Les fermes à spam infectées par les virus?
Le
WinTerMiNator
Depuis quelques jours, je reçois des mails à virus (c'est pas nouveau!) en
provenance de site spammeurs (ça c'est nouveau), référencés comme tels sur
"sbl-xbl.spamhaus.org" et que mon filtre anti-spam marque [DNSBL] (Domain
Name Server Black List) en début d'objet pour qu'ils aillent directement à
la corbeille. J'en ai reçu en tout une dizaine en trois jours.
Si des fermes à spam sont infectées, alors le nombre de virus circulant sur
internet devrait croître très très vite (imaginez un ou des virus s'envoyant
aux dizaines de millions d'adresses mails stockées sur la machine d'un
spammeur professionnel c'est le scénario catastrophe).
J'ai lu aussi certains avis qui suggèrent qu'il s'agirait d'une
"coopération" entre spammeurs et fabricants de virus, les spammeurs étudiant
les méthodes de propagation des vers internet pour les adapter à la
diffusion de spams commerciaux.
Bref, on est pas sortis de la m!
A part ça, mon filtre anti-spam est en service depuis le 10/03.
J'ai reçu 472 spams, contre 78 "bons" courriels.
Sur les spams, environ 85% sont des virus, 15% des spams à caractère
commercial (Viagra, Vicodine, augmenter le diamètre de mon pénis,
placements, prêts hypothécaires pas chers).
Le taux de discrimination est de 97%, les 3% incluant les faux positifs
(bons mails classés spams) et les faux négatifs (spams classés bons).
A noter que dans les virus, passée la période d'apprentissage qui s'est
faite sur 3 à 4 mails infectés, tout les autres mails infectés ont été
automatiquement classés "Spam" par mon filtre (K9, de keir.net). Résultat
remarquable, qui le classe au niveau des meilleurs antivirus de messagerie,
bien qu'a priori il ne soit pas fait pour ça! On est loin d'un simple "effet
de bord"!
Je suis convaincu que les statistiques bayésiennes devraient être intégrées
dans les antivirus et rejoindre la panoplie des techniques de détection.
Messieurs les éditeurs d'antivirus à vous de jouer!
--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
provenance de site spammeurs (ça c'est nouveau), référencés comme tels sur
"sbl-xbl.spamhaus.org" et que mon filtre anti-spam marque [DNSBL] (Domain
Name Server Black List) en début d'objet pour qu'ils aillent directement à
la corbeille. J'en ai reçu en tout une dizaine en trois jours.
Si des fermes à spam sont infectées, alors le nombre de virus circulant sur
internet devrait croître très très vite (imaginez un ou des virus s'envoyant
aux dizaines de millions d'adresses mails stockées sur la machine d'un
spammeur professionnel c'est le scénario catastrophe).
J'ai lu aussi certains avis qui suggèrent qu'il s'agirait d'une
"coopération" entre spammeurs et fabricants de virus, les spammeurs étudiant
les méthodes de propagation des vers internet pour les adapter à la
diffusion de spams commerciaux.
Bref, on est pas sortis de la m!
A part ça, mon filtre anti-spam est en service depuis le 10/03.
J'ai reçu 472 spams, contre 78 "bons" courriels.
Sur les spams, environ 85% sont des virus, 15% des spams à caractère
commercial (Viagra, Vicodine, augmenter le diamètre de mon pénis,
placements, prêts hypothécaires pas chers).
Le taux de discrimination est de 97%, les 3% incluant les faux positifs
(bons mails classés spams) et les faux négatifs (spams classés bons).
A noter que dans les virus, passée la période d'apprentissage qui s'est
faite sur 3 à 4 mails infectés, tout les autres mails infectés ont été
automatiquement classés "Spam" par mon filtre (K9, de keir.net). Résultat
remarquable, qui le classe au niveau des meilleurs antivirus de messagerie,
bien qu'a priori il ne soit pas fait pour ça! On est loin d'un simple "effet
de bord"!
Je suis convaincu que les statistiques bayésiennes devraient être intégrées
dans les antivirus et rejoindre la panoplie des techniques de détection.
Messieurs les éditeurs d'antivirus à vous de jouer!
--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
Poser une question
WinTerMiNator:
Amha on est au-delà de la simple présomption. Les créateurs des
derniers vers Netsky et Bagle (+Mydoom) vendent leur "réseau"
aux spammeurs, j'en suis sûr.
Et moi pas du tout. Quand la messagerie est sûre, un antivirus
n'a pas à la scanner. Les filtres doivent être dans le logiciel
de messagerie.
--
joke0
WinTerMiNator
pas assez cons pour poster depuis leur IP ;)
C'est cependant un effet de bord mais très utile.
voir avec une technique de détection de malware.
--
JacK
Les techniques bayesiennes sont des methodes de classiffications
supervisees parmi d'autres. Elles se basent sur un certain nombre de
criteres booleens pour determiner dans quelle categorie classer un
element. Si ces criteres booleens sont par exemple : la presence du mot
viagra, celle d'une image,ou d'une adresse IP dans un email, ca peut-etre
applique' au tri des emails. Maintenant, imaginez que ces criteres soient
(entre autres) l'utilisation d'un packer d'executable, un sequence de saut
un suspecte a proximite du point d'entree, la presence d'instructions
correspondant a un cryptage XOR ou l'utilisation de la fonction
URLDownloadToFile dans un executable...
..il est somme toute probable que les editeurs d'antivirus y ont pense'
avant nous ;-)
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To:
Elles sont déjà intégrées dans les logiciels de messagerie comme Mozilla
ou The Bat!2
C'est de la reconnaissance de contenu, ça relève du logiciel de
messagerie. Les vers (c'est facile à reconnaître) partent bien chez moi
directement dans le dossier Pourriel.
Roland Garcia
Il est bien meilleur sur les virus (quasi 100%) que sur la discrimination
bon / spam, où il me fait souvent des faux positifs.
à 100% de détection des virus, c'est plus un effet de bord!
Un antivirus peut utiliser plusieurs techniques. Parmi les plus classiques:
- la "vaccination" (un checksum d'un fichier exécutable réputé bon est
stocké qqe part, voire même concaténé au fichier; l'antivirus se contente de
recalculer périodiquement ce checksum et de le comparer à ce qui est
mémorisé),
- l'analyse de signatures,
- l'analyse heuristique (détection approchée, susceptible de donner des
fausses alarmes, mais aussi de détecter une nouvelle variante dont on n'a
pas encore la signature),
- le "bac à sable" (surveillance des exécutables, scripts, java, active X,
qui ne sont autorisés à réaliser que des opérations sans risques, voir par
exemple SurfinGuard Pro),
- l'analyse comportementale (le tristement célèbre Viguard, mais aussi IBM
qui y travaille depuis plus de 20 ans; un accord IBM - Symantec avait été
annoncé il y a deux ans, mais j'attends toujours de voir NAV faire du
comportemental; incorporée un tout petit peu avec Hawk dans McAfee
VirusScan, qui filtre les mails à répétition qui se ressemblent, à
l'expédition, et les signale à l'utilisateur comme des envois de virus
potentiels),
- une nouvelle technique, se rapprochant de l'heuristique, l'analyse
statistique bayésienne,
- et certainement encore bien d'autres à venir...
Bref, la lutte antivirus ce n'est "pas que" l'analyse de signature! Jack,
faut sortir de tes ornières ;-)
--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG