Rechercher
Derniers sujets
Flux 
COMPTE A REBOURS
Qui est en ligne ?
La menace Storm Worm décryptée par Kaspersky
Page 1 sur 1
La menace Storm Worm décryptée par Kaspersky
Calabrese Ven 15 Fév - 15:07
Saint-Valentin : évitez le coup de foudre pour Storm Worm
Une nouvelle variante de Storm Worm profite de la fête des amoureux pour se propager. Attention aux déclarations d'amour d'inconnus.
Comme lors de quasiment chaque événement mondial, les pirates de tous poils profitent de la Saint Valentin pour propager leur méfaits numériques à l'aide des traditionnelles méthodes de social engineering.
McAfee a lancé une alerte à propos d'un nouvel agent malveillant de la famille Storm Worm qui sévit sur le réseau mondial depuis lundi 12 février 2008. En quelques heures, l'éditeur de solutions de sécurité a identifié plus de 20 variantes de la bestiole baptisée Valentine Nuwar.
Rien de très original dans le mode de propagation de cette nouvelle menace. Nuwar arrive sous la forme d'un spam dans la boîte aux lettres de la future victime l'invitant à cliquer sur un lien pour envoyer des cartes de vœux virtuelles. Le lien en question pointe sur une page qui propose le téléchargement d'une application dont le nom peut être 'valentine.exe', 'sony.exe' ou 'shift.exe'.
Un cheval de Troie derrière une carte de vœux
Application qui, si elle est exécutée, lance un cheval de Troie pour infecter l'environnement informatique de l'utilisateur. "Ce virus va essayer d’extorquer des données personnelles et inscrire les PC dans une armée en ligne", estime François Paget, ingénieur au centre de recherche de McAfee France, cité dans le communiqué de presse. "Cela signifie que votre PC pourra être utilisé pour diffuser des millions d’emails et pour provoquer des attaques par déni de service."
Découvert début 2007, Storm Worm est un ver de type cheval de Troie qui se propage essentiellement à travers l'e-mail envoyé lors de campagnes d'hameçonnage. Les courriels se présentent indifféremment avec ou sans fichier infectieux joint. Ses nombreuses variantes en facilitent la propagation. Selon François Paget, "il y a environ 10 millions de PC dans le monde infectés par Storm Worm. Cette menace représente 1,5 % des spams en circulation". Et la Saint-Valentin 2008 ne va certainement pas arranger la situation.
Indécelables par les moyens traditionnelles, les vers de nouvelle génération type Storm Worm rendent la mise en oeuvre de protection complexe.
Le 13 juin 2007, le FBI révèle par voie de communiqué avoir découvert plus d'un million de PC zombies. Autant de machines faisant parti d'un réseau contrôlé à distance par des pirates (un "botnet"). Surpris par cette annonce, Marc Blanchard, chercheur au laboratoire de Kaspersky, se lance dans une enquête pour comprendre comment un tel botnet a pu se créer aussi rapidement. Il va alors découvrir une nouvelle génération de technologies qui caractérisent désormais les malwares. C'est la génération des Storm Bot qui se propagent notamment par le biais des sites web.
"Les Storm Bot ne sont pas des vers très émergents comme Sasser ou Blaster qui ont envahi la planète en quelques heures", commente le chercheur rencontré à l'occasion du salon InfoSecurity France, "un Storm Worm va infecter mille à deux milles machines". Un taux de contamination ridicule à l'échelle du réseau mondial qui lui offre une discrétion efficace aux yeux laboratoires antivirus. Sauf que l'agent malveillant effectue des re-contaminations. "Ces deux milles machines infectées vont à leur tour infecter deux milles autres PC et ainsi de suite, mais pas avec le même code". Une stratégie qui lui permet de conserver sa discrétion tout en assurant sa propagation exponentielle.
La discrétion reste de mise côté machine hôte. Contrairement aux vers d'ancienne génération qui occupent 100 % des ressources machine lors de leur implémentation (au risque d'attirer l'attention de l'utilisateur), la génération Storm Bot "est plus intelligente", constate Marc Blanchard. "Le ver analyse dans un premier temps les ressources processeur de la machine et se contente d'en exploiter les 2/3 de sa puissance." Soit environ 40 % d'occupation du processeur, ce qui laisse une entière liberté de mouvement de l'utilisateur évitant ainsi de lui mettre la puce à l'oreille.
