Les fermes à spam infectées par les virus?

Le
WinTerMiNator
Depuis quelques jours, je reçois des mails à virus (c'est pas nouveau!) en
provenance de site spammeurs (ça c'est nouveau), référencés comme tels sur
"sbl-xbl.spamhaus.org" et que mon filtre anti-spam marque [DNSBL] (Domain
Name Server Black List) en début d'objet pour qu'ils aillent directement à
la corbeille. J'en ai reçu en tout une dizaine en trois jours.

Si des fermes à spam sont infectées, alors le nombre de virus circulant sur
internet devrait croître très très vite (imaginez un ou des virus s'envoyant
aux dizaines de millions d'adresses mails stockées sur la machine d'un
spammeur professionnel c'est le scénario catastrophe).

J'ai lu aussi certains avis qui suggèrent qu'il s'agirait d'une
"coopération" entre spammeurs et fabricants de virus, les spammeurs étudiant
les méthodes de propagation des vers internet pour les adapter à la
diffusion de spams commerciaux.

Bref, on est pas sortis de la m!

A part ça, mon filtre anti-spam est en service depuis le 10/03.

J'ai reçu 472 spams, contre 78 "bons" courriels.

Sur les spams, environ 85% sont des virus, 15% des spams à caractère
commercial (Viagra, Vicodine, augmenter le diamètre de mon pénis,
placements, prêts hypothécaires pas chers).

Le taux de discrimination est de 97%, les 3% incluant les faux positifs
(bons mails classés spams) et les faux négatifs (spams classés bons).

A noter que dans les virus, passée la période d'apprentissage qui s'est
faite sur 3 à 4 mails infectés, tout les autres mails infectés ont été
automatiquement classés "Spam" par mon filtre (K9, de keir.net). Résultat
remarquable, qui le classe au niveau des meilleurs antivirus de messagerie,
bien qu'a priori il ne soit pas fait pour ça! On est loin d'un simple "effet
de bord"!

Je suis convaincu que les statistiques bayésiennes devraient être intégrées
dans les antivirus et rejoindre la panoplie des techniques de détection.
Messieurs les éditeurs d'antivirus à vous de jouer!


--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
joke0
Le #1132001
Salut,

WinTerMiNator:
J'ai lu aussi certains avis qui suggèrent qu'il s'agirait
d'une "coopération" entre spammeurs et fabricants de virus,


Amha on est au-delà de la simple présomption. Les créateurs des
derniers vers Netsky et Bagle (+Mydoom) vendent leur "réseau"
aux spammeurs, j'en suis sûr.

Je suis convaincu que les statistiques bayésiennes devraient
être intégrées dans les antivirus


Et moi pas du tout. Quand la messagerie est sûre, un antivirus
n'a pas à la scanner. Les filtres doivent être dans le logiciel
de messagerie.

--
joke0

JacK
Le #1131999
sur les news:c6p5hq$eflm3$
WinTerMiNator
Depuis quelques jours, je reçois des mails à virus (c'est pas
nouveau!) en provenance de site spammeurs (ça c'est nouveau),
référencés comme tels sur "sbl-xbl.spamhaus.org" et que mon filtre
anti-spam marque [DNSBL] (Domain Name Server Black List) en début
d'objet pour qu'ils aillent directement à la corbeille. J'en ai reçu
en tout une dizaine en trois jours.

Si des fermes à spam sont infectées, alors le nombre de virus
circulant sur internet devrait croître très très vite (imaginez un ou
des virus s'envoyant aux dizaines de millions d'adresses mails
stockées sur la machine d'un spammeur professionnel... c'est le
scénario catastrophe).
Les DNSBL reprennent les open relays que les spammers utilisent, ils ne sont

pas assez cons pour poster depuis leur IP ;)

J'ai lu aussi certains avis qui suggèrent qu'il s'agirait d'une
"coopération" entre spammeurs et fabricants de virus, les spammeurs
étudiant les méthodes de propagation des vers internet pour les
adapter à la diffusion de spams commerciaux.
Tout porte à le croire, en effet.


Bref, on est pas sortis de la m...!
Jusqu'au coup, evite de faire des vagues.


