Survol pays et réseaux malicieux

Pour rappel, il existe un petite site qui vous permet de visualiser les urls malicieux remontés par notre justicié du WEB : MalwareBot

=> http://www3.malekal.com/malwares/

Le site a été un peu amélioré, il est maintenant possible d’effectuer des recherches via un formulaire et les des informations sur les réseaux malicieux sont maintenant disponibles.
Enfin des statistiques sont disponibles : http://www3.malekal.com/malwares/stats.php

Survol pays et réseau malicieux

Les malwares rencontrés

Au niveau du contenu des malwares remontés, on trouve en tête :

Survol pays et réseau malicieuxVoici le top des malwares rencontrés par Malwarebot :

Malware :Quantité :Commentaire :
Trojan-Downloader.Win32.CodecPack735Infection Faux Codec / Crack – Même chose que Trojan.Win32.Jorik.Skor – voir : Trojan.Win32.Jorik.Skor / Trojan.Renos/Trojan.FakeAlert
Trojan-Dropper.Win32.TDSS694Dropper TDSS  / Alureon => Rootkit.TDSS TDL 4 (Trojan.Alueron) – néanmoins c’est une détection générique par rapport aux codes et packers. 

Ce dernier peux être partagés et donc tous les droppers ne donnent pas forcément du TDSS au final.

Packed.Win32.Katusha583Détection de Packer – peux correspondre à n’importe quel malware.
Trojan.Win32.FraudPack364Lié aux Rogues/Scarewares
Trojan.Win32.FakeAV278Lié aux Rogues/Scarewares
Trojan.Win32.Monder267Infection Faux Codec / Crack – Même chose que Trojan.Win32.Jorik.Skor – voir : Trojan.Win32.Jorik.Skor / Trojan.Renos/Trojan.FakeAlert
Packed.Win32.Krap249Détection de Packer – peux correspondre à n’importe quel malware.
Trojan-PSW.Win32.Qbot243Voir : Backdoor.Qbot / Backdoor.Qakbot: rootkit stealer
Trojan-Downloader.Win32.FraudLoad200Lié aux Rogues/Scarewares
Trojan-Downloader.Win32.Agent186Nom générique – peux correspondre à n’importe quel malware.
Exploit.JS.Pdfka177Exploit.PDF => Exploitation SWF/PDF et Java – système non à jour = danger
Exploit.Win32.Pidief115Exploit.PDF => Exploitation SWF/PDF et Java – système non à jour = danger
Trojan.Win32.Jorik.Skor95Infection Faux Codec / Crack – Même chose que Trojan.Win32.Jorik.Skor – voir : Trojan.Win32.Jorik.Skor / Trojan.Renos/Trojan.FakeAlert
Trojan.Win32.VBKrypt89Nom générique mais en grande majorité lié à Worm.Vobfus
Trojan-Spy.Win32.Zbot83Zbot/Zeus : Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer
Virus.Win32.Sality74Sality
Trojan.Win32.TDSS69Dropper TDSS  / Alureon => Rootkit.TDSS TDL 4 (Trojan.Alueron)
Trojan-Downloader.Win32.Mufanom62
Backdoor.Win32.Bredolab60Retour de Bredolab et Kelihos
Trojan.Win32.Agent59Nom générique – peux correspondre à n’importe quel malware.
Trojan-Dropper.Win32.Drooptroop55
Trojan.Win32.Buzus55liés aux Backdoor.IRC : le couteau suisse et infections MSN et arnaques sur MSN.
Trojan-Dropper.Win32.Agent51Nom générique – peux correspondre à n’importe quel malware.
IM-Worm.Win32.Ckbface47liés aux Backdoor.IRC : le couteau suisse et infections MSN et arnaques sur MSN.
Trojan.Win32.Oficla47Trojan.Karagany et Trojan.Oficla: Les malwares en .co.cc sont de retour ! 

et souvent liés aux rogues/scareware Trojan.Oficla : Deux Rogues

 

Backdoor.Win32.Gbot

46

Un commentaire – les sources des malwares sont :

Il ne faut pas se dire que ce tableau représente le top des malwares sur lesquels on peux tomber, bien qu’une certaine corrélation entre ce top et les malwares rencontrés sur les forums de désinfection francophones est possible.
Par exemple, Trojan-Downloader.Win32.CodecPac arrive premier car chaque jour de nouveaux droppers sont mis en ligne et il est assez « facile » de le suivre. C’est aussi le cas des autres familles mais étant plus difficile à récupérer, on ne récupère pas des droppers chaque jour et donc ces familles peuvent être sous-représentées.

