Ceci reste une vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.

Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.

Voici d’ailleurs une vidéo très explicite :

Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.

Conficker/Downadup :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf

Hydraq :

http://www.symantec.com/connect/blogs/trojanhydraq-incident

http://www.symantec.com/connect/blogs/hydraq-vnc-connection

PS : un grand MERCI à Nicolas pour son aide !

Dans ce cas, ce n’est pas le détournement de don qui est visé, mais bien l’installation d’un facticiel sur la machine de l’internaute.

1) La recherche :

2) si l’on clique sur le lien indiqué ci-dessus, voici ce mon Norton Internet Security 2010 me dit :

Pour l’anecdote, l’attaque vient de Jamaïque, bien que je doute fortement que l’impétrant soit Jamaïcain.

ATTENTION, ces exercices sont réalisés par des professionnels, ne pas les reproduire à la maison !!!

Il fallait s’y attendre, eh bien oui, plus du tiers des sites les plus malfaisants du monde sont catégorisés « Adultes » ! Ces informations proviennent du site http://safeweb.norton.com , qui outre vous donner le degré de dangerosité d’un site AVANT d’y mettre les clics, remonte périodiquement des statistiques.

Ajoutons quelques infos :

• 18 du top 20 sont classés « adultes »
• On trouve plus de 80.000 maliciels (si, si 80 mille) sur chacun des 3 premiers sites
• La très grande majorité sont des « .com« , suivi des « .net » et des « .cn »
• La plupart sont hébergés aux Etats-Unis et en Chine.
• Ces sites ont une durée de vie limitée, enfin surtout leur nom…car ils renaissent par magie sous un autre nom assez rapidement.

A noter cependant (et à l’instant même) un probable nouveau record avec un site plutôt inoffensif à priori, mais qui recelle à lui seul 133741 risques de sécurité. Inutile de dire qu’il serait stupide d’y aller…

Désolé pour ceux qui attendaient du plus « croustillant » (j’ai les noms…)

Et pour mémoire,  l’orgueil et la colère, c’était là

Le principe de l’affreux est de chiffrer les fichiers de la machine cible via un algorithme RCA, les rendant de ce fait inutilisables. La présence de fichiers à l’extension .viCrypt est un signe certain d’infection. Evidemment, si comme cela peut arriver, des fichiers systèmes font partie du lot, le bon fonctionnement de Windows peut être impacté.

Quoi qu’il en soit, et à la différence de ses prédécesseurs, point de message de demande de rançon explicite !

La victime cherchera probablement alors sur son moteur de recherche préféré le mot-clef « viCrypt » et trouvera opportunément un site proposant la suppression de l’intrus et le déchiffrement des fichiers !

Air connu non ?

Bref, en cas de problème, vous trouverez ici un outil de désinfection sûr et gratuit.

Un facticiel (j’aime les néologismes…!) est un logiciel factice, la plupart du temps dans le domaine de la sécurité ou des performances système.

Voici le résumé d’un rapport publié récemment par Symantec sur l’univers de ces « logiciels » de sécurité factices qui fleurissent sur le net, drainant des sommes importantes. De juillet 2008 à juin 2009, plus de 43 millions de tentatives d’installations ont été détectées sur le périmètre observé. Au prix minimum de 30$ par facticiel, on se fait rapidement une idée des sommes en jeu.

Le but de l’opération est le profit, comme d’habitude. Cette fois, l’idée est de duper l’internaute en l’incitant à installer, puis acquérir en ligne, un pseudo logiciel de sécurité, censé le débarrasser des menaces qu’il a opportunément détecté sur la machine en question !

Tout commence généralement par ce genre de messages intempestifs :

Ce peut être alors le début d’un enchaînement dont il est parfois difficile de sortir.

Les moyens de communication utilisés

1)      Spam

En 2008, la plupart des « grands » botnets tels que Peacomm, Srizbi, Rustosk ou encore Ozdok envoyaient des messages faisant notamment la promotion de « AntiVirus XP 2008 », et contenant un lien vers un site associé.

2)      Bannières publicitaires

Une certaine complexité dans la gestion des bandeaux publicitaires permet la diffusion de vrais messages publicitaires vers les sites de vente en ligne de facticiels. Le propriétaire de l’emplacement n’ayant que rarement connaissance du commanditaire et donc du contenu final.

