Exostats/Exoscan |
Nombre de tests inclus
|
24445
|
|
Tests ajoutés |
Aujourd'hui |
Ce
mois |
23 |
23 |
|
|
Guerre des virus, StormWorm contre Warezov
Par Ludovic Blin,
secuobs.com
Le 12/02/2007
Résumé : Une nouvelle guerre des virus semble avoir lieu. En effet, les dernières versions de StormWorm attaquent à coup de DDoS plusieurs domaine liés au malware Warezov mais également le projet antispam SpamNation.
On se souvient de la guerre des virus qui avait eu lieu en 2004, entre les créateurs des codes malveillants MyDoom et Bagle, contre les auteurs de Netsky. Un tel phénomène pourrait être en train de se reproduire.
En effet, le récent malware StormWorm, qui exploitait le début du mois de janvier pour se propager plus facilement (les utilisateurs étant plus enclins à cliquer sur la pièce jointe malveillante), a conduit une attaque DDoS sur différents sites, notamment sur celui du projet antispam SpamNation.
Mais parmi les cibles visées on retrouve également plusieurs domaines utilisés par les membres d’un gang concurrent, à l’origine du malware Warezov. Le « virus de la tempête » ne provient pas réellement d’une souche nouvelle, puisqu’il a été détecté dès le mois de novembre par plusieurs sociétés antivirus sous le nom de Win32/Nuwar (Nod32).
Il utilise cependant des fonctionnalités avancées, signe de la maturité croissante des codes malveillants. StormWorm est en effet divisé en plusieurs composants, chacun étant dédié à une tache précise : Backdoor, relais SMTP, sniffer d’adresses de messagerie, propagateur, module d’attaque DDoS.
Le composant principal est lancé depuis un rootkit présent dans le kernel Windows via un driver (wincom.sys). Il télécharge ensuite les autres composant en utilisant le protocole peer to peer eDonkey, adapté pour ses besoins.
En effet, une liste de 100 hôtes est « hardcodée » au sein du malware. Ces hotes, contactés via le protocole eDonkey, sont ensuite capables de fournir les coordonnées du fichier que le malware recherche, qui est identifié par son hash.
Le protocole utilisé ajoute de plus des fonctions cryptologiques environnementales, puisqu’une clé de déchiffrement est nécessaire, qui, combinée a une autre clé « harcodée » va permettre de déchiffrer le fichier téléchargé, qui contient une url ou le virus peut télécharger son module.
Ce système permet donc aux auteurs de StormWorm de mettre à jour discrètement son infrastructure tout en offrant une résilience plus importante.
La guerre des virus a eu également pour effet de bord une attaque sur le projet anti-spam Spamhaus.org. En effet, les enregistrements DNS des domaines utilisés par Warezov ont été modifiés durant l’attaque, pour pointer vers l’adresse IP de Spamhaus, ce qui a sûrement permis aux cybercriminels de limiter l’impact sur leur infrastructure.
lien http externe url: [click] | Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, données, fonction, présentation, outil, linux, bluetooth, vista, gestion, shell, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions |
| Mini-Tagwall de l'annuaire video : | | | | virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless |
|
|
|
|
|
