Description
Ces incidents sont inscrits dans des rapports indiquant qu’un serveur (ou une machine ou un ordinateur connecté à l’aide d’un VPN, de la traduction d’adresses de réseau, etc.) s’est connecté à un serveur Sinkhole exploité par une organisation de sécurité, mais que la connexion ne s’est pas effectuée en utilisant un référent HTTP.
Puisque le serveur Sinkhole est uniquement accessible par des noms de domaines identifiés précédemment comme malveillants, l’activité détectée indique que ce serveur est infecté ou qu’il fournit des services de VPN à un hôte infecté.
Consultez la page suivante pour obtenir plus de renseignements sur ces rapports : https://www.shadowserver.org/wiki/pmwiki.php/Services/Sinkhole-HTTP-Drone.
Plus de renseignements concernant les drones repérés
- Type de drone : Sality
Virus de type polymorphe, il modifie les fichiers exécutables en ajoutant son corps chiffré à la fin des fichiers. Pour remplacer le code hôte original, le virus exploite le point d’entrée et remplace le code par une séquence polymorphe qui contient la routine de description.
Systèmes touchés : Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista et Windows XP.
Consultez la page suivante pour obtenir plus de renseignements :
http://www.bitdefender.com/VIRUS-1000630-en--Win32-Sality-2-OE.html
- Type de drone : Downadup
Worm/Downadup est un logiciel malveillant qui, une fois exécuté, a la capacité de se dupliquer et d’infecter d’autres fichiers et programmes. Ce type de maliciels, aussi nommés « virus », peuvent voler de l’espace disque et de la mémoire, ce qui cause le ralentissement ou la défaillance de votre ordinateur.
Systèmes touchés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista et Windows XP.
Consultez la page suivante pour obtenir plus de renseignements :
- http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99
- http://www.avgthreatlabs.com/virus-and-malware-information/info/worm-downadup/
- http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html
- Type de drone : Beebone
Win32/Beebone fait partie de la famille des téléchargeurs de chevaux de Troie compilés de Visual Basic, et il exécute d’autres maliciels connus, comme Win32/Vobfus, Win32/Fareit, Win32/Zbot, Win32/Sirefef et Trojan:Win32/Necurs.
Consultez la page suivante pour obtenir plus de renseignements :
- http://home.mcafee.com/virusinfo/virusprofile.aspx?key=3255551#none
- http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Beebone
- http://threatpost.com/vobfus-worm-beebone-trojan-create-malware-infection-loop
- http://www.lavasoft.com/mylavasoft/malware-descriptions/blog/trojandownloaderwin32beebonebr
- Type de drone : Glupteba
Ce cheval de Troie sert de porte dérobée et peut être commandé à distance.
Consultez la page suivante pour obtenir plus de renseignements :
- http://www.virusradar.com/en/Win32_Glupteba.G/description
- https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=588
- https://www.sonicwall.com/us/en/esblogs.html?id=63
- Type de drone : StealRAT
StealRAT est un zombie qui se greffait à plusieurs sites WordPress ayant subi une brèche de sécurité en juillet 2013. Ce drone représente une percée en matière de publipostage ou de pollupostage. Une nouvelle technique de détection de pourriels a toutefois été lancée et mise en œuvre. Les polluposteurs doivent toujours trouver de nouvelles méthodes pour contourner ces technologies. TrendMicro a été l’une des premières entreprises à découvrir ce maliciel. La méthode employée par ce dernier comprend trois étapes simples, comme il est décrit dans le billet suivant publié sur le blogue de l’entreprise :
- compromettre un site Web pour envoyer le pourriel;
- compromettre des systèmes pour recueillir et envoyer les données du pourriel;
- compromettre un site Web pour transférer les données utiles.
Source : http://zerosecurity.org/2014/06/stealrat-pops-back-2014
Consultez la page suivante pour obtenir plus de renseignements :
- http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-stealrat.pdf
- Type de drone : IRCBot
La famille de maliciels IRCBOT utilise le service de clavardage IRC pour envoyer et recevoir les commandes du maître d’ordinateurs zombies qui gère chaque variante. Le maliciel IRCBOT se propage généralement par l’intermédiaire de lecteurs amovibles en exploitant les vulnérabilités des logiciels. En outre, il peut se répandre par des programmes de messagerie instantanée comme Yahoo!, Messenger, MSN Messenger et Windows Live Messenger.
