Vers de messageries ne sont plus vecteur 1er des infections

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Site Admin
Site Admin
Messages : 95419
Inscription : 10 sept. 2005 13:57
Contact :

Vers de messageries ne sont plus vecteur 1er des infections

Message par Malekal_morte » 25 sept. 2007 20:02

Je voudrais mettre quelques choses au point...
Beaucoup d'internautes.. évaluent la qualité des antivirus sur la protection mail.
Certes c'est important, mais les infections par pièces jointes infectées, c'est de l'histoire ancienne.


Suffit de voir les Spam infectieux (Zhelatin/Storm Team) qui tentent de vous infecter.
La stratégie a complètement changé, avant 2006, les mails étaient accompagnés de pièces jointes infectés.. L'utilisateur ouvrait la pièce jointe puis executé le contenu, il était alors infecté.
  • Depuis, les antivirus sont pourvus de scanneurs de mails, afin de scanner les mails avant leur arrivé sur votre client mail.
  • Les fournisseurs d'accès proposent des antivirus sur les serveurs de mails.
  • Les Webmails (hotmail, gmail, etc.) proposent des antivirus mails.
  • Une grande partie des internautes savent maintenant "mail en anglais = pas ouvrir"
    Il est donc maintenant beaucoup plus difficiles d'infecter à grand échelle des internautes.
Prenons l'exemple du mailling de SPAM (Zhelatin/Storm Team) d'avril 2008.
On reçoit divers mails avec des liens (ici c'est pour le poisson d'avil).

Image

En cliquant sur le lien, on se retrouve sur un site WEB.. où il est proposé de télécharger un fichier qui bien sûr est infectieux.
Image

Pour ceux qui sont "hey antimachin vérifie pas les mails"... comme vous pouvez le voir, ça sert de moins en moins puisque maintenant on redirige via du social engineering l'internaute vers un site WEB pour lui faire télécharger un fichier pour bypasser les protections mail qui scannent les pièces jointes infectées.

De plus, suffit de mettre à jour périodiquement le fichier en ligne sur le site ex toutes les 20min pour que les antivirus les plus lents ou qui collent des signatures pourries ne détectent pas le malware et hop c'est l'infection.

Autres exemples de mails avec liens infectieux avec : Trojan-Downloader.Win32.FraudLoad et Trojan-Downloader.Win32.Exchanger


Les vers par messageries instantanées (MSN Messenger & Yahoo! Messenger) supplantent aussi maintenant les vers par messageries, on observe une multiplication de ces vers depuis ces derniers mois.


Je reproduis ici, un post que j'ai fait sur un autre forum :

Je vous donne un lien qui explique comment fonctionne les exploits sur les sites WEB.
Peut-être que vous, la majorité du mot mpack est inconnu.

Vous sous-estimez peut-être la propagation des malwares sur les sites WEB. Pour la majorité des internautes, les virus viennent des mails...

D'ailleurs on le voit ici, vous attachez une grande importance au scan des pièces jointes. C'est de l'histoire ancienne, les vers par mails, ça s'est arreté avec les épisodes mydoom/netsky.

De plus, les internautes sont maintenant avertis, en général mail en anglais = j'ouvre pas.
Les protections contre les pièces jointes infectées sont maintenant efficaces, de nos jours, la majorité des FAI intègres un antivirus au niveau du serveurs mails donc en amont de l'ordinateur de l'internaute.

Bref, j'insiste là dessus, la propagation des infections via des vers par mail, c'est de l'histoire ancienne.