Ce tableau permet donc de se faire une idée même si les familles arrivant en tête sont bien des familles que l’on retrouve dans beaucoup de sujets sur les forums de désinfection francophones et donc sont des familles très présentes.

Les réseaux et pays utilisés pour hoster ces malwares

Un petit tour au niveau des réseaux utilisés pour hoster ces malwares avec des statistiques par AS (Autonomous system) et leurs origines par pays.

On voit queles USA arrive en tête suivi par l’Ukraine.
Les pays de l’Europe de l’est sont bien placés, ce qui n’est pas une surprise.

Survol pays et réseau malicieux Survol pays et réseau malicieux

USA : AS21788

L’AS21788 arrive en tête.
Ce dernier host depuis plusieurs années le malware : Trojan-Downloader.Win32.CodecPack (voir aussi Trojan.Win32.Monder).
Etant donné que ce malware est très représenté dans les statistiques, les USA arrive en tête.

A noter aussi l’utilisation de Yahoo! pour hoster une famille de malware MSN même ci ces adresses sont diluées via l’utilisation d’hébergeur de fichier « en front » (x.vu / turl.ca / redir.ec) :

Survol pays et réseau malicieux

Ukraine : AS21219 et AS24965

Les deux AS Ukrainiens utilisés sont :

L’activité du second AS est confirmé par le site clean-mx, qui au moment où sont écrites ces lignes donnent les stats suivantes : http://support.clean-mx.de/clean-mx/viruses.php?as=AS24965&sort=email%20asc&response=alive

Survol pays et réseau malicieuxEnfin une recherche Google sur cet AS ne montre que des sujets relatifs aux malwares.

Europe de l’Est

On voit que LT à travers l’AS25406 host des malwares qui se propagent par Exploits sur sites WEB : http://www3.malekal.com/malwares/index.php?&url=out.php
ou le malware Trojan.Win32.Jorik.Buterat : http://www3.malekal.com/malwares/index.php?&url=netprotocol

Survol pays et réseau malicieux

Conclusion

Contrairement aux idées reçues, ce n’est pas la Russie ou la Chine qui hostent le plus de malwares mais les USA, des infections bien rodées comme Trojan-Downloader.Win32.CodecPack utilisent des réseaux aux USA pour mettre en ligne chaque jour des droppers.

Il semblerait que les downloads directs (.exe) sont majoritairements hostés aux USA comme le confirmerait le site Malc0de qui recensent beaucoup de ces types de malwares : http://malc0de.com/database/
Alors que les infections Exploits sur sites WEB les plus répandues, elles  sont eux plutôt hostés principalement dans l’Europe de l’Est.

Si l’on regarde les statistiques du Zeus Tracker : https://zeustracker.abuse.ch/statistic.php – les USA sont encore bien placés, puisque deuxième derrière la Russie, l’Ukraine est 5e avec deux fois moins de fichiers.

Les USA arrivent aussi en tête des rapports de Sophos :

Il est surtout intéressant qu’un même groupe mettant en ligne une famille de malwares ne change pas tant que ça d’AS et reste sur le même.
Trojan-Downloader.Win32.CodecPack utilise le même depuis plusieurs années, les infections MSN d’un même groupe Yahoo!
Si l’on regarde les campagnes des Exploits sur sites WEB c’est la même chose.

On pourrai se dire qu’il est assez dégouttant de voir ces AS hoster des malwares en tout impunité et les faire fermer, ce serait une bonne chose.

A mon sens, fermer un AS n’est pas une bonne chose, les groupes utiliseront un autre AS (jeu du chat et de la souris) voir pire peuvent en utiliser plusieurs… ce qui rend la tâche de blacklistage pour les antivirus (Webguard) plus difficile.
Si l’on prend le malware Trojan-Downloader.Win32.CodecPack qui utilise le même depuis plusieurs années, voire les même IP sur plusieurs semaines, il est facile de blacklister cet AS qui pour un français n’est pas du tout pénalisant pour le surf.
Blacklister certains AS et URL (showread / out.php) qui revienne très souvent sur un réseau d’entreprise via un proxy peut-être s’avérer assez payant en terme de sécurité.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 18 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *