Marc Blanchard Virus Docteur

Un article de Damien Coulomb de LMI (lemondeinformatique.fr) concernant une présentation du début de mes recherches sur les storms worms et storm zombies est parue hier.

Je cite :

Edition du 26/09/2007 - par Damien Coulomb

Le 10 septembre dernier, à l'occasion du l'ouverture du Superbowl, un groupe de pirates informatiques a lancé la plus grande vague d'attaques utilisant la méthode « storm worm ».

Cette technologie de piratage, apparue au début de l'année et de plus en plus pratiquée, permet d'asservir la puissance non utilisée des ordinateurs infectés.

« L'idée en soi n'est pas nouvelle, ils n'ont fait que reprendre le concept de puissance de calcul décentralisée, lancé il y a quelques années par le SETI (Search for Extraterrestrial Intelligence)», nous explique Marc Blanchard, responsable des recherches scientifiques antivirus de Kaspersky Lab.

A l'époque il s'agissait d'utiliser la puissance non utilisée des ordinateurs personnels de volontaires, via un screensaver. « Ce que les pirates veulent, c'est disposer d'une énorme puissance de calcul, en parasitant un maximum de machines, transformées en PC zombie par le code malicieux qu'ils ont réussi à y introduire. »

..../.... la suite sur le site du journal

Cette recherche, qui est en cours, consiste à montrer que les pirates, en infectant des machines utilisateurs, et en les utilisant à des fins d'attaques, que la puissance globale dont ils disposent via nos ordinateurs est d'une puissance inimaginable. Vous pourrez suivre sur ce blog les résultats de cette recherche.

On parle du spam, de courriers indésirables, de publicités non-sollicité, etc... ces messages qui nous envahissent chaque jour.

Essayons de comprendre les processus et les concepts de ces messages qui nous font perdre un temps fou !

Définition :

Un spam est un message que le créateur souhaite faire passer sur un ou plusieurs supports électroniques :

- mail,

- web,

- messageries instantanées,

- SMS,

- MMS,

- etc..

Les contenus sont divers:

- Produits frelatés ou expirés

- Produits illégaux

- Contrefaçons ou copies de mauvaise qualité

- Messages politiques et financiers

- Vols ou escroqueries de biens ou cartes de crédits

- Messages pornographiques

- Chaines de vie ou de mort

- Un service particulièrement nouveau ou un mensonge

Le temps perdu :

Le cerveau humain travaille en parallèle : nous lisons, nous pensons parfois à autre chose pendant que nous écoutons mais restons attentif, nous respirons, bref tous ces sens font travailler notre cerveau en parallèle.

Mais revenons à notre fonctionnement intellectuel face à notre outils favori : Le courrier électronique

Pour déterminer, interpréter et effectuer une action sur un message reçu, il ne faut pas moins de 2,5 sec, car dans ce cas, le cerveau fonctionne en série. Il travaille en série, car c'est notre logiciel de courrier électronique qui ne nous permet pas de travailler en parallele. En fait, nous lisons chaque message électronique, les uns après les autres !!! Donc notre cerveau travaille en série !

Pourquoi les mêmes spams nous arrivent malgrès des filtrages ?

Le SPAM est :

- Une volonté

- Une création avec logiques humaines

- Une action

- Une analyse des résultats obtenus

Si les conditions de bloquage de spam sont « matchées » c'est à dire que les spams sont arrêtés par un logiciel AntiSpam, alors le spammeur fera en sorte d’y effectuer des modifications jusqu’à ne plus être arrêté.

Pour comprendre les reflexions des spammeurs, ou même des créateurs de virus, il faut connaître 3 types d’analyses d’interprétation que le cerveau humain peut effectuer :

- Schématisation d’un système connu

- Schématisation Isomorphique

- Schématisation Homomorphique

Ce qui aura pour résultante un même résultat mais utilisant une technique différente utilisant alors un système d’Influences.

Mesure de l’information : étude de cas

Supposons que nous recevons un spam de ce type : «  Le produit YYY, c’est bon pour toi »

Suivi d’une url du type :

« www.yyy.com/offer/discount.html »

Fonctionnement inconscient de notre cerveau :

«  Le produit YYY » : représente une curiosité car il s'agit d'un nouveau produit

« c’est bon » : représente une préconisation

« pour toi » : est une influence personnelle

Par conséquent, la victime resent un sentiment de CURIOSITE, car :

- on prend soin de la victime

- la victime est déjà en confiance avec ce slogan

Donc : la victime est sur le point de visiter le site !

Mais, le spammeur remet une couche d'influence pour finaliser l'autovolonté de la victime et lui montrer qu'il faut absoluement cliquer sur le lien !

« www.yyy.com/offer/discount.html »

Chaqu'un d'entre-nous savons ce qu'est un discount ! Une offre exceptionnelle !!

Par conséquent, la victime est quasiement persuadée qu'elle ira faire une bonne affaire ...en cliquant sur le lien !!!

