je viens de recevoir un nouveau vers (I-Worm.Swen), déjà détecté par
KAV. Il se propage via IRC, Kazaa et les mails. Pour la partie Mails, il
se fait passer pour un mail de Microsoft. Ca a vraiment une bonne gueule,
d'ailleurs.
dans (in) fr.comp.securite.virus, Frederic Bonroy ecrivait (wrote) :
Salut,
Sebastien Bricout wrote:
Sans comper qu'un truc aussi gros devrait éveiller les soupçons du moteur de détection "intelligent".
Si c'est du C++ comme j'ai entendu dire, alors ce n'est pas évident de détecter ça heuristiquement, si c'est ça que vous voulez dire.
M'étonnerait pas que ce soit effectivement écrit en C ou en C++.
Swen est à mon sens le virus le mieux pensé, conçu et codé depuis bien longtemps. Tout est nickel :
- les From: et les Subject: sont cohérents mais aléatoires (permutations) et donc difficiles à filtrer ; - le mail en HTML est un modèle du genre : * aspect professionnel ; * argumentation totalement recevable si on n'est pas un pro de l'informatique (et puis les admins ne cessent de dire à leurs utilisateurs : faites des mises à jour régulières du système...) ; * pas une faute d'orthographe ; * tous les liens URL cités pointent sur des destinations réelles et officielles ; - il tente d'utiliser des failles anciennes pour accroître encore sa diffusion (pas besoin de cliquer si l'utilisateur possède des versions trop anciennes d'OE/IE, le bidule s'installe tout seul) ; - après installation, le virus répond « bravo vous êtes maintenant protégé » ; - si on tente de le réinstaller, il répond « votre machine est déjà à jour ».
Bref, du grand art.
On est bien loin des scripts en vbs écrits par des Jean-Kévin...
Le seul truc qui me chiffonne, c'est son objectif |*].
Si c'est d'encombrer la bande passante, de saturer les BAL de centaines de milliers de personnes et de faire tomber des serveurs SMTP, c'est plutôt réussi, mais est-ce une fin en soi ? Rien dans ce que j'ai lu jusqu'à maintenant ne laisse à penser qu'il tente de détruire des données sur les machines infectées ou d'y installer une backdoor par exemple.
[*] Ce point est prut-être discuté plus loin, j'ai un gros retard de lecture...
-- Eric
dans (in) fr.comp.securite.virus, Frederic Bonroy <yorbon@yahoo.fr>
ecrivait (wrote) :
Salut,
Sebastien Bricout wrote:
Sans comper qu'un truc aussi gros devrait éveiller les soupçons du
moteur de détection "intelligent".
Si c'est du C++ comme j'ai entendu dire, alors ce n'est pas évident
de détecter ça heuristiquement, si c'est ça que vous voulez dire.
M'étonnerait pas que ce soit effectivement écrit en C ou en C++.
Swen est à mon sens le virus le mieux pensé, conçu et codé depuis bien
longtemps. Tout est nickel :
- les From: et les Subject: sont cohérents mais aléatoires
(permutations) et donc difficiles à filtrer ;
- le mail en HTML est un modèle du genre :
* aspect professionnel ;
* argumentation totalement recevable si on n'est pas un pro de
l'informatique (et puis les admins ne cessent de dire à leurs
utilisateurs : faites des mises à jour régulières du système...) ;
* pas une faute d'orthographe ;
* tous les liens URL cités pointent sur des destinations réelles
et officielles ;
- il tente d'utiliser des failles anciennes pour accroître encore
sa diffusion (pas besoin de cliquer si l'utilisateur possède des
versions trop anciennes d'OE/IE, le bidule s'installe tout seul) ;
- après installation, le virus répond « bravo vous êtes maintenant
protégé » ;
- si on tente de le réinstaller, il répond « votre machine est déjà à
jour ».
Bref, du grand art.
On est bien loin des scripts en vbs écrits par des Jean-Kévin...
Le seul truc qui me chiffonne, c'est son objectif |*].
Si c'est d'encombrer la bande passante, de saturer les BAL de centaines
de milliers de personnes et de faire tomber des serveurs SMTP, c'est
plutôt réussi, mais est-ce une fin en soi ? Rien dans ce que j'ai lu
jusqu'à maintenant ne laisse à penser qu'il tente de détruire des
données sur les machines infectées ou d'y installer une backdoor par
exemple.
[*] Ce point est prut-être discuté plus loin, j'ai un gros retard de
lecture...
dans (in) fr.comp.securite.virus, Frederic Bonroy ecrivait (wrote) :
Salut,
Sebastien Bricout wrote:
Sans comper qu'un truc aussi gros devrait éveiller les soupçons du moteur de détection "intelligent".
Si c'est du C++ comme j'ai entendu dire, alors ce n'est pas évident de détecter ça heuristiquement, si c'est ça que vous voulez dire.
M'étonnerait pas que ce soit effectivement écrit en C ou en C++.
Swen est à mon sens le virus le mieux pensé, conçu et codé depuis bien longtemps. Tout est nickel :
- les From: et les Subject: sont cohérents mais aléatoires (permutations) et donc difficiles à filtrer ; - le mail en HTML est un modèle du genre : * aspect professionnel ; * argumentation totalement recevable si on n'est pas un pro de l'informatique (et puis les admins ne cessent de dire à leurs utilisateurs : faites des mises à jour régulières du système...) ; * pas une faute d'orthographe ; * tous les liens URL cités pointent sur des destinations réelles et officielles ; - il tente d'utiliser des failles anciennes pour accroître encore sa diffusion (pas besoin de cliquer si l'utilisateur possède des versions trop anciennes d'OE/IE, le bidule s'installe tout seul) ; - après installation, le virus répond « bravo vous êtes maintenant protégé » ; - si on tente de le réinstaller, il répond « votre machine est déjà à jour ».
Bref, du grand art.
On est bien loin des scripts en vbs écrits par des Jean-Kévin...
Le seul truc qui me chiffonne, c'est son objectif |*].
Si c'est d'encombrer la bande passante, de saturer les BAL de centaines de milliers de personnes et de faire tomber des serveurs SMTP, c'est plutôt réussi, mais est-ce une fin en soi ? Rien dans ce que j'ai lu jusqu'à maintenant ne laisse à penser qu'il tente de détruire des données sur les machines infectées ou d'y installer une backdoor par exemple.
[*] Ce point est prut-être discuté plus loin, j'ai un gros retard de lecture...