Threatscape Report - January 2010 Edition

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Curson

Threatscape Report - January 2010 Edition

par Curson »

Bonsoir à tous,

Fortinet publie un rapport des tendances infectieuses de ce derniers mois. Les botnets y sont représentés de manière importante, notamment Gumblar et Bredolab.
Voir : Bredolab Gearing Up for Web Spam
While activity levels have dropped, Bredolab continued its reign this period with variants in the top two spots - together accounting for more than 40% of total detected malware volume
Lire la suite : http://www.fortiguard.com/report/roundu ... _2010.html


Cordialement.
Malekal_morte
Messages : 111500
Inscription : 10 sept. 2005 13:57

Re: Threatscape Report - January 2010 Edition

par Malekal_morte »

Ouaip lui, le patch atapi.sys (et les rogues qui vont avec) et Sasfis sont assez présent.
Koobface fait aussi un grand retour via exploit depuis 1 semaine et demi.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Curson

Re: Threatscape Report - January 2010 Edition

par Curson »

Effectivement.
Il serait intéressant de savoir si l'analyse a été réalisée uniquement sur la base des détections de leurs produits ou sur les détections globales.

Si l'on prend l'exemple de TDL3, Fortinet ne détecte vraiment pas grand-chose que ce soit le dropper, le driver ou encore tdlcmd.dll.
Malekal_morte
Messages : 111500
Inscription : 10 sept. 2005 13:57

Re: Threatscape Report - January 2010 Edition

par Malekal_morte »

Il y a moins de patch atapi.sys qu'au début.

En plus la détection a l'air d'être fait pour un peu tour et n'importe quoi derrière (la magie de la détection sur les packers) :
http://www.virustotal.com/tr/analisis/6 ... 1256157829
http://www.virustotal.com/tr/analisis/6 ... 1256157829
(voir le lien en bas TE) qui donne : winnetworkstatus.com
qui est lié du FakeAlert / rogue.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Curson

Re: Threatscape Report - January 2010 Edition

par Curson »

En effet.
Je me demande s'il ne s'agit pas ici de packer personnalisé. PEiD ne voit rien.
Malekal_morte
Messages : 111500
Inscription : 10 sept. 2005 13:57

Re: Threatscape Report - January 2010 Edition

par Malekal_morte »

Après Bredo ça doit être gros mais je me demande si Sasfis est pas plus gros car il est très présent par exploit.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Curson

Re: Threatscape Report - January 2010 Edition

par Curson »

Bredolab est quand même en perte de vitesse ces dernières semaines au contraire de Sasfis. Je pense que ce dernier va probablement se propager encore plus d'ici peu.

Edit : il semblerait qu'il soit distribué notamment par le Eleonore Exploits Pack :
SASFIS variants usually be downloaded while visiting sites that have been compromised using the Eleonore Exploits Pack as a file named load.exe. Upon execution, these create temporary files and modify registry entries. They then attempt to send a GET request to a remote site to download another file usually named max.exe, which will again download another file named max_b.exe, a FAKEAV variant.
Malekal_morte
Messages : 111500
Inscription : 10 sept. 2005 13:57

Re: Threatscape Report - January 2010 Edition

par Malekal_morte »

Ouaip.
C'est surtout que quand il sort, c'est casi 0 partout : http://forum.malekal.com/visitstats-net ... 23245.html
Ca fait mal.

Après le botnet il fait download du TDL3, Zbot/Koobface et rogues.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Curson

Re: Threatscape Report - January 2010 Edition

par Curson »

Une analyse intéressante du bot et du C&C :
Analyzing Sasfis Botnet Communications
Malekal_morte
Messages : 111500
Inscription : 10 sept. 2005 13:57

Re: Threatscape Report - January 2010 Edition

par Malekal_morte »

yep.
Ex d'une URL : hxtp://mirikas.cn/class/bb.php?v=200&id=224433452&b=6706157884&tm=10
Ca te retourne les param suivants :
Du coup, tu récups toutes les URL des divers Sasfis et tu fais un script qui pompe les url pour récup d'autres samples qui sont téléchargés au botnet!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Actualité & News Informatique »