Définition : schématisation d’un système connu :

Une interprétation peut être effectuée sous plusieurs formes :

- Analyse sous forme de dictionnaire dans un cadre conceptuel par rapport à la schématisation d’un système connu, avec ou sans variables, avec ou sans espace de phase en 3D

Définition : schématisation isomorphique :

Peut être considérée comme isomorphe un système pouvant subir une seule variation de transformation à un objet soumis et connu.

Dans notre exemple : « c'est bon »

Définition : schématisation homomorphique :

Une suite d’au moins deux analyses isomorphiques et pouvant faire intervenir des objets extérieurs en faisant des probabilités de séquences et/ou des influences.

Dans notre exemple : « c'est bon » ET « pour toi »

Définition : Les Influences :

Analyse dite Analyse d’Univers de Phase qui peut être provoquée par :

- Une influence externe,

- Une influence connue ou réconfortante

- Et/ou lorsque un objet change d’état,

Dans notre exemple : « www.yyy.com/offer/discount.html »

Résultat :

Remise en cause de l’influence de départ que l’on souhaiterait obtenir comme résultat, mais on s’y force si l’on souhaite quelque chose avec conviction.

En conclusion : Les systèmes d’influences

Ainsi, si on veut établir une mesure de l'information, on doit tenir compte du degré d'incertitude lié à chaque cas possible.

Mais on peut en déduire alors la volonté de la victime pour acquérir le produit : pour cela, le spammeur veillera à le conforter une fois de plus en s'appuyant sur les mêmes techniques que ci-dessus en ayant pris soin de renforcer le système d'influence sur le site web « www.yyy.com/offer/discount.html » en communiquant sur :

- Les facilités de paiements

- Les délais de livraison

- Les garanties (satisfait/remboursé)

- Les promotions exceptionnelles voire gratuite

- Des couleurs et des logos de couleurs chaudes, des gens sur les photos souriantes, etc…

Spam : Techniquement : Les envois :

L’annonceur et le spammeur peuvent être la même personne et/ou la même société.

Les techniques d’acheminement du mail peuvent se faire :

- En exploitant les failles de relay des serveurs de messageries

- En exploitant des failles Mail via des proxy http

- En installant une porte dérobée (backdoor) de micro serveur SMTP sur les postes zombies des victimes ayant recu le spam et ayant visité leurs sites

- En transformant, dans ce cas, le poste de la victime en serveur de spam ou de serveur web du spammeur. Dans ce cas, la machine victime devient une machine zombie dont l'utilisateur n'est pas le seul utilisateur de sa propre machine. Sa machine devient alors une machine prête à lancer une attaque télécommandée sur des sites commerciaux et/ou professionels, et peut ainsi aider un hacker à faire du chantage, ou pire encore, devinir une machine serveur hébergeant des photos très compremettantes...

Mais comment ont-ils mon adresse mail ?

Les spammeurs utilisent des techniques diverses:

- Rachat de mailing listes

- Crawler (sniffeurs) SMTP sous forme de backdoor (tout courrier electronique est échantilloné et envoyé au spammer, pris sur les blogs, forums, carnet d'adresses, etc)

- Echange d’adresses : sur les undergrounds

- Spam de vente d’adresses mail qui sont générés uniquement pour obtenir votre mail

- Les réponses aux spams par « désabonnement »

- Les syphonages de sites web récapitulant les discussions des news-groups

- Des syphonages de pages HTML contenant des adresses mails

- Des vers syphonant des mails locaux et les WAB ou les carnets d’adresses de leurs victimes

- Technique de génération de mails automatiques par dictionnaires croisés !

Cette technique est utilisée pour un spam des utilisateurs de grands FAIs (fournisseurs d'accès internet) :

- Dictionnaire de noms / pays (ex: Smith) , les plus populaires du pays à spammer

- Dictionnaire de prénoms / pays (Paul, Brian, etc) , les plus populaires du pays à spammer

- Dictionnaire des noms des FAIs (aol.com)

Résultats de ces robots :

- Paul.smith@aol.com

- Smith.paul@aol.com

- Paulsmith@aol.com

- Paul1smith@aol.com

- Paul_smith@aol.com

- Etc…

Donc les tentatives seront effectuées les unes après les autres sur ces adresses. Lorsqu'il n'y aura plus d'erreur de la part du serveur de courriers destinataires, le pirate pourra être certain que cette adresse mail est correcte, et il en essaiera d'autres avec d'autres noms et prénoms...et ainsi de suite...

Conclusion :

Le spam n'est pas une suite de numerique facilement détectable, car comme vous l'avez certainement compris, les spammeurs utilisent des techniques évolutives, dont les contenus changent très régulièrement, comme par exemple : envoyer le contenu du spam dans une image ou un document acrobat en PDF, etc...

C'est pourquoi qu'un antispam doit pouvoir analyser les courriers électroniques avec de nombreuses technologies de détections associées à des filtrages linguistiques, listes de serveurs de mails déclarés en listes noires ou en relais ouverts.

