Threatscape Report - January 2010 Edition

[Curson]

Bonsoir à tous,

Fortinet publie un rapport des tendances infectieuses de ce derniers mois. Les botnets y sont représentés de manière importante, notamment Gumblar et Bredolab.
Voir : Bredolab Gearing Up for Web Spam

While activity levels have dropped, Bredolab continued its reign this period with variants in the top two spots - together accounting for more than 40% of total detected malware volume

Lire la suite : http://www.fortiguard.com/report/roundu ... _2010.html


Cordialement.

[Malekal_morte]

Ouaip lui, le patch atapi.sys (et les rogues qui vont avec) et Sasfis sont assez présent.
Koobface fait aussi un grand retour via exploit depuis 1 semaine et demi.

[Curson]

Effectivement.
Il serait intéressant de savoir si l'analyse a été réalisée uniquement sur la base des détections de leurs produits ou sur les détections globales.

Si l'on prend l'exemple de TDL3, Fortinet ne détecte vraiment pas grand-chose que ce soit le dropper, le driver ou encore tdlcmd.dll.

[Malekal_morte]

Il y a moins de patch atapi.sys qu'au début.

En plus la détection a l'air d'être fait pour un peu tour et n'importe quoi derrière (la magie de la détection sur les packers) :
http://www.virustotal.com/tr/analisis/6 ... 1256157829
http://www.virustotal.com/tr/analisis/6 ... 1256157829
(voir le lien en bas TE) qui donne : winnetworkstatus.com
qui est lié du FakeAlert / rogue.

[Curson]

En effet.
Je me demande s'il ne s'agit pas ici de packer personnalisé. PEiD ne voit rien.

[Malekal_morte]

Après Bredo ça doit être gros mais je me demande si Sasfis est pas plus gros car il est très présent par exploit.

[Curson]

Bredolab est quand même en perte de vitesse ces dernières semaines au contraire de Sasfis. Je pense que ce dernier va probablement se propager encore plus d'ici peu.

Edit : il semblerait qu'il soit distribué notamment par le Eleonore Exploits Pack :

SASFIS variants usually be downloaded while visiting sites that have been compromised using the Eleonore Exploits Pack as a file named load.exe. Upon execution, these create temporary files and modify registry entries. They then attempt to send a GET request to a remote site to download another file usually named max.exe, which will again download another file named max_b.exe, a FAKEAV variant.

[Malekal_morte]

Ouaip.
C'est surtout que quand il sort, c'est casi 0 partout : http://forum.malekal.com/visitstats-net ... 23245.html
Ca fait mal.

Après le botnet il fait download du TDL3, Zbot/Koobface et rogues.

[Curson]

Une analyse intéressante du bot et du C&C :
Analyzing Sasfis Botnet Communications

[Malekal_morte]

yep.
Ex d'une URL : hxtp://mirikas.cn/class/bb.php?v=200&id=224433452&b=6706157884&tm=10
Ca te retourne les param suivants :

i	runurl:http://shashacn.cn/dogma.exe|taskid:31| ... hashacn.cn

Du coup, tu récups toutes les URL des divers Sasfis et tu fais un script qui pompe les url pour récup d'autres samples qui sont téléchargés au botnet!