La propagation des malwares maintenant en majorité c'est ;
  • des mails avec des liens vers sites WEB contenants des exploits ou en utilisant le social engineering pour faire télécharger l'élément pourrie. Le scan des pièces jointes de l'antivirus n'entrent plus en compte. A l'heure actuelle, c'est la Spam infectieux (Zhelatin/Storm Team) qui est très active dans ce domaine.
    Voir aussi ce blog (en anglais) : http://www.cisrt.org/enblog/index.php
  • Emule, P2P, logiciels avec cracks piégés, crack piégé etc.. Des sites WEB de crack piégés, il y a des sites WEB de crack qui ne sont que des façades, le contenu ENTIER des cracks ammène à l'infection. Voir le sujet Le danger des cracks :
    VideoAccessCodec et les cracks : ftopic4869.php
    Virut.Q via des cracks : ftopic5177.php
    Bagle se propage par des cracks : viewtopic.php?f=33&t=4442
    etc..
  • ET surtout des sites WEB piégés, ils sont soient volontairement piégés : des sites pornos sponsorisés pour rajouter un exploit, ou ajouter des lien vers de faux codecs qui ammènent à l'infection.
    Les auteurs de rogues qui font des infections sponsorisent des sites pornos pour faire cela (histoire de $$$).
  • Soit et surtout, ils ont été hackés, la page d'index contient une iframe invisible (taille 0/1 pixel) qui redirige vers l'exploit voir (Les Exploits sur les sites WEB piégés)
    Mpack est un outil payant (en gros les groupes d'auteurs de malwares l'achètent, oui encore une histoire de
    $$$) qui permet de rajouter ces iframes.. contenant les exploits.. en gros, pas besoin d'être un hacker pour hacker des sites WEB.
Il fournit une console de gestion des machines infectées, IP, localisation (lattitude/longitude) de l'ordinateur infecté, on voit si vous êtes connectés, uploader des fichiers sur la machine.. etc... etc...
Bref.. la machine est à la merci de l'internaute.
Il fournit aussi des stats (nombre de machines infectées par pays etc..).

En Anglais :
Voir : http://www.lesnouvelles.net/illustrations/mpack.png
http://pandalabs.pandasecurity.com/arch ... 2100_.aspx
En français :
http://www.zataz.com/news/14642/mpack-icepack.html
http://www.zataz.com/news/14750/mpack-0 ... inium.html

D'un simple clic, il peut mettre à jour les exploits sur les sites WEB etc.. Concrètement, si demain une nouvelle faille sort, il est possible de mettre à jour les exploits pour utiliser un nouvelle exploit pour cette faille.
L'exploit et la nouvelle infection sera en ligne très rapidemment...
Le temps que la faille soit corrigée... la nouvelle infection va se répandre.
Les AV se doivent alors d'intégrer cette nouvelle infection.
Certains AV vont mettre qq heures pour intégrer l'infection d'autres 6/15 jours pour l'intégrer comme Avast! Pendant ce temps là, vous êtes vulnérables.

Dernièrement le forum d'Avast! a été hacké par mpack : ftopic4646.php
(faut pas leur jeter la pierre, pour ceux qui ont un forum TENEZ LE A JOUR).

Il est en est de même pour les infections MSN , pour vous donner une idée, 14 pages de variantes depuis MAI : http://www.cisrt.org/bbs/forumdisplay.php?fid=12&page=1

Dans mes tests, je n'avais pris que de juin à Juillet avec celles dont les messages sont en FR (suceptibles d'être donc très présentes en France).. Je peux vous garantir que dans le tas, Avast! doit vraiment en détecter très peu.
Il n'y a pas les variantes banload etc.. dans cette liste.. c'est juste un aperçu.

Si vous regardez, la page cisrt.org vous verrez qu'il sort maintenant plusieurs variantes d'infection MSN par jour.
Cela va donc très vite, si votre antivirus n'est pas réactif et si vous n'êtes pas averti de ce type d'infection, c'est le piège et vous êtes infectés.

Il existe d'autres types de propagation, d'autres malwares...

