Beaucoup d'internautes.. évaluent la qualité des antivirus sur la protection mail.
Certes c'est important, mais les infections par pièces jointes infectées, c'est de l'histoire ancienne.
Suffit de voir les Spam infectieux (Zhelatin/Storm Team) qui tentent de vous infecter.
La stratégie a complètement changé, avant 2006, les mails étaient accompagnés de pièces jointes infectés.. L'utilisateur ouvrait la pièce jointe puis executé le contenu, il était alors infecté.
- Depuis, les antivirus sont pourvus de scanneurs de mails, afin de scanner les mails avant leur arrivé sur votre client mail.
- Les fournisseurs d'accès proposent des antivirus sur les serveurs de mails.
- Les Webmails (hotmail, gmail, etc.) proposent des antivirus mails.
- Une grande partie des internautes savent maintenant "mail en anglais = pas ouvrir"
Il est donc maintenant beaucoup plus difficiles d'infecter à grand échelle des internautes.
On reçoit divers mails avec des liens (ici c'est pour le poisson d'avil).
En cliquant sur le lien, on se retrouve sur un site WEB.. où il est proposé de télécharger un fichier qui bien sûr est infectieux.
Pour ceux qui sont "hey antimachin vérifie pas les mails"... comme vous pouvez le voir, ça sert de moins en moins puisque maintenant on redirige via du social engineering l'internaute vers un site WEB pour lui faire télécharger un fichier pour bypasser les protections mail qui scannent les pièces jointes infectées.
De plus, suffit de mettre à jour périodiquement le fichier en ligne sur le site ex toutes les 20min pour que les antivirus les plus lents ou qui collent des signatures pourries ne détectent pas le malware et hop c'est l'infection.
Autres exemples de mails avec liens infectieux avec : Trojan-Downloader.Win32.FraudLoad et Trojan-Downloader.Win32.Exchanger
Les vers par messageries instantanées (MSN Messenger & Yahoo! Messenger) supplantent aussi maintenant les vers par messageries, on observe une multiplication de ces vers depuis ces derniers mois.
Je reproduis ici, un post que j'ai fait sur un autre forum :
Je vous donne un lien qui explique comment fonctionne les exploits sur les sites WEB.
Peut-être que vous, la majorité du mot mpack est inconnu.
Vous sous-estimez peut-être la propagation des malwares sur les sites WEB. Pour la majorité des internautes, les virus viennent des mails...
D'ailleurs on le voit ici, vous attachez une grande importance au scan des pièces jointes. C'est de l'histoire ancienne, les vers par mails, ça s'est arreté avec les épisodes mydoom/netsky.
De plus, les internautes sont maintenant avertis, en général mail en anglais = j'ouvre pas.
Les protections contre les pièces jointes infectées sont maintenant efficaces, de nos jours, la majorité des FAI intègres un antivirus au niveau du serveurs mails donc en amont de l'ordinateur de l'internaute.
Bref, j'insiste là dessus, la propagation des infections via des vers par mail, c'est de l'histoire ancienne.
La propagation des malwares maintenant en majorité c'est ;
- des mails avec des liens vers sites WEB contenants des exploits ou en utilisant le social engineering pour faire télécharger l'élément pourrie. Le scan des pièces jointes de l'antivirus n'entrent plus en compte. A l'heure actuelle, c'est la Spam infectieux (Zhelatin/Storm Team) qui est très active dans ce domaine.
Voir aussi ce blog (en anglais) : http://www.cisrt.org/enblog/index.php - Emule, P2P, logiciels avec cracks piégés, crack piégé etc.. Des sites WEB de crack piégés, il y a des sites WEB de crack qui ne sont que des façades, le contenu ENTIER des cracks ammène à l'infection. Voir le sujet Le danger des cracks :
VideoAccessCodec et les cracks : http://forum.malekal.com/ftopic4869.php
Virut.Q via des cracks : http://forum.malekal.com/ftopic5177.php
Bagle se propage par des cracks : http://forum.malekal.com/viewtopic.php?f=33&t=4442
etc.. - ET surtout des sites WEB piégés, ils sont soient volontairement piégés : des sites pornos sponsorisés pour rajouter un exploit, ou ajouter des lien vers de faux codecs qui ammènent à l'infection.