Aujourd'hui, selon spamhaus.org, la France est au 9eme rang mondial des relais de serveurs propageant du spam....C'est à réfléchir....

...et surtout, à s'équiper si on ne veut pas perdre du temps à lire des informations inutile, et à être productif dans un système travaillant en série (je veux dire le courrier électronique

Un petit graphique qui permet de mieux comprendre l'évolution des virus et malwares informatiques

Un webmaster m'a fait part d'une attaque d'un réseau zombie qu'il a subi dernièrement sur ses serveurs web. Je vais essayé de vous l'expliquer le plus simplement possible.

Perception de l'attaque :

a. Coté utilisateur : Trés grosses lenteurs d'accès aux pages web du site, voire impossibilité d'affichage de la page d'index (la page de bienvenue du site)

b. Coté serveur internet : Le microprocesseur est à 100% d'utilisation, des milliers de processus du serveur web/http surchargent la mémoire

c. Coté administrateur / webmaster : Vérification des régles de parefeux : Rien d'anormal, vérifications auprès du provider internet : rien d'anormal...

Que se passe-t-il ?

1. Après investigation du webmaster et de l'administrateur, des milliers d'ordinateurs sont en train de télécharger un fichier présent au téléchargement sur le site web attaqué.

2. Ces milliers d'ordinateurs téléchargent le fichier du site web attaqué avec une toute petite bande passante.

Que peut-on constater dans ce cas :

1. On s'appercoit, sur le serveur web attaqué, qu'une multitude de processus de serveur http sont chargés en mémoire, visant à faire tomber la machine via un 100% CPU (micro-processeur) et qu'une saturation mémoire et swap sont proches

2. Que ces processus de serveur http ne s'arreteront pas tant que le fichier n'est pas totalement téléchargé, ne liberant ainsi le serveur que dans quelques heures.

Différentes théories de paliatifs contre cette attaque de denis de service (appelé D.O.S) :

1. Imposer des limites de processus au système, mais elles peuvent nuire à la production habituelle du nombre de pages web visitées au quotidien

2. Filtrer les adresses IP : Mais certaines IP peuvent avoir un incident de blocage de connexion pour l'utilisateur non perturbateur, car son adresse IP peut être filtrée

Solution :

Partant de ce constat, il s'est avéré que la seule méthode, la plus efficace, était de capturer (blacklister) ces IP perturbatrices, non pas en les annulant, car l'attaquant pourrait attendre que toutes les adresses IP de son réseau zombie changent, mais de lui faire croire que son attaque fonctionne sans pour autant perturber le système.

Pour ce faire, une solution de 'pot noir' en linux existe qui consiste à répondre à la requête d'une adresse IP mais la diriger vers 'rien'

Aprés une fantastique saisie des adresses IP, et une recherche de géolocalisation des adresses IP, il s'est avéré que l'attaque venait d'Asie. Par conséquent, un 'pot noir' temporaire des adresses IP venant de ce pays s'est avéré la solution la plus efficace, sans trop de perte de productivité commerciale pour l'entreprise.

Conclusion :

Les hackers qui contrôlent les réseaux zombies peuvent provoquer un cyber-désordre d'une entreprise, d'un grand groupe international, juste en télécommandant des attaques programmées, par pays, par région sous forme de denis de services (D.O.S.), pour ensuite effectuer des chantages financiers ....un arret de l'attaque contre une somme d'argent...

Les machines zombies ne sont, en fait, que des ordinateurs que nous utilisons au quotidien, mais qui ont été infectés par une backdoor (porte dérobée) et d'un BOTNET (qui envoie régulièrement l'adresse IP de la machine au hacker). Le hacker peut ainsi prendre le contrôle du poste en entrant dans le système via la porte dérobée.

La seule solution aujourd'hui, pour éviter que notre ordinateur n'entre dans un réseau zombie, est une protection antivirale équipée d'un module proactif de défense, une analyse heuristique qui complète une mise à jour des bases antivirale (la plus fréquente possible), et une analyse en temps réel qui analyse TOUT TYPE de fichiers.

Les hackers d'aujourd'hui ne sont plus les hackers que nous avions, il y a 10 ans encore (qui ne montraient que des preuves comme quoi les systèmes pouvaient être vulnérables)... Non! les hackers d'aujourd'hui sont bel et bien de réels businessmen, et là ......

Où s'arrêteront leurs limites? Dans ce cas, est-ce que la limite est celle qu'un homme peut attendre dans sa quête de richesse ou de pouvoir ?

Voici un graphique qui doit se lire en 3 dimensions !!!