Deux fois la puissance d'un Cray
Le plus redoutable est la puissance dégagée par ce type de botnet. Selon Marc Blanchard, 50 000 PC zombies équivalent à 10 % de la puissance d'un Cray XT, l'un des supercalculateur les plus puissants du monde après Blue Gene d'IBM. "Un million de PC zombie revient à 2 fois la puissance d'un Cray XT." Une puissance exploitée non pas au profit de la recherche contre la myopathie hélas mais pour transformer les machines victimes en serveur de spam de web et de blogs. "Des sites et des blogs qui vont être indexés par Google et attirer du trafic", alerte Marc Blanchard.
Des sites web vecteurs d'infection. "Du jour au lendemain, le site que vous avez l'habitude de visiter peut devenir contaminant." En effet, par des opérations de defacing (remplacement d'une page web d'un site), les pirates injectent du script (Javascript, PHP, VBscript...) dans la page Web de manière transparente ou bien créent une iFrame qui télécharge du code infectieux, toujours de manière invisible pour l'internaute. S'ensuit la neutralisation du pare-feu logiciel et l'ouverture d'une porte dérobée (backdoor) qui permettra au pirate d'installer ce que bon lui semble et prendre le contrôle distant de la machine.
Affluence oblige, les plates-formes de réseaux sociaux (MySpace, YouTube, etc.) et les sites qui surfent sur les tendances du moment sont les premières victimes de ce mode d'attaque. Et le temps de développement des éléments contaminants est foudroyant. De 15 jours en 1999, la création d'un script exploitant une faille était de 15 minutes en 2003 et de moins de 4 minutes aujourd'hui. "Le zero day est une réalité aujourd'hui", alarme le chercheur.
Les réseaux maillés des pirates impossibles à détruire
Même l'architecture du botnet a évolué. Les pirates s'inspirent aujourd'hui des protocoles d'échange P2P pour créer à leur tour des réseaux maillés quasiment impossibles à fermer contrairement aux botnet de générations précédentes où il suffisait de couper le lien avec l'adresse IP des quelques machines qui lançaient l'ordre d'attaque. Dans un réseau maillé, elles sont interchangeables. Même si une machine d'attaque tombe, une autre peut rapidement prendre la relève.
Cela passe notamment par une nouvelle génération de consoles de contrôle des botnets. "Les pirates ne s'encombrent plus de connaître le nombre de machines de leur réseau", explique l'expert de Kaspersky, "ils disposent d'informations de géolocalisation couplées à des taux de puissance disponible en temps réel." Ce qui leur permet de cibler leurs attaques par zone géographique. "Un pirate peut ainsi lancer une attaque sur un pays à partir d'un autre territoire alors qu'il n'est situé sur aucun des deux." Ce qui tendrait à confirmer l'hypothèse que les autorités chinoises ne sont pas forcément à l'origine des multiples attaques lancées depuis la Chine à l'encontre de plusieurs pays occidentaux.
Demain, les terminaux mobiles
Face à de tels modes de propagation et d'infection, particulièrement par le surfe anodin, les technologies de détection des signatures virales traditionnelles ne suffisent plus. Pour y répondre, Kaspersky préconise l'analyse comportementale du système et la surveillance heuristique à travers la vérification de l'intégrité du registre, la surveillance des processus lancés et du fichier Host local (qui contient les correspondances des adresses IP aux noms d'hôtes), et le blocage des rootkit.
Une méthode qui se traduit par l'offre ProActive Defense intégrée à la suite Internet Security 2007. Une technologie qui, en cas de confirmation d'un comportement suspect, est en mesure d'effacer toutes les altérations connexes et antérieures d'un code malicieux, selon l'éditeur.
Aujourd'hui les PC. Demain, les terminaux mobiles, notamment les téléphones portables. "Tout est prêt", lance Marc Blanchard, "les malwares savent se propager, notamment par les failles Bluetooth et Wi-Fi, et savent communiquer. Les pirates attendent juste la mise en œuvre des services de paiement pour lancer les attaques." Le marché de la sécurité IT a de beaux jours devant lui.
Source : VNUnet
Une nouvelle variante de Storm Worm profite de la fête des amoureux pour se propager. Attention aux déclarations d'amour d'inconnus.
Comme lors de quasiment chaque événement mondial, les pirates de tous poils profitent de la Saint Valentin pour propager leur méfaits numériques à l'aide des traditionnelles méthodes de social engineering.
McAfee a lancé une alerte à propos d'un nouvel agent malveillant de la famille Storm Worm qui sévit sur le réseau mondial depuis lundi 12 février 2008. En quelques heures, l'éditeur de solutions de sécurité a identifié plus de 20 variantes de la bestiole baptisée Valentine Nuwar.
Rien de très original dans le mode de propagation de cette nouvelle menace. Nuwar arrive sous la forme d'un spam dans la boîte aux lettres de la future victime l'invitant à cliquer sur un lien pour envoyer des cartes de vœux virtuelles. Le lien en question pointe sur une page qui propose le téléchargement d'une application dont le nom peut être 'valentine.exe', 'sony.exe' ou 'shift.exe'.
Un cheval de Troie derrière une carte de vœux
Application qui, si elle est exécutée, lance un cheval de Troie pour infecter l'environnement informatique de l'utilisateur. "Ce virus va essayer d’extorquer des données personnelles et inscrire les PC dans une armée en ligne", estime François Paget, ingénieur au centre de recherche de McAfee France, cité dans le communiqué de presse. "Cela signifie que votre PC pourra être utilisé pour diffuser des millions d’emails et pour provoquer des attaques par déni de service."
Découvert début 2007, Storm Worm est un ver de type cheval de Troie qui se propage essentiellement à travers l'e-mail envoyé lors de campagnes d'hameçonnage. Les courriels se présentent indifféremment avec ou sans fichier infectieux joint. Ses nombreuses variantes en facilitent la propagation. Selon François Paget, "il y a environ 10 millions de PC dans le monde infectés par Storm Worm. Cette menace représente 1,5 % des spams en circulation". Et la Saint-Valentin 2008 ne va certainement pas arranger la situation.
Indécelables par les moyens traditionnelles, les vers de nouvelle génération type Storm Worm rendent la mise en oeuvre de protection complexe.
Le 13 juin 2007, le FBI révèle par voie de communiqué avoir découvert plus d'un million de PC zombies. Autant de machines faisant parti d'un réseau contrôlé à distance par des pirates (un "botnet"). Surpris par cette annonce, Marc Blanchard, chercheur au laboratoire de Kaspersky, se lance dans une enquête pour comprendre comment un tel botnet a pu se créer aussi rapidement. Il va alors découvrir une nouvelle génération de technologies qui caractérisent désormais les malwares. C'est la génération des Storm Bot qui se propagent notamment par le biais des sites web.
"Les Storm Bot ne sont pas des vers très émergents comme Sasser ou Blaster qui ont envahi la planète en quelques heures", commente le chercheur rencontré à l'occasion du salon InfoSecurity France, "un Storm Worm va infecter mille à deux milles machines". Un taux de contamination ridicule à l'échelle du réseau mondial qui lui offre une discrétion efficace aux yeux laboratoires antivirus. Sauf que l'agent malveillant effectue des re-contaminations. "Ces deux milles machines infectées vont à leur tour infecter deux milles autres PC et ainsi de suite, mais pas avec le même code". Une stratégie qui lui permet de conserver sa discrétion tout en assurant sa propagation exponentielle.
La discrétion reste de mise côté machine hôte. Contrairement aux vers d'ancienne génération qui occupent 100 % des ressources machine lors de leur implémentation (au risque d'attirer l'attention de l'utilisateur), la génération Storm Bot "est plus intelligente", constate Marc Blanchard. "Le ver analyse dans un premier temps les ressources processeur de la machine et se contente d'en exploiter les 2/3 de sa puissance." Soit environ 40 % d'occupation du processeur, ce qui laisse une entière liberté de mouvement de l'utilisateur évitant ainsi de lui mettre la puce à l'oreille.
Deux fois la puissance d'un Cray
Le plus redoutable est la puissance dégagée par ce type de botnet. Selon Marc Blanchard, 50 000 PC zombies équivalent à 10 % de la puissance d'un Cray XT, l'un des supercalculateur les plus puissants du monde après Blue Gene d'IBM. "Un million de PC zombie revient à 2 fois la puissance d'un Cray XT." Une puissance exploitée non pas au profit de la recherche contre la myopathie hélas mais pour transformer les machines victimes en serveur de spam de web et de blogs. "Des sites et des blogs qui vont être indexés par Google et attirer du trafic", alerte Marc Blanchard.