J'aborde pas la partie vol de numéro CB, documents (ransomware) les adwares, les rogues etc..
On pourrait faire un blalb entier pour chaque type d'infection, le but de chaque infection, c'est de faire des $.
Ca ne fait pas que des $ pour les auteurs de malwares mais aussi pour les registars, les régies de pubs etc... et effectivement ça créé de la demande pour se protéger donc en premier les antivirus... mais aussi les sociétés spécialisés dans la sécurité pour les entreprises, les hébergeurs etc...
Néanmoins pour les particuliers on peut très bien se protéger gratuitement... même si pour le moment le réflexe c'est un peu du n'importe quoi (Avast!, spybot, adaware 2007..), j'empile les logiciels de protections, je me baricade... parfois 3-4 antispyware (souvent les plus médiocre.. parce que bon Spybot et Adaware voila quoi)... la machine n'avance plus .
A côté de ça, aucun logiciel à jour, le navigateure WEB c'est du gruyère...
Je surf n'importe où, je clic sur n'importe quel lien.. je télécharge n'importe quoi et voila.


Le papier d'honeynet sur les sites WEB malicieux, (il est anglais), c'est très interressant et ça donne un bon aperçu du fonctionnement des exploits sur les sites WEB, je vous invite vraiment à le lire:
http://www.honeynet.org/papers/mws/KYE- ... ervers.htm
Dernière édition par Malekal_morte le 02 oct. 2007 18:23, édité 5 fois.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Diamond
Geek à longue barbe
Geek à longue barbe
Messages : 1151
Inscription : 31 janv. 2007 22:36

Message par Diamond » 27 sept. 2007 22:04

Ouaip c'est un des arguments de beaucoup de gens pour ne pas prendre Antivir. Faudrait que tu le rajoutes dans tes tutos concernant Antivir, pour que ceux qui lisent ce paragraphe comprennent que ce n'est pas un manque.
>>>N'hésitez pas à consulter les liens ci-dessous !
-Sécuriser son ordinateur
-Soutenez Malekal en faisant un don !
ImageImage

Malekal_morte
Site Admin
Site Admin
Messages : 95419
Inscription : 10 sept. 2005 13:57
Contact :

Message par Malekal_morte » 27 sept. 2007 22:54

oui je comptais le faire.
J'ai fait une note en bas de cette page : sutra28023.php#28023
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

zeb124

Re: Vers de messageries ne sont plus vecteur 1er des infections

Message par zeb124 » 10 oct. 2007 15:47

Salut,

Pourtant, d'après cette statistique,
http://www.f-secure.com/virus-info/statistics/
Le ver Email-Worm.Win32.Mydoom.m est toujours d'actualité, et c'est bien un ver de messagerie.

Alors ?

Malekal_morte
Site Admin
Site Admin
Messages : 95419
Inscription : 10 sept. 2005 13:57
Contact :

Re: Vers de messageries ne sont plus vecteur 1er des infections

Message par Malekal_morte » 10 oct. 2007 16:10

Ce sont des restes d'utilisateurs qui ne font pas de nettoyages dans leurs clients mails et dont les mails infectés sont scannés par les antivirus en ligne et alimentent leurs stats.

A l'heure actuelle, ces vers vieux de 4 ans sont bloqués par la majorité des antivirus des serveurs smtp des FAI donc n'arrivent casi plus dans la BAL des internautes.

Voir : viewtopic.php?p=36126#p36126
Illustration : viewtopic.php?p=36795#p36795

Le danger c'est bien les vers MSN... car les internautes ne connaissent pas ces menances (alors que une majorité, mails anglais = j'ouvre pas), utilisent en majorité des antivirus qui ne les bloque mm pas car trop lent à intégrer ces infections dont de nouvelles variantes sortent tous les deux jours.
Ex Avast! met environ 10 jours pour intégrer ces variantes, pareil pour McAfee, ce qui laisse le temps à ces infections de se propager.

Je t'invite à aller faire un tour sur les forums de désinfections (ici, zebulon.fr, telecharger.com), tu verras que ça traite pas de netsky ni mydoom!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


zeb124

Re: Vers de messageries ne sont plus vecteur 1er des infections

Message par zeb124 » 10 oct. 2007 18:25

Je te remercie pour ces précisions.


Répondre

Revenir vers « Papiers / Articles »