Désolé pour la complexité, mais je souhaitais mettre en avant les malwares existants en fonction de :

- la rapidité du développement

- La complexité du développement

- Les risques d'emergences

- Les vecteurs de propagation

- Les implication sur le poste

- La perception de l'infection par l'utilisateur

- L'impact financier

Bon décryptage

Merci à Jean-Philippe pour l'aide qu'il m'a apportée pour le design, et à Sylvain pour les recadrages

En réponse à Marc Olanié sur son article sur la vulnérabilité de KAV et KIS 6 et 7 publiée sur rootkit.com, je voudrais apporter quelques explications.

Ce qu'il faut savoir sur cette vulnérabilité est la grande difficulté avec laquelle on peut l'exploiter.

Dans un premier temps, cette vulnérabilité ne peut fonctionner, que si et seulement si, Windows est ouvert !!! peu probable dans les versions XP/Vista!

A savoir qu'un partage réseau n'est pas suffisant. Il faut que l'administrateur du poste Windows permette non seulement un partage réseau, mais également le fait qu'une personne extérieure puisse exécuter des programmes à distance!

Chose qui, n'est évidemment pas autorisé par défaut lors des installations des OS Windows.

L'impossible étant possible, pour que cette attaque puisse fonctionner, il faudrait que le poste soit infecté par une backdoor, que cette backdoor ouvre un port TCPIP, qu'elle puisse permettre d'exécuter un programme, que ce programme soit poussé par le créateur, puis ensuite que le créateur puisse accéder à la machine pour son lancement, pour qu'ensuite, de nombreux écrans bleus apparaissent, pour qu'au final, l'utilisateur appuie sur son interrupteur d'arrêt de la machine pour la redemarrer.

Cela fait beaucoup de choses pour un écran bleu ou l'extinction du PC ....pas glop!!!!

Les utilisateurs possédant Kaspersky, mettent à jour leurs bases antivirales en moyenne toutes les heures..ou moins, si ils ont choisi de mettre la mise à jour des bases en automatique.

Actuellement (voir les stats des fréquences de mises à jours de nos viruslabs) , on peut constater que depuis plus d'un mois maintenant, environ toutes les 39 minutes, de nouvelles bases sont disponibles au téléchargement. Téléchargement, qui, par défaut dans KAV/KIS 6 et 7, sont automatiques.

Les probabilités d'infections via une backdoor, puis la réception d'un malware qui permettra l'exécution de l'exploit, se trouvent minimisées.

D'autre part, la PDM (le module proactive défense du moteur) permet une exécution et une vérification dans une sandbox heuristique des codes ne reagissant pas aux signatures. Cette PDM permet notamment d'analyser les intégrités du système (toute exécution est controlée, mais aussi une analyse de l'activité de la registre, des processus, des installations et exécutions cachées).

Vous me direz : c'est là que l'exploit intervient !!

Je vous répondrai, oui, mais comment pourrait-il se copier, s'exécuter si il est bloqué par les analyses des AVBases ou de la proactive défense?

De même, étant donné que cet exploit ne peut se lancer qu'en effectuant un éventuel contrôle total à distance de la machine, il est difficilement probable que cet exploit s'active dans le monde à petite, moyenne ou grande échelle.....

Bref, suite au collège que j'ai eu avec notre équipe de développeurs gérant les vulnérabilités, on peut dire que cette vulnérabilité est classée au niveau BAS.

Nous travaillons actuellement dessus et la mise à jour de KLIF.SYS sera effectuée de façon automatique sur KAV/KIS.

Donc pas de panique face à cet exploit, qui, je vois, commence à faire couler de l'encre !

Un ami de longue date, Frederic se présente comme, je le cite "euh moi rien suis un SDF de la securite et j'envisage de me retirer dans mes terres d'auvergne au fond d'une grotte pour monter un Lab "

Il est dans la sécurité depuis toujours, il se bat contre les codes malicieux et j'aime son côté qui sait nous émerveiller par ses explications sur la nature :

Mais également sur tous ses sites webs

- blog.eurnet.fr

- antivirus-france.com

C'est toujours un plaisir de te lire....

...et j'aime bien nos repas Pizzas, Fred

Voici le résultat d'une étude épidémiologique sur les virus sur téléphones portables et Smartphones.

Si vous rencontrez un problème de visualisation, vous pouvez utiliser l'outils VLC, téléchargeable sur http://www.videolan.org/

- VideoCast - Marc-Blanchard-Etude Epidemiologique-12Septembre2007-Les Virus sur les Smartphones_PocketPC

Un commentaire sur les malwares linux.

Ils ne sont plus classifiés comme codes zoo (proof of the concept), ils sont propagés sur la toile de plus en plus.

Podcast Marc Blanchard - 12Sept2007-Les Virus et les systemes Linux

Bonne Ecoute !!

ALERTE Un vers se propage sur le réseau Skype et sa VoIP

Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.

Arrivée du malware

Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.

Activation du malware :

L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR. L'extension SCR, selon les operating systems est cachée.

Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.

Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.