Des sites web vecteurs d'infection. "Du jour au lendemain, le site que vous avez l'habitude de visiter peut devenir contaminant." En effet, par des opérations de defacing (remplacement d'une page web d'un site), les pirates injectent du script (Javascript, PHP, VBscript...) dans la page Web de manière transparente ou bien créent une iFrame qui télécharge du code infectieux, toujours de manière invisible pour l'internaute. S'ensuit la neutralisation du pare-feu logiciel et l'ouverture d'une porte dérobée (backdoor) qui permettra au pirate d'installer ce que bon lui semble et prendre le contrôle distant de la machine.
Affluence oblige, les plates-formes de réseaux sociaux (MySpace, YouTube, etc.) et les sites qui surfent sur les tendances du moment sont les premières victimes de ce mode d'attaque. Et le temps de développement des éléments contaminants est foudroyant. De 15 jours en 1999, la création d'un script exploitant une faille était de 15 minutes en 2003 et de moins de 4 minutes aujourd'hui. "Le zero day est une réalité aujourd'hui", alarme le chercheur.
Les réseaux maillés des pirates impossibles à détruire
Même l'architecture du botnet a évolué. Les pirates s'inspirent aujourd'hui des protocoles d'échange P2P pour créer à leur tour des réseaux maillés quasiment impossibles à fermer contrairement aux botnet de générations précédentes où il suffisait de couper le lien avec l'adresse IP des quelques machines qui lançaient l'ordre d'attaque. Dans un réseau maillé, elles sont interchangeables. Même si une machine d'attaque tombe, une autre peut rapidement prendre la relève.
Cela passe notamment par une nouvelle génération de consoles de contrôle des botnets. "Les pirates ne s'encombrent plus de connaître le nombre de machines de leur réseau", explique l'expert de Kaspersky, "ils disposent d'informations de géolocalisation couplées à des taux de puissance disponible en temps réel." Ce qui leur permet de cibler leurs attaques par zone géographique. "Un pirate peut ainsi lancer une attaque sur un pays à partir d'un autre territoire alors qu'il n'est situé sur aucun des deux." Ce qui tendrait à confirmer l'hypothèse que les autorités chinoises ne sont pas forcément à l'origine des multiples attaques lancées depuis la Chine à l'encontre de plusieurs pays occidentaux.
Demain, les terminaux mobiles
Face à de tels modes de propagation et d'infection, particulièrement par le surfe anodin, les technologies de détection des signatures virales traditionnelles ne suffisent plus. Pour y répondre, Kaspersky préconise l'analyse comportementale du système et la surveillance heuristique à travers la vérification de l'intégrité du registre, la surveillance des processus lancés et du fichier Host local (qui contient les correspondances des adresses IP aux noms d'hôtes), et le blocage des rootkit.
Une méthode qui se traduit par l'offre ProActive Defense intégrée à la suite Internet Security 2007. Une technologie qui, en cas de confirmation d'un comportement suspect, est en mesure d'effacer toutes les altérations connexes et antérieures d'un code malicieux, selon l'éditeur.
Aujourd'hui les PC. Demain, les terminaux mobiles, notamment les téléphones portables. "Tout est prêt", lance Marc Blanchard, "les malwares savent se propager, notamment par les failles Bluetooth et Wi-Fi, et savent communiquer. Les pirates attendent juste la mise en œuvre des services de paiement pour lancer les attaques." Le marché de la sécurité IT a de beaux jours devant lui.
Source : VNUnet
Calabrese- Fondatore
-
Nombre de messages : 1092
Age : 50
Localisation : Mons (Belgique),Calabre dans le coeur et dans l'âme
Emploi/loisirs : Vendeur Automobile
Points : 10
Date d'inscription : 15/08/2007 -
Sujets similaires» Virus : Storm Worm exploite YouTube pour se propager
» [Kaspersky] Description d'un vrai Anti-Virus
» [Officiel] 8 juin 2007,sortie de Kaspersky 7.0
» [Kaspersky] Description d'un vrai Anti-Virus
» [Officiel] 8 juin 2007,sortie de Kaspersky 7.0
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum|
|
|
» italians?
» différence homme femme
» fuite de cerveau
» un morceau que j'aime
» mambo italiano
» Qui est le plus sexy ?
» joyeux réveillon
» pour le plaisir
» bonsoir