3)      Liens dans des blogs, forums ou réseaux sociaux

Il existe des outils, capables de contourner les protections par CAPTCHA et permettant ainsi de poster un grand nombre de liens, comme réponses à des articles dans une grande variété de blogs ou de forums. Ceci ayant également un impact dans les classements des moteurs de recherche. 

4)      Résultats de moteurs de recherche

Le détournement des techniques utilisées pour procéder au classement des sites par les moteurs de recherches sont également une source possible (SEO poisoning). L’hiver dernier, lors de l’émergence de Downadup/Conficker, de nombreuses pages pleines de mots-clefs comme « remove virus » ou « free antivirus » sont apparues, tentant ainsi d’induire en erreur les algorithmes de pertinence.

5)      Modules complémentaires de navigateurs ou « Browser Helper Object » (BHO)

Un BHO est un genre de « plug-in » qui ajoute des fonctionnalités au navigateur, voulues ou non. « AntiVirus 2009 » installe un module de ce type, poussant l’utilisateur à activer le facticiel en question, avec la caution du moteur de recherche,  via un site de vente en ligne.

Zoom

Bien que la méthode principale d’installation reste majoritairement volontaire de la part de l’internaute, d’autres techniques sont employées.

Plusieurs méthodes d’installation

1)      Par l’utilisateur lui-même

Dans 93% des tentatives observées, l’installation est intentionnelle, même si d’autres techniques sont employées.

2)      Des exécutables « modifiés » en pièce jointe

L’envoi de pièces jointes via spam reste un moyen simple de déployer des facticiels. Les attachements sont masqués par exemple via de fausses extensions (musique, médias ou fichiers compressés), qui implantent leur charge utile si on les exécute.

3)      Par un maliciel quelconque (Conficker, Zlob, Vundo…)

Directement ou non, des maliciels connus avaient, entre autre, pour but d’installer des facticiels comme « PrivacyCenter » ou « Malware Defender 2009 ». A noter le cas de Zlob, installant « IE Defender », lui-même détectant Zlob, et proposant de le supprimer moyennant finance !

Le modèle économique

1)      Les sites marchands

Généralement, très ressemblants aux vrais, ces sites proposent la vente de facticiel via les systèmes classiques de paiement en ligne. Le coût variant de 30 $ à plus de 100 $. Outre le montant prélevé, les coordonnées bancaires sont évidement susceptibles d’être réutilisées voire revendues

2)      Le PPI (ou Pay-Per-Install)

Basé sur un modèle d’affiliation, système plus ou moins proche de la franchise, les « affiliés » sont rémunérés au nombre d’installations par les fournisseurs de l’infrastructure. Les meilleurs pouvant gagner jusqu’à plusieurs centaines de milliers de dollars par mois.

Ici un exemple de tableau de bord tiré de feu « TrafficConverter.biz ».

Comment s’en prémunir

Je rappelle qu’AUCUN éditeur de solutions de sécurité reconnu ne procède de cette manière :

- Si des alertes apparaissent à l’écran, d’une autre “marque” que celle déjà en place, il s’agit d’une arnaque !

- Si l’on ne trouve pas le “logiciel” en question à la vente sur un site ayant “pignon sur rue”, c’est une arnaque !

Et donc SEULE, une solution de dernière génération, développée par un professionnel reconnu dans le secteur de la sécurité informatique est à même de protéger les utilisateurs.

Pour les détails, l’étude complète est disponible ici, en anglais.

Cet article est également disponible sur le site Tom’s Hardware, dans la section « L’oeil des experts »

PS : je conseille modestement la lecture du petit livre de Patrice Louis, « C’est beau mais c’est faux », rien à voir avec le sujet précédent, mais particulièrement intéressant et instructif sur certains lieux communs et autres idées reçues qui s’avèrent complètement érronés. Quelques extraits à lire ici.

Pas ici de vrai cybercrime motivé par le profit, mais plutôt un projet « artistique » selon l’auteur lui-même !

Cela ce confirme….j’ai toujours eu du mal avec l’art moderne.

