 79.135.187.43

Un petite tour sur le site http://www.ripe.net/ et tapez l'adresse IP du site WEB : 79.135.187.43
inetnum: 79.135.160.0 - 79.135.191.255
netname: TR-SISTEMNETTELECOM-20071114
descr: Sistemnet Telekomunikasyon ve Bilgi Tek. Tic. Ltd. Sti.
remarks: Sistemnet Co-Location Area
country: TR
org: ORG-STvB1-RIPE
admin-c: SIM1905-RIPE
tech-c: SIM1905-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: Sistem-Net-MNT
mnt-routes: Sistem-Net-MNT
source: RIPE # Filtered

organisation: ORG-STvB1-RIPE
org-name: Sistemnet Telekomunikasyon ve Bilgi Tek. Tic. Ltd. Sti.
org-type: LIR
address: Sistemnet Telekomunikasyon ve Bilgi Tek. Tic. Ltd. Sti.
Buyukdere Rd. Musselles St. Santa Plaza 3th Floor
80280 ESENTEPE / ISTANBUL
Turkey
phone: +902122666060
fax-no: +902122666010
e-mail: connectivity@sistemnet.co.uk
admin-c: SIM1905-RIPE
mnt-ref: Sistem-Net-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Sistemnet Telecom IP Master
address: Buyukdere Rd.
address: Muselles St.
address: Santa Plaza 3th Floor Esentepe
address: Istanbul - Turkey
phone: +90 212 266 60 60
fax-no: +90 212 266 60 10
e-mail: connectivity@sistemnet.co.uk
nic-hdl: SIM1905-RIPE
mnt-by: Sistem-Net-Mnt
source: RIPE # Filtered

% Information related to '79.135.160.0/19AS44097'

route: 79.135.160.0/19
descr: Sistemnet Telecom
origin: AS44097
mnt-by: Sistem-Net-MNT
source: RIPE # Filtered
On voit que le bloc d'IP 79.135.160.0 - 79.135.191.255 appartient à Sistemnet Telecom qui est une une organisation Turc (voir la ligne country: TR)
Vous trouverez la liste des TLD (ccTLD) sur cette page : http://fr.wikipedia.org/wiki/Liste_des_ ... 27Internet afin de déduire le pays.

Pour résumer on a donc un domaine avec appartenant à une personne qui est soit disant aux Etats-Unis, le serveur WEB se trouve en Turquie.
Plutôt bizarre non ?
Et ce sont ces bizarreries qui donnent à penser que ce qui se cache derrière est certainement illicieux.

Quelques autres exemples :
Rogue Ultra Antivirus 2009
Informations Whois etc.. : https://www.malekal.com/fichiers/interne ... ivirus.txt
Les informations du domaine ne sont pas très interressantes, par contre, on voit que le serveur WEB du site se trouve en Russie.

Rogue Antivirus 2010
Informations Whois etc.. : https://www.malekal.com/fichiers/interne ... us2010.txt
Adresse en Ukraine, de même, le bloc d'IP utilisé par le server Web est enregistré en Ukraine.


MailSkinner programme installant l'adware Magic.Control/Navipromo.
Informations Whois etc.. : https://www.malekal.com/fichiers/interne ... kinner.txt
Le site est en français... mais... on peux voir que le nom du propriétaire sonne russe.
De même le bloc d'IP utilisé par le serveur WEB est enregistré en russie.

Autre exemple avec des éléments incohérents avec Defenza : viewtopic.php?f=56&t=3439&p=65837&hilit=Defenza#p65837

Les exemples font légion.

Conclusion

En règle général, les informations données sur le domaine font penser que le site est légitime, Nom et adresse aux Etats-Unis mais il peux arriver que le numéro de téléphone ne soit pas conforme aux format du pays ou le nom de la personne ne sonne pas vraiment américains (par exemple un nom russe avec une adresse aux Etats-Unis).

Le bloc d'IP est importante aussi, car dans l'hébergement de malwares, ce sont souvent les mêmes pays ou AS (Autonomous System) qui reviennent. Il ne faut pas oublier non plus que l'apport d'argents apportés par les auteurs de malwares n'est pas negligeable puisqu'ils enregistrent des domaines, shells etc à tout de bras chaque jour.

Il faut se méfier des pays d'Europe de l'est (Ukraine, Roumanie, Estonie), Russie et Chine. Ainsi, il peut-être interressant de blacklister ces blocs d'IP et ainsi améliorer la sécurité, se reporter à la page Améliorer la sécurité de son PC : Bloquer des IP/Adresses.

De même certains registrars sont connus pour hoster énormément de malwares, c'est/etait le cas d'Estdomains, se reporter aux sujets Chute d'environ 75% du SPAM en un jour Ménage chez Atrivo/Intercage.

A l'heure actuelle, Estdomains a été radié de l'ICANN, les auteurs de malwares vont donc se tourner vers d'autres registrars.
Il semblerait que pour le rogue Antivirus 2009, le registrar BIZCN.COM, INC. soit utilisé pour héberger les les fausses pages donnants de fausses alertes de sécurité.

INTERNET.BS CORP. et YESNIC CO. LTD. semblent être les registrars les plus utilisés pour les domaines des sites WEB de rogues.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Papiers / Articles »