Un poil supérieur à la moyenne mondiale quand même…

Mais un bon cran en dessous ici :

Si le coeur vous en dit, le rapport complet est là :

http://www.symanteccloud.com/en/us/mlireport/SYMCINT_2011_10_October_FINAL-en.pdf

La descendance s’annonce.

Voici donc w32.duqu, dont la principale caractéristique de reprendre plus de 50% du code de « Papa », comme tout bon fiston qui se respecte.En l’occurrence, il est certain que les auteurs ont eu accès au code source de Stuxnet, soit parce qu’il le possédait déjà (!), soit parce qu’ils ont pu se le procurer d’une manière ou d’une autre.

Cette fois, même si le type de cible ultime pourrait être assez proche (autour des systèmes de contrôles industriels), la fonction est bien différente puisque clairement orientée vers le vol d’informations confidentielles

En résumé :

• Nous avons découvert des exécutables utilisant le code de Stuxnet. Ils semblent avoir été développés après la dernière version de Stuxnet.
• Ces programmes sont conçus pour capturer des frappes clavier ainsi que des informations systèmes ou de design.
• L’analyse actuelle ne montre pas de code directement lié à des vulnérabilités de systèmes de contrôles industriels.
• Il ne se réplique pas.
• Ces exécutables ont été identifiés dans un nombre limité d’organisations, incluant notamment la fourniture de systèmes de contrôles industriels.
• Les données exfiltrées pourraient être utilisées par la suite pour lancer des attaques de type Stuxnet.

Des informations plus détaillées sont disponible sur le blog de Symantec Response :

http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet.

Ainsi qu’un « white paper » encore plus fouillé ici :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf.

Mais les analyses se poursuivent…donc à suivre.

Nombreuses machines, nombreux développements,  plusieurs pays, le plein de clics, pour un gain (hors taxe !) de plus de 60.000 $ par an.

Gains en dollar entre septembre 2010 et juin 2011

Le principe, rappelons-le est de générer du revenu en détournant les différents systèmes de rémunération existants autour de la publicité sur internet, big business (!), et notamment basés sur les recherches lancées par les internautes. L’achat de mots-clefs qui propose l’affichage de liens « sponsorisés » représentent un chiffre d’affaire important pour les moteurs de recherche.

Par ailleurs, avez-vous déjà observé la soudaine pertinence des pubs et autres bannières après une recherche sur un bien de consommation ?

Tous les détails et de nombreux schémas dans le document suivant  : W32.Xpaj.B, Making easy mony from complex code

Un petit clic pour le plein de cash…

L’application contrefaite est disponible sur certains sites de partages renommés, et se comporte de manière très intéressante !

Heureusement, le taux d’infection potentiel est très limité…

Dans un premier temps, l’application « sermonne » l’utilisateur quand à l’installation d’application, comment dire, illégitime :

Puis dans un second temps, vole les coordonnées du SmartPhone (nom, numéro, IMEI…) et après, envoie un message à tout le carnet d’adresse !

Finalement, il suggère à l’utilisateur berné de surveiller sa note de téléphone et lui propose d’acheter la vraie application Walk&Text…

Trop la honte !!!

Avec le même type de fonctionnement et les mêmes possibilités ce celle décrites dans mon article précédent…

Ces applications auraient été téléchargées à plusieurs dizaine milliers d’exemplaires durant les 4 jours de présence, avant d’être retirées par Google.

Liste des applications infectées :

Editeur: kingmall2010

Applications:

• 掷骰子 Version 2.4.1
• 多彩绘画 Version 1.2
• Advanced App to SD Version 1.0.1
• Magic Strobe Light Version 1.0.1
• Advanced Compass Leveler Version 1.1.1
• Super Stopwatch & Timer Version 4.3
• Sexy Legs Version 1.0.01
• Sexy Girls: Japanese Version 1.0
• Bowling Time Version 1.8
• 软件强力卸载 Version 4.2
• Music Box Version 2.5
• Best password safe Version 1.0.5
• 墨水坦克Panzer Panic Version 1.0.0
• 裸奔先生Mr. Runner Version 1.0
• Hot Sexy Girls Version 1.0
• Super sex sound Version 1.3
• 致命绝色美腿 Version 1.0.01
• Super Bluetooth Transfer Version 2.30.1
• Advanced File Manager Version 1.1.0
• Advanced Barcode Scanner Version 1.0.1
• Task Killer Pro Version 1.0.1

Editeur : myournet

Applications:

• Spider Man Version 1.29
• 蜘蛛侠 Version 1.29
• Funny Paint Version 1.2
• Dice Roller Version 2.4.1
• 躲避弹球 Version 2.0.9
• Falling Ball Dodge Version 2.0.9
• Photo Editor Version 3.1.1
• Chess Version 2.6.1
• APP Uninstaller Version 1.6.0
• 几何战机_PewPew Version 1.5.3
• 下坠滚球_Falldown Version 1.0
• Falling Down Version 1.0
• Screaming Sexy Japanese Girls Version 1.0
• Hot Sexy Videos Version 0.1.10
• Super History Eraser Version 1.0.1
• Super Ringtone Maker Version 1.0.1
• Hilton Sex Sound Version 2.1.1
• Scientific Calculator Version 1.4.2
• Super Guitar Solo Version 1.0.1
• Super Sex Positions Version 1.0
• Advanced Currency Converter Version 1.0.1

Editeur : we20090202

Applications:

• Basketball Shot Now Version 1.4.0
• Omok – Five in a Row Version 3.1.1
• Super Sexy Ringtones Version 3.1.4
• 手指赛跑 Finger Race Version 1.4.5
• Magic Hypnotic Spiral Version 2.0.0
• Quick Notes Version 2.1.1
• 投篮高手 Version 1.4.0
• Quick Delete Contacts Version 1.0
• Advanced Sound Manager Version 2.0.0
• Color Blindness Test Version 2.1.1

A vérifier également la présence de « com.android.providers.downloadsmanager » (DownloadManageService) dans les paramètres “running services“ du smartphone.