Voici une vidéo de la bête en action :

Et le « mode d’emploi » :

Il répond entre autre au doux nom de OSX.LOOSEMAQUE, si vous cherchez plus de détails techniques…

C’est généralement le signe de l’arrivée de la large bande dans un pays. Plusieurs éléments pouvant expliquer le phénomène :

1. La priorité est au déploiement, la prise en compte de la sécurité par les FAI vient plus tard.
2. Les nouveaux internautes n’ont pas les bons réflexes de vigilance (cela dit, c’est pas forcément mieux chez les plus anciens…) car l’information en la matière est pauvre et mal diffusée.
3. Les cyber-cafés fleurissent, ou les machines disponibles sont rarement au top de la sécurité et souvent membres de botnets.

Bref, l’occasion de gagner des tonnes de sucre pour la cyber-criminalité.

FYI : Jusqu’en 2000, la monnaie équatorienne était le sucre. Suite à une inflation explosive, le dollar a été choisi.

• 3 méthodes de propagations (internet, réseaux locaux, clefs USB)
• Géo-localisation et empreintes logicielles pour définir précisément la localisation de la machine infectée ainsi que sa version de Windows et la langue utilisée
• Différentes méthodes de mise à jour et de contrôle à distance (web ou P2P)
• Des techniques de défense évoluées: tentatives d’arrêt de programmes de sécurité, chiffrement, blocage des accès aux sites des spécialistes en sécurité…..
• et plus encore (tous les détails ICI, pour les amateurs)

A ce jour, il semble que la dernière version majeure (C ), qui ne se propage plus, fasse évoluer son modus operandi de mise à jour, à partir du 1ier avril.
Pourquoi faire ?

• Rien…
• Installer une version D ?
• Inciter à l’installation de faux anti-virus ?
• Envoi de spam massif ?
• Lancer des attaques en déni de service ? (cf Estonie 2007)
• Mettre en place un « grid » de calcul parallèle massif pour « casser » des algorithmes de chiffrement ?
• En gros, toutes les utilisations possibles d’un botnet….

Attention néanmoins au syndrome « bug de l’an 2000 », finalement bien traité en amont et donc quasi inexistant !

De nombreuses compétences et ressources travaillent actuellement sur le sujet, dont la furtivité (élément essentiel de la cybercriminalité) a vécu. Reste en revanche aux internautes et surtout aux entreprises à ne pas prendre la menace potentielle par-dessus la jambe, et éventuellement apprendre de leurs erreurs.

Pour mémoire :

- Le 23 octobre dernier, Microsoft annonçait la faille et le correctif associé « MS08-67″ (soit le 67ieme de l’année 2008).

- Le 21 novembre, les premières variantes exploitant cette vulnérabilité sont détectées et donc les premières signatures sont publiées.

- Le 30 décembre, la souche W32.Downadup.B est identifiée et les signatures sont mises à jour dans la foulée.

Sans vouloir revenir sur le fonctionnement de la bête, largement détaillé ici et là (voir plus bas, entre autre), sa propagation repose sur des défauts de mise à jour des systèmes d’exploitation ainsi que des solutions de sécurité. C’est plutôt du côté processus de mise à jour qu’il faut rechercher les failles.

La mise à jour des systèmes, TOUS les systèmes, est un élément fondamental de la sécurité.  En effet,  à la lumière du « Symantec Internet Security Threat Report - Volume XIII, on constate que même si le pourcentage de maliciels basés sur l’exploitation d’une vulnérabilité n’est que de 10%, cela reste un des vecteurs de propagation les plus efficaces (17% des mécanismes), et le premier sans interaction humaine directe.

A noter au passage que, bien entendu, parmi les systèmes infectés, on trouve en première ligne les Windows « tombés d’un camion », dont la fonction « Windows update » aura été désactivé. Il en résulte une corrélation entre les taux de propagation élevés du ver et les régions ou l’on trouverait le plus grand nombre de copies illégales de Windows…

10 pays les plus infectés par Downadup (Source Symantec Corp.)

Piracy rate by region (Source BSA - Global Piracy Study 2007)

De plus, outre sa propre propagation dont l’arrêt représente déjà un problème important, il ne semble pas à ce jour qu’une véritable « charge utile » ne  soit déployée. Ce qui ne colle pas avec les motivations habituelles du côté obscur, clairement tournées vers le profit.

A suivre donc.

Au fait, plein de détails techniques et aussi le « REMOVAL TOOL » gratuit là : http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1