Consultez la page suivante pour obtenir plus de renseignements :
- http://www.symantec.com/security_response/writeup.jsp?docid=2011-040711-0927-99
- http://about-threats.trendmicro.com/Malware.aspx?language=au&name=IRCBOT
- http://about-threats.trendmicro.com/us//archive/malware/BKDR_IRCBOT.AGF
- Type de drone : Pushdo
Pushdo est un réseau de zombies servant principalement au pollupostage. On a observé récemment qu’il lançait des attaques par déni de service (DDoS) contre certains sites Web pour lesquels le protocole SSL est activé. Le maliciel Pushdo est également connu sous le nom « Pandex », et certaines de ses composantes, sous le nom « Cutwail ».
« Pandex » correspond au nom donné par Symantecs à ce cheval de Troie. Trojan.Pandex constitue un cheval de Troie qui envoie des pourriels à partir d’un serveur distant et qui recueille les adresses courriel sur l’ordinateur compromis.
Consultez la page suivante pour obtenir plus de renseignements :
- https://www.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99
- http://www.iss.net/threats/pushdoSSLDDoS.html
- http://en.wikipedia.org/wiki/Cutwail_botnet
- http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20100129
- Type de drone : Rançongiciel (Ransomware)
Le rançongiciel représente un type de maliciels qui vous empêche d’utiliser votre ordinateur. Il est possible qu’il vous demande de donner de l’argent, de remplir des sondages ou d’effectuer d’autres actions pour déverrouiller et utiliser votre ordinateur.
Certains types de rançongiciels sont également nommés « FBI Moneypak » ou « FBI virus ». Ils emploient souvent les logos du FBI ou de la police locale, et ils vous demandent de payer une amende par l’intermédiaire du service légitime de virement de fonds Green Dot MoneyPak.
La plupart des rançongiciels affichent un avis qui affirme que les autorités locales ont détecté une activité illégale sur votre ordinateur. Puis, ils vous demandent de payer une « amende » (la rançon) afin d’éviter les poursuites et de pouvoir accéder de nouveau à vos fichiers.
Consultez la page suivante pour obtenir plus de renseignements :
- http://fr.ikipedia.org/wiki/Ransomware
- http://news.techworld.com/security/3343528/ransom-trojans-spreading-beyond-russian-heartland/
- http://www.ic3.gov/media/2012/121130.aspx
- http://www.fbi.gov/news/stories/2012/august/new-internet-scam/new-internet-scam
- http://www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx
- http://fr.wikipedia.org/wiki/CryptoLocker
- http://www.sophos.com/en-us/support/knowledgebase/119006.aspx
- Type de drone : Sinkhole
Ces adresses IP regroupent tous les appareils qui se trouvent sur notre serveur Sinkhole et qui ne s’y connectent pas par l’intermédiaire d’un référent HTTP. Puisque le serveur Sinkhole est uniquement accessible par des noms de domaines identifiés précédemment comme malveillants, seuls les systèmes infectés ou les chercheurs du domaine de la sécurité devraient être énumérés dans cette liste.
Consultez la page suivante pour obtenir plus de renseignements :
- http://www.shadowserver.org/wiki/pmwiki.php/Services/Sinkhole-HTTP-Drone
- Type de drone : Torpig
Également connu sous les noms « Sinowal » et « Anserin » (principalement propagé avec le rootkit Mebroot), Torpig constitue un type de réseau de zombies qui est répandu par divers chevaux de Troie. Il touche les ordinateurs sous Microsoft Windows. Torpig contourne les logiciels antivirus à l’aide de la technologie du rootkit, et il balaie le système infecté afin de dénicher des authentifiants de connexion, des comptes et des mots de passe. Il est possible que les pirates disposent d’un accès complet à l’ordinateur. En outre, on croit qu’il est en mesure de modifier les données de l’ordinateur et de réaliser des attaques de type « man-in-the-browser ». (Source : http://en.wikipedia.org/wiki/Torpig)
Il porte également le nom « Win32.Anserin.C » (Computer Asso, Troj/Torpig-k [Sophos]).