Méthode d'infection :

Des que le code est exécuté, il copie ces fichiers dans le répertoire \Windows\System32 :

winlgcvers.exe mshtmldat32.exe wndrivs32.exe sdrivew32.exe

Il patche les clefs de registres :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Deux clefs sont crées :

HKEY_CURRENT_USER\Software\RMX

HKEY_LOCAL_MACHINE\SOFTWARE\RMX

Le vers télécharge son code sur les sites suivants :

cpa-site.com lookingat.us www.freewebs.com www.gamesforum.com www.kale45.php0h.com 4444mb.com zopa.110mb.com mylawsite.net attorney-site.com ragezone.com blog.co.uk kupralana77.110mb.com members.lycos.co.uk ragai.myartsonline.com bedclip.com alladultmale.com

Technologie de retrovirus :

Afin de ne pas être détecté, et lui permettant de changer son propre code malicieux à volonté, le vers patche le fichier HOSTS tous les sites des serveurs de mises à jour des antivirus les plus connus.

Nota : Ce fichier doit être, en théorie, vide de nom de domaines.

Recommandation :

Forcez les mises à jour des bases antivirales.

Si l'antivirus refuse de se mettre à jour :

- Ouvrez notepad puis accédez au fichier HOSTS situé dans c:\windows\system32\drivers\etc

- effacez les noms de domaines inscrits dans ce fichier

Voici pour exemple un fichier hosts sain :

- Relancez la mise a jour de votre antivirus

Avec 1 IPhone Apple vendu toutes les secondes dans le monde, c'est tout ce que Steve Jobs a toujours rèvé sans jamais l'avoir atteind.

Et bien c'est fait ! et on peut que l'en félicité !

Par contre 74 jours seulement, pour qu'un développement underground puisse être mis sur les sites peu scrupuleux pour faire sauter les sécurités SIM (notamment en ne dédiant plus le IPhone a utiliser qu'un seul opérateur téléphonique, mais multi-opérateurs), pour la modique somme de 30 euros !!!

Effectivement, le calcul par les crackers est rentable !

Après la mise en ligne de la version 1.02 du firmware, Apple est de nouveau en cours de révision de celui-ci...

Histoire à suivre...très très bientôt

Des utilisateurs me posent fréquemment la question concernant les infections des appareils GPS qu'ils utilisent dans leurs véhicules.

La réponse en podcast ici:

- Podcast Marc Blanchard - 09Sept2007-Les Virus et les GPS

Dans le cadre de mes recherches, je recherche des témoignages de fraudes par internet.

Si vous avez été témoin ou victime d'une fraude internet, merci de me laisser un commentaire ici, en décrivant étape par étape ce qu'il s'est passé. Si vous avez mis en quarantaine le code malicieux ou que vous ayez des copies écrans ou des exemples à m'envoyer par courrier électronique, (voir ma fiche Contact), il y a une adresse mail sur laquelle vous pourrez m'envoyer ces fichiers.

Merci pour votre contribution

Voici une vidéo sur lequelles, je presente mes comptes-rendus scientifiques épidémiologiques sur les rootkits.

Si vous rencontrez un problème de visualisation, vous pouvez utiliser l'outils VLC, téléchargeable sur http://www.videolan.org/

- Conférence MS sur les RootKits

Dans cette rubrique, vous trouverez differentes interventions vocales en MP3 concernant les codes malicieux, malwares et spam....

Bonne écoute !

- Voici une interview sur les attaques NetSky.Q sur BFM 11-03-2004

- Voici une interview sur France-Blue le 31Aout2006 sur le spam

Un egène est un code malicieux mobile, mais mobile sous plusieurs formes aussi bien au niveau de leurs mobilités dans un réseau qu’au niveau de son propre code.

Nous parlons des réseaux Zombies.

Mais que savons nous de leurs:

- Activités ou de leurs objectifs

- Méthodes de fonctionnement

- Géolocalisations

- Durées de vie

- Modélisations

- Interactions sur internet

- Stabilités

En 2002, sur les undergrounds, une idée avait pris forme quant aux nouvelles dispositions sur les propagations de façons la plus transparente possible des egènes malicieux.

Rappel sur la VCI : Virus Communication Interface

Les Infections InterProcess :

Les egènes sont chargés en RAM et peuvent communiquer avec la VCI elle-même logée dans sa propre adresse virtuelle.

Les egènes envoient les informations du type comportement, ce qui a été contaminé, comment, pourquoi l’infection ne s’est-elle pas effectuée, etc… à la VCI en utilisant des protocoles basés TCPIP.

La Stratégie de la VCI :

La « Virus Communication Interface » est capable :

- d’envoyer et de recevoir les informations à une catégorie de egènes appelés Codes Modulaires

- La VCI est capable de se connecter au net pour télécharger des nouveaux exploits et de nouvelles formes de métamorphismes et les envoyer nominativement aux virus modulaires afin que leurs actions soient modifiées

Les 7 étapes que les codes malicieux doivent suivre :

- Portable : Le egène doit être développé pour être indépendant de la plateforme – pas seulement sous Windows

- Invisible : Le egène doit être implémenté pour utiliser des technologies métamorphiques utilisant les APIs systèmes pour rester indétectable le plus longtemps possible

- Indépendant : Auto-réplication Auto-execution sans interaction utilisateur, Embarquement de bases d’exploits

- Intelligent (auto-apprentissage): Le Worm doit être capable d’appliquer lui-même un nouvel exploit « en ligne » avec l’utilisation du protocole WormNet

- Integrité : Egene Modulaire (utilisant la V.C.I.) sont capables d’appliquer des changements substentiels de façon autonome afin d’être le plus caché possible

- Transparence : Pas de code constant (le code est toujours différent) et crypté Les cryptages pourront être différents à chaque contamination de fichiers ou d’ordinateurs cibles en utilisant ou pas la VCI ou via les Inter-Process Communication

- Courte durée de vie : Le egène est de travailler seul, de downloader / Uploader des nouvelles sources d’attaques ou d’exploit

Une fois la mission effectuée, il sera prévu une autodestruction après s’être installé sur une autre machine du subnet via un scanner réseau, un botnet et un rootkit

Durée moyenne d’installation sur la machine victime est estimée entre 2heures et 4 jours

.... A suivre ... Que s’est-il passé depuis ?

Que s’est-il passé depuis ?

Sont apparus de façon significative :

- Les backdoors

- Les codes modulaires

- Les botnets

- Les rootkits

- Les exploitations des failles de sécurité OS et Applis

- Les différentes méthodes de chantages

- Spam

- Phishing

- Pharming

- Keyloggers, etc

Les conséquences :

De nouveaux protocoles sont arrivés exploitant :

- Les applications vulnérables

- Les ports IP standardisés,

- De nouvelles utilisations de ports transparentes pour les firewalls

- Du social engineering

- De la fraude bancaire

- De la fraude de DNS et de noms de domaines

Les recherches :

Les recherches épidémiologiques changent car nous sommes confrontés à plusieurs types de techniques comme :

- La publication de egènes malicieux sur une période courte, afin de ne pas être détectés par les antivirus

- Le Pharming et le DNS poisonning deviennent à la mode

- L’exploitation des réseaux Zombies qui sont maintenant très nombreux

- Les ‘advanced’ worms réplications très émergente utilisant des techniques de multi-threading

''Explications :

- Les Worms à technologie séquentielle infectent un parc de 180000 machines en moins de 500 minutes

- Les Worms à technologie multi-threading utilisant ainsi le parallélisme infectent 180000 machines en moins de 35 sec''

Etude sur les réseaux de E-genes Zombies :

C’est un environnement flou d’un egène et sa capacité d’interagir à travers divers composants.

C’est pourquoi nous sommes obligés d’appréhender le problème différemment avec les egènes qui utilisent les méthodologies du WormNet.

On établit une Carte d’interaction comprenant :

- La Géolocalisation des egènes dans le monde

- Des prédictions de briques élémentaires pour déterminer la dynamique de cet egene

Nous travaillons également sur la composante Temps

- Satellisation de son action sur un temps court

Nous essayons alors de déterminer son évolution :

- Si elle est cyclique - ou si elle est proportionnelle

En ce qui concerne les briques élémentaires, on essaie d'etablir :

- La Définition du réseau zombie

- Si il est Stable ou Instable

- Si sa Qualité est bonne

- Egalement les Process de routage

- Comment les Filtrages peuvent etre effectues par les FW

- Enfin des prédiction sur une Implémentation probable via une modularité de code

On finira notre recherches par des Etudes de Comportements :

- Taux de redépart de l'attaque

- Taux de dégradation (détection AV, blocage FW, etc)

- Stabilité du réseau

Les attaques evoluant chaque jour, nous adaptons ces nouvelles recherches épidémiologiques en fonction des nouvelles technologies des codes malicieux.

Arnaud Dimberton : Silicon.fr

Dans son verdict, la cour de Washington DC a donc tranché en faveur de Kaspersky, rejetant l’action en justice entreprise par la société Zango, concepteur de logiciels publicitaires (adwares).

Le juge Coughenour a rejeté la demande de Zango qui voulait que sa solution soit cataloguée comme étant "sûre" et a ainsi déchargé Kaspersky Lab de toute responsabilité conformément au "Communications Decency Act."

Zango avait attaqué Kaspersky en justice afin que la solution du groupe moscovite arrête de bloquer l'installation de son logiciel.

Selon Kaspersky : "ce jugement protège le droit du consommateur à choisir quels logiciels doivent être installés sur son ordinateur, et autorise les éditeurs de solutions antivirales à identifier et à indiquer les programmes potentiellement indésirables et nuisibles à l’internaute."

Par ailleurs, l'éditeur rappelle qu'avec ses solutions de protection, les utilisateurs sont libres d’ajuster les paramétrages pour permettre aux programmes de leur choix d’être actifs ou non.

"La mission de Kaspersky Lab a toujours été et reste de faire d’Internet un endroit plus sûr. Nous sommes ravis de l’issue de cette affaire, car le jugement est en parfaite adéquation avec la vocation de l’industrie antivirale – la protection de l’usager est primordiale", rappelle Eugène Kaspersky, dg de Kaspersky Lab.

Rappelons qu'en novembre 2006, a FTC (Federal Trade Commission) a condamné Zango à une amende de 3 millions de dollars. Le gendarme du commerce américain a déclaré dans un communiqué : " les méthodes utilisées par Zango sont injustes et frauduleuses, d'autant qu'il est très difficile pour un utilisateur lambda contaminé de désinstaller ces logiciels-espions."

En effet, pour accéder au visionnage de clips ou pour télécharger des jeux sur le site Zango.com les utilisateurs doivent installer un fichier dénommé 'setup.exe' et signé de Zango. Seulement ce que la plupart des internautes ne savent pas c'est qu'ils téléchargent un fichier-espion. La fonction de ce dernier est multiple, non seulement il récupère des informations sur les sessions Web de l'internaute, mais entraîne l'apparition de pop-up à caractère pornographique.

Cette rubrique vous est destinée !

Pour tout commentaire ou demande d'information ou tout simplement des curiosités sur le sujet des virus et codes malveillants, cette rubrique est pour vous !

Postez vos commentaires, et je vous repondrais soit par cette rubrique, soit par un sujet scientifique explicatif.

Je parts sur le principe que l'information et la connaissance doivent être partagé par tous.

La question est rarement Pourquoi, mais très souvent Comment .... Cela permet d'avancer épidémiologiquement

PS : Ne vous inquiétez pas si votre demande n'est pas de suite publiée, je modère les posts, car je ne souhaite pas publier des SPAMs de blog générés par les robots. Votre post sera publié ! Merci pour votre compréhention !

Marc's Personal VirusLab

Marc Blanchard

Epidémiologiste, Virus Docteur

Directeur des Laboratoires de Recherches Technologiques & Scientifiques, Editions Profil / BitDefender

Ancien Directeur des TechLabs Doctor Web France

Ancien Directeur de L'ESAC European Scientific Antivirus Centre Kaspersky

Membre actif du RECIF Recherches en Criminalite Informatiques

Ancien Directeur du Centre de Recherches Trend Micro

Ancien Virus Docteur Central Point Software

---

MARC BLANCHARD :

La France compte parmi les meilleurs spécialistes mondiaux en matière de recherche épidémiologique et de lutte antivirale en environnement informatique. Parmi eux, il en est un qui fait figure de pionnier.

Après un cursus en électronique et en informatique, Marc Blanchard entre en tant qu’ingénieur système chez le constructeur d’ordinateurs Goupil. C’est lors d’une intervention auprès d’un client qu’il découvre la présence d’un code suspect pour lequel il va développer un outil de désinfection qui s’avèrera être l’antidote permettant de contrer le virus TELECOM.A.

Cette première approche de l’univers des virus et de la sécurité informatique l’amène dès 1986 à démarrer un programme de recherche extensive sur les méthodes et techniques d’additions de codes étrangers à un ou plusieurs codes natifs.

En 1991, alors qu’il se consacre entièrement à l'étude des codes malveillants informatiques, Marc Blanchard rejoint la société Central Point Software en qualité de responsable des études antivirales. Rapidement, son activité l’amène à présider tous les centres scientifiques Européens de la société.

En 1996, il prend la direction du centre scientifique de la filiale française du concepteur d’antivirus Trend Micro. Les résultats obtenus par ses travaux scientifiques prédictifs et ses développements d’antidotes pour un nombre important de technologies complexes lui permettent de devenir directeur des laboratoires scientifiques de la société, en Europe.

Marc Blanchard est ainsi à l’origine des développements d’antidotes pour les premiers virus ACCESS, kakworm et loveletter, Nimda, SQL_Slammer, virus se répandant de façon extrêmement rapide dès leur émergence.

Disposant d’un vrai sens de la perspective et de l’anticipation, il est l’un des premiers spécialistes de la sécurité informatique à préconiser, en 1997, la mise en place de pares feux en entreprise. A cette même période, il poursuit une carrière scientifique et professorale qui l'amènera à former de nombreux experts antiviraux de haut niveau. Auteur d’un grand nombre de travaux qui ont, pour la plupart, été réédités et sont, aujourd’hui encore, utilisés à des fins pédagogiques, Marc Blanchard apporte à son expertise théorique un véritable savoir faire pratique.

Marc Blanchard, à cette période, commence à concentrer ses recherches autour de la loi de MetCalfe, qui consiste à montrer ou démontrer que "L’utilité d’un réseau est proportionnelle au carré du nombre de ses utilisateurs (N²)". C'est à partir de cette loi que Marc Blanchard imagine diverses théories sur les éventuelles ellaborations de réseaux paralleles, qui pourraient servir à des actes de malveillances. C'est ainsi, qu'à partir de 1997, que Marc Blanchard dédie toutes ses recherches sur les techniques des réseaux Botnet. Aujourd'hui encore, ses recherches sont dédiées à toutes technologies pouvant être utilisées à ces réseaux parallèles.

Il élabore ainsi en 1998 la solution boitier Gatelock pour le compte de l’éditeur Trend Micro. Celle-ci est l’une des première du genre à contenir un pare feu, une protection de mail et une protection web (http ; ftp) au sein d’un boitier sans disque dur et ne contenant qu’une ram de 64MB.

En 1999 ses recherches sur le comportement du cerveau humain face au spam l’amène à publier en collège scientifique public des résultats éloquents faisant encore aujourd’hui autorité.

Fin 2003, Il est nommé Directeur du Centre de Recherches Européen chez Kaspersky Labs, éditeur à qui il propose un grand projet de protection de défense proactive sous le nom de code MAP (Malicious Application Probe) ainsi que des résultats de recherches en matière de spam pouvant survenir dans un futur proche sur les téléphones portables.

Les recherches de Marc Blanchard ont une particularité originale : elles sont orientées sur l’épidémiologie et prédictions futures. Il a ainsi développé et mis au point un système taxinomique, permettant un rapprochement des techniques et technologies utilisées par les codes malicieux. En fonction des technologies, le système permet d’établir des calques permettant de définir des probabilités de propagations sur des futurs proches, non encore existantes. C’est la raison pour laquelle, de nombreuses prédictions telles que l’arrivée des codes malveillants comme loveletter, l’utilisation des ports TCPIP, des infections actives, des codes modulaires, etc., avaient été prédites en collèges scientifiques entre experts avant même leurs apparitions.

En 2008, Marc Blanchard rejoint les équipes de Doctor Web pour mettre en place les structures techniques de l'éditeur.

En 2009, Marc Blanchard vient renforcer les équipes techniques de Editions Profil / BitDefender en qualité de Directeur Technique / Epidémiologiste. Il assurera à ce titre les principales fonctions suivantes :

-Evangélisation sur les problèmes de sécurité actuels et futurs et sur les technologies permettant d’y faire face

- Organisation, optimisation et développement des services aux utilisateurs

- Recherche et prédiction sur les malwares

Les recherches de Marc Blanchard ont une particularité originale : elles sont orientées sur l’épidémiologie et les prédictions futures. Il a ainsi développé et mis au point un système taxinomique, permettant un rapprochement des techniques et technologies utilisées par les codes malicieux. En fonction des technologies, le système permet d’établir des calques permettant de définir des probabilités de propagations sur des futurs proches, non encore existantes. C’est la raison pour laquelle de nombreuses prédictions telles que l’arrivée des codes malveillants comme loveletter, l’utilisation des ports TCP/IP, des infections actives, des codes modulaires, etc., avaient été prédites en collèges scientifiques entre experts ces dernières années avant même leurs apparitions.

Marc Blanchard déclare au sujet de sa décision de rejoindre Editions Profil / BitDefender : « J’ai pu constater que les innovations technologiques de BitDefender répondent aux mieux aux problématiques des infections actives génératrices de réseaux zombies. En relation directe avec les équipes du Viruslab et du département innovation, mes recherches épidémiologiques ont une réponse technologique pour appréhender au mieux les problématiques actuelles et futures que sont les infections actives, et notamment avec la nouvelle technologie Active Virus Control de BitDefender. Par ailleurs, la vision d’Editions Profil qu’une solution de protection est indissociable de services de qualité correspond à mon approche personnelle et nous permettra de lancer dans le futur de nouveaux services innovants répondant aux besoins des utilisateurs. »

---

NOTE IMPORTANTE CONCERNANT LES POSTS DE CE BLOG:

Copyright : Blanchard Marc

Paternité Pas d'Utilisation Commerciale Pas de Modification

Vous êtes libre :

• de reproduire, distribuer et communiquer cette création au public

Selon les conditions suivantes :

Paternité. Vous devez citer le nom de l'auteur original.

Pas d'Utilisation Commerciale. Vous n'avez pas le droit d'utiliser cette création à des fins commerciales.

Pas de Modification. Vous n'avez pas le droit de modifier, de transformer ou d'adapter cette création.

- A chaque réutilisation ou distribution, vous devez faire apparaître clairement aux autres les conditions contractuelles de mise à disposition de cette création.

- Chacune de ces conditions peut être levée si vous obtenez l'autorisation du titulaire des droits.

Ce qui précède n'affecte en rien vos droits en tant qu'utilisateur (exceptions au droit d'auteur : copies réservées à l'usage privé du copiste, courtes citations, parodie...)

Ceci est le Résumé Explicatif du Code Juridique (me contacter)

---

Contact :

mail : marc /dot/ blanchard /at/ viruslab/dot/ath/dot/cx

GSM : +33 (0)6 63 58 10 97