Les auteurs de rogues qui font des infections sponsorisent des sites pornos pour faire cela (histoire de $$$). - Soit et surtout, ils ont été hackés, la page d'index contient une iframe invisible (taille 0/1 pixel) qui redirige vers l'exploit voir (Les Exploits sur les sites WEB piégés)
Mpack est un outil payant (en gros les groupes d'auteurs de malwares l'achètent, oui encore une histoire de
$$$) qui permet de rajouter ces iframes.. contenant les exploits.. en gros, pas besoin d'être un hacker pour hacker des sites WEB.
Bref.. la machine est à la merci de l'internaute.
Il fournit aussi des stats (nombre de machines infectées par pays etc..).
En Anglais :
Voir : http://www.lesnouvelles.net/illustrations/mpack.png
http://pandalabs.pandasecurity.com/arch ... 2100_.aspx
En français :
http://www.zataz.com/news/14642/mpack-icepack.html
http://www.zataz.com/news/14750/mpack-0 ... inium.html
D'un simple clic, il peut mettre à jour les exploits sur les sites WEB etc.. Concrètement, si demain une nouvelle faille sort, il est possible de mettre à jour les exploits pour utiliser un nouvelle exploit pour cette faille.
L'exploit et la nouvelle infection sera en ligne très rapidemment...
Le temps que la faille soit corrigée... la nouvelle infection va se répandre.
Les AV se doivent alors d'intégrer cette nouvelle infection.
Certains AV vont mettre qq heures pour intégrer l'infection d'autres 6/15 jours pour l'intégrer comme Avast! Pendant ce temps là, vous êtes vulnérables.
Dernièrement le forum d'Avast! a été hacké par mpack : http://forum.malekal.com/ftopic4646.php
(faut pas leur jeter la pierre, pour ceux qui ont un forum TENEZ LE A JOUR).
Il est en est de même pour les infections MSN , pour vous donner une idée, 14 pages de variantes depuis MAI : http://www.cisrt.org/bbs/forumdisplay.php?fid=12&page=1
Dans mes tests, je n'avais pris que de juin à Juillet avec celles dont les messages sont en FR (suceptibles d'être donc très présentes en France).. Je peux vous garantir que dans le tas, Avast! doit vraiment en détecter très peu.
Il n'y a pas les variantes banload etc.. dans cette liste.. c'est juste un aperçu.
Si vous regardez, la page cisrt.org vous verrez qu'il sort maintenant plusieurs variantes d'infection MSN par jour.
Cela va donc très vite, si votre antivirus n'est pas réactif et si vous n'êtes pas averti de ce type d'infection, c'est le piège et vous êtes infectés.
Il existe d'autres types de propagation, d'autres malwares...
J'aborde pas la partie vol de numéro CB, documents (ransomware) les adwares, les rogues etc..
On pourrait faire un blalb entier pour chaque type d'infection, le but de chaque infection, c'est de faire des $.
Ca ne fait pas que des $ pour les auteurs de malwares mais aussi pour les registars, les régies de pubs etc... et effectivement ça créé de la demande pour se protéger donc en premier les antivirus... mais aussi les sociétés spécialisés dans la sécurité pour les entreprises, les hébergeurs etc...
Néanmoins pour les particuliers on peut très bien se protéger gratuitement... même si pour le moment le réflexe c'est un peu du n'importe quoi (Avast!, spybot, adaware 2007..), j'empile les logiciels de protections, je me baricade... parfois 3-4 antispyware (souvent les plus médiocre.. parce que bon Spybot et Adaware voila quoi)... la machine n'avance plus .
A côté de ça, aucun logiciel à jour, le navigateure WEB c'est du gruyère...
Je surf n'importe où, je clic sur n'importe quel lien.. je télécharge n'importe quoi et voila.
Le papier d'honeynet sur les sites WEB malicieux, (il est anglais), c'est très interressant et ça donne un bon aperçu du fonctionnement des exploits sur les sites WEB, je vous invite vraiment à le lire:
http://www.honeynet.org/papers/mws/KYE- ... ervers.htm