Selon une étude publié en janvier dernier par le Gartner Group, le marché des applications pour smartphones se porte plutôt bien !

Quelques chiffre$ :

• 5 milliards de revenu généré en 2010
• 15 milliards de revenu estimé pour 2011, soit 190% d’augmentation
• 8,2 milliards d’applications téléchargées en 2010
• 17,1 milliards d’applications le seront en 2011
• Et près de 185 milliards de téléchargements depuis l’origine en 2008, à l’horizon 2014
• Le tout pour un total de plus de 50 milliards de chiffre d’affaire en 2014 !

OUF ! ça calme…..même en imaginant une sur-estimation de moitié, bref, cela en fait des sous !

Et là, les cyber-criminels se diraient : « bah, on a déjà assez gagné d’argent via les ordinateurs personnels, on va laisser les smartphones tranquilles« .

Sérieusement ?

Parlons maintenant de notre dernière trouvaille, j’ai nommé Android.Pjapps, cheval de Troie, qui en l’occurrence a été inséré dans l’incontournable application « Steamy Window » pour en créer une version infectée, disponible sur les marchés Android « parallèles »…pourtant absolument infréquentables, cela va sans dire.

Mais bon, certains s’y approvisionnent quand même et voilà le travail : un cheval de Troie Android, capable de monter un botnet, d’installer d’autres applications, naviguer sur le net, ajouter des signets, envoyer des SMS (Smishing), bloquer des messages entrants (ceux du fournisseur d’accès) et même renvoyer les informations confidentielles à l’auteur (EMEI, numéro d’appareil, numéro de téléphone…).

Il est donc toujours plus important :

1. de se limiter aux « appstore, markets » officiels ou le risque d’obtenir une application malveillante est bien moindre
2. de lire attentivement les demandes d’autorisation des applications
3. de s’intéresser à la protection des nouveaux appareils connectés, à titre personnel et professionnel.
4. d’envisager la mise en place d’outils de protection…il y en a…

Ceci reste une vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.

Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.

Voici d’ailleurs une vidéo très explicite :

Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.

Conficker/Downadup :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf

Hydraq :

http://www.symantec.com/connect/blogs/trojanhydraq-incident

http://www.symantec.com/connect/blogs/hydraq-vnc-connection

PS : un grand MERCI à Nicolas pour son aide !

Dans ce cas, ce n’est pas le détournement de don qui est visé, mais bien l’installation d’un facticiel sur la machine de l’internaute.

1) La recherche :

2) si l’on clique sur le lien indiqué ci-dessus, voici ce mon Norton Internet Security 2010 me dit :

Pour l’anecdote, l’attaque vient de Jamaïque, bien que je doute fortement que l’impétrant soit Jamaïcain.

ATTENTION, ces exercices sont réalisés par des professionnels, ne pas les reproduire à la maison !!!

Il fallait s’y attendre, eh bien oui, plus du tiers des sites les plus malfaisants du monde sont catégorisés « Adultes » ! Ces informations proviennent du site http://safeweb.norton.com , qui outre vous donner le degré de dangerosité d’un site AVANT d’y mettre les clics, remonte périodiquement des statistiques.

Ajoutons quelques infos :

• 18 du top 20 sont classés « adultes »
• On trouve plus de 80.000 maliciels (si, si 80 mille) sur chacun des 3 premiers sites
• La très grande majorité sont des « .com« , suivi des « .net » et des « .cn »
• La plupart sont hébergés aux Etats-Unis et en Chine.
• Ces sites ont une durée de vie limitée, enfin surtout leur nom…car ils renaissent par magie sous un autre nom assez rapidement.

A noter cependant (et à l’instant même) un probable nouveau record avec un site plutôt inoffensif à priori, mais qui recelle à lui seul 133741 risques de sécurité. Inutile de dire qu’il serait stupide d’y aller…

Désolé pour ceux qui attendaient du plus « croustillant » (j’ai les noms…)

Et pour mémoire,  l’orgueil et la colère, c’était là

Le principe de l’affreux est de chiffrer les fichiers de la machine cible via un algorithme RCA, les rendant de ce fait inutilisables. La présence de fichiers à l’extension .viCrypt est un signe certain d’infection. Evidemment, si comme cela peut arriver, des fichiers systèmes font partie du lot, le bon fonctionnement de Windows peut être impacté.

Quoi qu’il en soit, et à la différence de ses prédécesseurs, point de message de demande de rançon explicite !

La victime cherchera probablement alors sur son moteur de recherche préféré le mot-clef « viCrypt » et trouvera opportunément un site proposant la suppression de l’intrus et le déchiffrement des fichiers !

Air connu non ?

Bref, en cas de problème, vous trouverez ici un outil de désinfection sûr et gratuit.