Consultez la page suivante pour obtenir plus de renseignements :
- http://en.wikipedia.org/wiki/Torpig
- http://www.spamfighter.com/News-11683-Rootkit-Torpig-Described-as-Most-Dangerous-Malware.htm
- http://www.symantec.com/security_response/writeup.jsp?docid=2005-112315-0608-99
- http://www.symantec.com/connect/blogs/flow-mbr-rootkit-trojan-resumes
- http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Torpig-A.aspx
- Type de drone : Trojan.Simda
Trojan:Win32/Simda est un cheval de Troie à plusieurs composantes qui télécharge et exécute des fichiers arbitraires. Ces fichiers peuvent contenir d’autres types de maliciels.
Consultez la page suivante pour obtenir plus de renseignements :
- http://www.virusradar.com/Win32_Simda.B/description
- http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Simda
- http://www.virusradar.com/Win32_Simda.B/description
- http://www.avgthreatlabs.com/virus-and-malware-information/info/simda/
- Type de drone : Urlzone
Apparu en 2009, Urlzone est un cheval de Troie bancaire, dont la fonction principale est de camoufler les preuves de fraude en modifiant à la volée le solde du compte de la victime.
Consultez la page suivante pour obtenir plus de renseignements :
- https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base#Urlzone
- http://www.pcmag.com/article2/0,2817,2353610,00.asp
- http://krebsonsecurity.com/tag/url-zone-trojan/
- https://threatpost.com/inside-urlzone-trojan-network-100609/72203
- http://labs.m86security.com/2009/09/malware-analysis-trojan-banker-urlzonebebloh/
- Type de drone : Zeus
Zeus, ZeuS ou Zbot représente un maliciel de type cheval de Troie qui s’exécute sur les ordinateurs utilisant diverses versions du système d’exploitation Microsoft Windows. Même s’il peut servir à exécuter plusieurs maliciels et à réaliser des actes criminels, il est plutôt utilisé pour voler des renseignements bancaires par la capture de frappe et la saisie des renseignements entrés dans les formulaires (attaques de type « man-in-the-browser »). Il sert également à installer le rançongiciel CryptoLocker. Zeus est répandu principalement par des téléchargements furtifs et des procédés d’hameçonnage. Découvert pour la première fois en juillet 2007 lorsqu’il a été utilisé pour voler des renseignements du ministère des Transports des États-Unis, il se répand largement en mars 2009. En juin 2009, l’entreprise de sécurité Prevx évalue que Zeus a compromis plus de 74 000 comptes FTP sur le site Web d’entreprises comme Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon et BusinessWeek. (Source :http://fr.wikipedia.org/wiki/Zeus_(cheval_de_Troie))
Consultez la page suivante pour obtenir plus de renseignements :
- http://fr.wikipedia.org/wiki/Zeus_(cheval_de_Troie)
- https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base#Zeus
- https://zeustracker.abuse.ch/statistic.php
- http://www.antisource.com/article.php/zeus-botnet-summary
- https://www.youtube.com/watch?v=CzdBCDPETxk
- http://www.b3b.ch/2010/12/12/zeus-le-dieu-des-virus-contre-les-banques/
- http://www.secureworks.com/cyber-threat-intelligence/threats/zeus/
- Type de drone : Zeus3np2p
De nouvelles variantes de la trousse de cybercriminalité Zeusbot/SpyEye délaissent les canaux de commande et de contrôle au profit de l’architecture de type homologue (de pair à pair).
Consultez la page suivante pour obtenir plus de renseignements :
- http://www.theregister.co.uk/2012/02/27/p2p_zeus/
- Type de drone : Autre
Si le type du drone que vous recherchez n’est pas énuméré dans cette liste, consultez les sites Web suivants pour obtenir plus de renseignements :
- https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base
- http://www.bitdefender.com/site/Search/
- http://www.symantec.com/security_response/landing/threats.jsp
- http://www.avgthreatlabs.com/virus-and-malware-information/
- http://www.microsoft.com/security/portal/threat/threats.aspx
- http://windows.microsoft.com/en-us/windows/security-essentials-download
0 Commentaires