A part ça, mon filtre anti-spam est en service depuis le 10/03.

J'ai reçu 472 spams, contre 78 "bons" courriels.

Sur les spams, environ 85% sont des virus, 15% des spams à caractère
commercial (Viagra, Vicodine, augmenter le diamètre de mon pénis,
placements, prêts hypothécaires pas chers...).

Le taux de discrimination est de 97%, les 3% incluant les faux
positifs (bons mails classés spams) et les faux négatifs (spams
classés bons).

A noter que dans les virus, passée la période d'apprentissage qui
s'est faite sur 3 à 4 mails infectés, tout les autres mails infectés
ont été automatiquement classés "Spam" par mon filtre (K9, de
keir.net). Résultat remarquable, qui le classe au niveau des
meilleurs antivirus de messagerie, bien qu'a priori il ne soit pas
fait pour ça! On est loin d'un simple "effet de bord"!
K9 peut faire bcp mieux que 97 %.

C'est cependant un effet de bord mais très utile.

Je suis convaincu que les statistiques bayésiennes devraient être
intégrées dans les antivirus et rejoindre la panoplie des techniques
de détection. Messieurs les éditeurs d'antivirus... à vous de jouer!
Comment veux-tu utiliser un filtre bayesien dans une signature ? Rien à

voir avec une technique de détection de malware.
--
JacK

NO_eikaewt_SPAM
Le #1131995
WinTerMiNator wrote:


Je suis convaincu que les statistiques bayésiennes devraient être intégrées
dans les antivirus et rejoindre la panoplie des techniques de détection.
Messieurs les éditeurs d'antivirus... à vous de jouer!


Les techniques bayesiennes sont des methodes de classiffications
supervisees parmi d'autres. Elles se basent sur un certain nombre de
criteres booleens pour determiner dans quelle categorie classer un
element. Si ces criteres booleens sont par exemple : la presence du mot
viagra, celle d'une image,ou d'une adresse IP dans un email, ca peut-etre
applique' au tri des emails. Maintenant, imaginez que ces criteres soient
(entre autres) l'utilisation d'un packer d'executable, un sequence de saut
un suspecte a proximite du point d'entree, la presence d'instructions
correspondant a un cryptage XOR ou l'utilisation de la fonction
URLDownloadToFile dans un executable...

..il est somme toute probable que les editeurs d'antivirus y ont pense'
avant nous ;-)

--
Tweakie

--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To:

Roland Garcia
Le #1131994

Je suis convaincu que les statistiques bayésiennes devraient être intégrées
dans les antivirus et rejoindre la panoplie des techniques de détection.
Messieurs les éditeurs d'antivirus... à vous de jouer!


Elles sont déjà intégrées dans les logiciels de messagerie comme Mozilla
ou The Bat!2

C'est de la reconnaissance de contenu, ça relève du logiciel de
messagerie. Les vers (c'est facile à reconnaître) partent bien chez moi
directement dans le dossier Pourriel.

Roland Garcia

WinTerMiNator
Le #1131993
"JacK" news:c6p6tb$edfrd$
sur les news:c6p5hq$eflm3$
WinTerMiNator [...]


Le taux de discrimination est de 97%, les 3% incluant les faux
positifs (bons mails classés spams) et les faux négatifs (spams
classés bons).

A noter que dans les virus, passée la période d'apprentissage qui
s'est faite sur 3 à 4 mails infectés, tout les autres mails infectés
ont été automatiquement classés "Spam" par mon filtre (K9, de
keir.net). Résultat remarquable, qui le classe au niveau des
meilleurs antivirus de messagerie, bien qu'a priori il ne soit pas
fait pour ça! On est loin d'un simple "effet de bord"!
K9 peut faire bcp mieux que 97 %.



Il est bien meilleur sur les virus (quasi 100%) que sur la discrimination
bon / spam, où il me fait souvent des faux positifs.

C'est cependant un effet de bord mais très utile.


à 100% de détection des virus, c'est plus un effet de bord!

Je suis convaincu que les statistiques bayésiennes devraient être
intégrées dans les antivirus et rejoindre la panoplie des techniques
de détection. Messieurs les éditeurs d'antivirus... à vous de jouer!
Comment veux-tu utiliser un filtre bayesien dans une signature ? Rien à

voir avec une technique de détection de malware.


Un antivirus peut utiliser plusieurs techniques. Parmi les plus classiques:
- la "vaccination" (un checksum d'un fichier exécutable réputé bon est
stocké qqe part, voire même concaténé au fichier; l'antivirus se contente de
recalculer périodiquement ce checksum et de le comparer à ce qui est
mémorisé),
- l'analyse de signatures,
- l'analyse heuristique (détection approchée, susceptible de donner des
fausses alarmes, mais aussi de détecter une nouvelle variante dont on n'a
pas encore la signature),
- le "bac à sable" (surveillance des exécutables, scripts, java, active X,
qui ne sont autorisés à réaliser que des opérations sans risques, voir par
exemple SurfinGuard Pro),
- l'analyse comportementale (le tristement célèbre Viguard, mais aussi IBM
qui y travaille depuis plus de 20 ans; un accord IBM - Symantec avait été
annoncé il y a deux ans, mais j'attends toujours de voir NAV faire du
comportemental; incorporée un tout petit peu avec Hawk dans McAfee
VirusScan, qui filtre les mails à répétition qui se ressemblent, à
l'expédition, et les signale à l'utilisateur comme des envois de virus
potentiels),
- une nouvelle technique, se rapprochant de l'heuristique, l'analyse
statistique bayésienne,
- et certainement encore bien d'autres à venir...

Bref, la lutte antivirus ce n'est "pas que" l'analyse de signature! Jack,
faut sortir de tes ornières ;-)


--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG


Roland Garcia
Le #1131867


Il est bien meilleur sur les virus (quasi 100%) que sur la discrimination
bon / spam, où il me fait souvent des faux positifs.


Normal, les messages utilisés par les vers sont simples.

Roland Garcia

Ewa (siostra Ani) N.
Le #1131863


Je suis convaincu que les statistiques bayésiennes devraient être intégrées
dans les antivirus et rejoindre la panoplie des techniques de détection.
Messieurs les éditeurs d'antivirus... à vous de jouer!


Elles sont déjà intégrées dans les logiciels de messagerie comme Mozilla
ou The Bat!2

C'est de la reconnaissance de contenu, ça relève du logiciel de
messagerie. Les vers (c'est facile à reconnaître) partent bien chez moi
directement dans le dossier Pourriel.


Ben, chez moi *tous* les mails valides partaient à la poubelle, en
commençant par les trucs polonais et en finissant par la France. Ceci
étant dit j'ai une belle collection des vers 100 % pur sang,
maintenant.


ps. j'ai débranché le truc.


--
non francophone


Roland Garcia
Le #1131862



C'est de la reconnaissance de contenu, ça relève du logiciel de
messagerie. Les vers (c'est facile à reconnaître) partent bien chez moi
directement dans le dossier Pourriel.



Ben, chez moi *tous* les mails valides partaient à la poubelle, en
commençant par les trucs polonais et en finissant par la France. Ceci
étant dit j'ai une belle collection des vers 100 % pur sang,
maintenant.


J'ai eu le même problème après avoir upgradé sans effacer la base
précédente.

ps. j'ai débranché le truc.


J'ai réinstallé.

Roland Garcia


NO_eikaewt_SPAM
Le #1131860
WinTerMiNator wrote:

- l'analyse heuristique (détection approchée, susceptible de donner des
fausses alarmes, mais aussi de détecter une nouvelle variante dont on n'a
pas encore la signature),
[...]

- une nouvelle technique, se rapprochant de l'heuristique, l'analyse
statistique bayésienne,


En l'occurence, ca "ne se rapproche pas de", c'est une des techniques
qui sont partie integrante de...

Pour faire simple, l'analyse heuristique determine si un certain nombre
de criteres sont verifies et en fonction du resultat decide si
l'executable
doit etre infecte' ou pas. L'analyse bayesienne est une methode de
decision parmi d'autres, simplement, la phase d'"apprentissage" (en fait,
la determination de la probabilite' qu'un fichier repondant a tel ou tel
critere soit infecte') se fait chez l'editeur d'antivirus, qui voit passer
beaucoup plus d'echantillons que vous.

Au final, si on represente l'ensemble des criteres verifies par un
executable
par des 1 et l'ensemble des criteres non verifies par des 0, il suffit que
l'AV
embarque un ensemble de regles du style :

10011110010100 --> infecte'
10010001***101 --> infecte'

[ou eventuellement 00101001010010 --> sain]

--
Tweakie


--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To:

JacK
Le #1131859
sur les news:c6p80n$en792$
WinTerMiNator
"JacK" news:c6p6tb$edfrd$
sur les news:c6p5hq$eflm3$
WinTerMiNator [...]


Il est bien meilleur sur les virus (quasi 100%) que sur la
discrimination bon / spam, où il me fait souvent des faux positifs.
Perso, je n'ai aucun false positive depuis des mois, de temps à autre des

false negatives, qu'on peut en partie éviter avec les expressions
régulières.

C'est cependant un effet de bord mais très utile.


à 100% de détection des virus, c'est plus un effet de bord!
C'est toujours un effet de bord : il ne détecte pas le virus mais il analyse

le texte du message auquel le virus est joint pour le refuser et se fout
complètement de la pièce jointe infectée ou non pour prendre la décision.
Tant mieux si ça élimine le ver/virus comme corollaire.
Récupère une pièce jointe infectée, rédige un message anodin et joins-la :
K9 ne bronchera évidemment pas.
Dire que K9 détecte les virus est complètement faux, il repère les messages
standards avec lesquels ils arrivent, rien de plus, rien de moins.

Je suis convaincu que les statistiques bayésiennes devraient être
intégrées dans les antivirus et rejoindre la panoplie des techniques
de détection. Messieurs les éditeurs d'antivirus... à vous de jouer!
Comment veux-tu utiliser un filtre bayesien dans une signature ?

Rien à voir avec une technique de détection de malware.


Un antivirus peut utiliser plusieurs techniques. Parmi les plus
classiques: - la "vaccination" (un checksum d'un fichier exécutable
réputé bon est stocké qqe part, voire même concaténé au fichier;
l'antivirus se contente de recalculer périodiquement ce checksum et
de le comparer à ce qui est mémorisé),
- l'analyse de signatures,
- l'analyse heuristique (détection approchée, susceptible de donner
des fausses alarmes, mais aussi de détecter une nouvelle variante
dont on n'a pas encore la signature),
- le "bac à sable" (surveillance des exécutables, scripts, java,
active X, qui ne sont autorisés à réaliser que des opérations sans
risques, voir par exemple SurfinGuard Pro),
- l'analyse comportementale (le tristement célèbre Viguard, mais
aussi IBM qui y travaille depuis plus de 20 ans; un accord IBM -
Symantec avait été annoncé il y a deux ans, mais j'attends toujours
de voir NAV faire du comportemental; incorporée un tout petit peu
avec Hawk dans McAfee VirusScan, qui filtre les mails à répétition
qui se ressemblent, à l'expédition, et les signale à l'utilisateur
comme des envois de virus potentiels),
- une nouvelle technique, se rapprochant de l'heuristique, l'analyse
statistique bayésienne,
- et certainement encore bien d'autres à venir...

Bref, la lutte antivirus ce n'est "pas que" l'analyse de signature!
Jack, faut sortir de tes ornières ;-)
Bien sûr qu'il n'y a pas que les signatures !

Par contre je ne vois pas comment des filtres bayesiens pourraient
s'appliquer à l'analyse des virus : il s'agit simplement de listes de bons
et de mauvais mots, un calcul du pourcentage ensuite pour donner une
probabilité. A ma connaissance aucun AV ne travaille avec des filtres
bayesiens, ça ne s'applique pas à du code : comment veux-tu faire des
probabilités sur les mots employés dans le code, c'est les mêmes pour du
code correct que pour du code malveillant.
--
JacK
[OT] La francisation de K9 est disponible sur
http://www.optimix.be.tf/k9.htm
--
JacK



Publicité
Poster une réponse
Anonyme