La carte géographique

Puisqu'on l'a sous les yeux, autant en parler tout de suite ! Sur la carte chaque disque de couleur représente le nombre d'adresses IP[1] issues du pays au-dessus duquel il se situe. La surface du disque est proportionnelle à ce nombre et la couleur aussi. On voit donc quels sont les pays qui diffusent le plus les logiciels malveillants.

Il faut ensuite expliquer le niveau de voisinage d'adresse IP (IP neighbourhood level). En gros les machines qui ont une adresse IP qui commence par les mêmes chiffres sont généralement géographiquement proches. Les statistiques montrent que ce sont principalement des machines voisines qui viennent vous voir : plus de 80% (carte du bas). Pour y voir quelque chose dans la carte, il vaut donc mieux scinder les statistiques par voisinage IP (voir en fin de billet pour la description du niveau de voisinage). Ainsi dans la carte du haut on a gommé les IP voisines qui sont sur-représentées.

Le bilan que l'on retrouve aussi dans les camemberts plus bas est simple :

  • ce sont vos voisins qui vous envoient principalement des logiciels malveillants[2]
  • les pays les plus développés industriellement le sont évidemment aussi le plus sur le plan de la nuisance informatique...

malware country pie Répartition par pays des machines émettant des logiciels malveillants (voir en grand)

Ainsi il est grand temps d'agir, surtout lorsqu'on connaît les objectifs de ces logiciels :

Adresse des fournisseurs

Dans les journaux de nepenthes, on retrouve pour chaque fichier téléchargé l'adresse web utilisée pour le récupérer. C'est comme cela que l'on a obtenu les graphiques plus haut. En analysant le nom ou l'adresse de la machine hébergeant le logiciel malveillant, on peut noter certaines choses intéressantes :

  • quelques noms de sites web, notamment un www.yahoo.com vraisemblablement piraté pour l'occasion
  • des IP correspondant à des réseaux locaux privés non accessibles depuis Internet (10.x.x.x, 127.0.0.1, 169.254.x.x, 172.x.x.x, 192.168.x.x)
  • des adresses IP invalides, par exemple 1234 ou encore 0.0.0.0

Autant il est difficile de trouver le pourquoi des IP invalides (ça repose sur un bogue du système d'exploitation ?), autant l'utilisation d'IP privées laisse penser qu'il s'agit de répandre un logiciel malveillant au sein d'un réseau privé, celui d'une entreprise par exemple, lorsqu'on ramène au bureau sa machine discrètement infectée à la maison... Espionnage, vol d'informations ?

Une autre statistique à regarder est la proportion d'adresses IP commençant par les mêmes 2 ou 3 premiers chiffres que sa propre machine[3] par rapport au nombre total d'IP de la plage. On trouve alors des résultats similaires sur ces deux plages : un peu plus de 3% des IP y appartenant hébergent des logiciels malveillants. En extrapolant, ceci signifierait qu'environ 3% des machines sur Internet répandent des logiciels malveillant sans arrêt. On est certes loin des 20 à 25% de machines zombies annoncés par certains (soit 100 à 150 millions dans le monde), mais il faut voir que :

  • 3% des machines d'Internet représentent de l'ordre de 15 à 20 millions de machines qui s'adonnent à la diffusion de logiciels malveillants, c'est déjà beaucoup
  • dans un botnet de plusieurs milliers de machines, il n'est pas nécessaire que toutes les machines recherchent en permanence d'autres machines à rallier, si seulement une sur dix le faisait, on retomberait sur une estimation de 150 à 200 millions de machines zombies...

Analyse des fichiers téléchargés

On ne vous apprendra pas grand chose en disant que tous ciblent Windows® comme le démontre le résultat de la commande file sur le répertoire de téléchargement de nepenthes :

       MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit (1279/1706 files)
       MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit, PECompact2 compressed (77/1706 files)
       MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit, UPX compressed (73/1706 files)
       MS-DOS executable (1/1706 files)
       MS-DOS executable, MZ for MS-DOS (241/1706 files)
       MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly (6/1706 files)
       MS-DOS executable, PE for MS Windows (GUI) Intel 80386 32-bit (25/1706 files)
       MS-DOS executable PE  for MS Windows (DLL) (GUI) Intel 80386 32-bit (1/1706 files)
       MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit, UPX compressed, PECompact2 compressed (3/1706 files)

Ceux qui pensent qu'ils vont tous être refoulés par l'antivirus peuvent revoir leur copie, les résultats sont les suivants :

  • 1283 / 1706 fichiers (75%) déclarés vérolés par ClamAV v0.90[4]
  • 1391 / 1706 fichiers (81.5%) déclarés vérolés par Norton Antivirus, version la plus à jour

On est très loin des 100% mais finalement ce n'est pas si étonnant : qui est capable d'avertir son fournisseur d'antivirus qu'il vient de récupérer un virus inconnu ? Donc les logiciels antivirus seraient bien inefficaces... D'ailleurs le pire, pour ceux qui pratiqueraient, est certainement d'installer un antivirus piraté ou de remplacer un composant de l'antivirus lui faisant soi-disant croire qu'il est enregistré : si j'étais un pirate, je commencerais par diffuser des antivirus craqués qui ne font rien d'autre qu'ouvrir grand les portes de mes victimes[5] !

Maintenant reste à savoir si les fichiers téléchargés le plus récemment sont détectés avec le même taux que les plus anciens. Le graphique ci-dessous représente le score de ClamAV sur les fichiers téléchargés le jour indiqué en abscisse du graphique. Bien évidemment le score diminue vite lorsqu'on se rapproche du jour le plus récent : 20% au lieu de 80%. Ceci veut dire que parmi les 10 nouveaux logiciels malveillant qu'on essaiera de vous refiler aujourd'hui, 8 ne seront pas détectés par votre antivirus si par malheur ils parvenaient à entrer. Ça devrait faire réfléchir...

malware detected score Nombre de fichiers malveillants capturés par jour et score de ClamAV correspondant (voir en grand)

On constate néanmoins que, si on essayait de me refiler 10 à 15 nouveaux logiciels malveillants par jour au début du printemps, c'est plutôt autour de 5 désormais. Il semble donc que les choses s'améliorent, la diffusion de box qui vous protègent derrière Linux[6] n'y est sans doute pas pour rien...

Durée d'action des fournisseurs

En repérant dans les journaux de nepenthes la première et la dernière date d'intervention d'une machine, on peut se faire une idée de la durée d'action des machines infectées. Le graphique ci-dessous représente par un trait horizontal la durée d'action entre les deux dates relevées pour chaque machine dont le numéro (arbitraire) est en ordonnée. Si la machine n'est intervenue qu'un seul jour, le trait n'est pas visible, ce qui explique la discontinuité du graphique du haut.

malware IP activity (voir en grand)

On pourra remarquer dans le graphique du haut que la courbe formée par les débuts d'action n'est pas rectiligne : il y a des périodes d'activité malveillante plus intense[7]. De même celle pour le graphique du bas s'infléchit sur les 3 derniers mois : meilleure sécurisation des OS, effet des mises à jour, meilleure information des Internautes, migrations vers OS X et Linux ? ;-)

Enfin un petit histogramme encadré dans chaque graphique indique la répartition des durées d'action. Elles sont majoritairement de courte durée[8] ce qui pourrait être interprété comme la durée d'éradication du logiciel malveillant, que ce soit manuellement (n-ième reformatage de C:\ ;-) ) ou automatiquement (antivirus enfin capable de le détecter). On notera quelques machines dont la durée d'action est similaire à la durée d'observation (6 mois) : des Internautes qui ne sont toujours pas au courant ?

Les niveaux de voisinage IP

Comme vous le savez peut-être, votre machine a une adresse sur Internet qui permet de la retrouver : c'est l'adresse IP qui comporte 4 chiffres. Le niveau de voisinage IP a été défini relativement à l'adresse de ma machine. Si l'IP de ma machine était 1.2.3.4, cela fonctionnerait ainsi :

  • niveau 0 : l'IP des machines ne commence pas comme l'IP de la mienne, par ex. 2.1.3.4 OK mais 1.5.4.8 pas OK
  • niveau 1 : l'IP des machines ne commence pas comme l'IP de la mienne au 2ème chiffre, par ex. 2.1.3.4 OK, 1.5.4.8 OK mais 1.2.5.7 pas OK

On peut définir les niveaux 2 et 3 de la même manière[9] mais ils ne sont pas utilisés dans les statistiques géographiques présentées ici. Par contre lorsqu'on annonce 80% d'IP malveillantes dans le voisinage, c'est en allant jusqu'au niveau 3 car, comme le montrent les camemberts, c'est plutôt 69% au niveau 1...

Nom des fichiers téléchargés

Pour finir voici plus bas la liste complète des noms des fichiers malveillants téléchargés. À part le cas de ceux qui auraient repéré un fichier étrange dans leur système, il est intéressant de la parcourir afin de constater quelle peut être la cible de l'attaque :

* antivir32.exe
* antiviruz12.exe
* cmd32.exe
* dns.exe
* IEXPLORE.exe
* iexplorrer.exe
* livemsgr.exe
* msnlive.exe
* nerofree.com
* Realtek.exe
* spoolsrv.exe
* stmp.exe
* taskmgr32.exe
* vnc.exe

Si vous êtes sous Windows®, méfiez vous donc de tous ces logiciels[10] (sinon compatissez - ou faites semblant ;-) - devant sa longueur) :

1003.exe
100.exe
1.exe
24639_up.exe
2.exe
31.exe
33.exe
55.exe
691.exe
77.exe
81.exe
8863_up.exe
91.exe
99.exe
9.exe
age.exe
agir.exe
agirs.exe
agisr.exe
aglaxcvx.exe
agldcc32.exe
agldccoio32.exe
agldccomt.exe
agldccotm.exe
agldoc32.com
agl.exe
ahui.exe
aIgs.exe
ajsha5.exe
antiver.exe
antivir32.exe
antiviruz12.exe
aqua12.exe
autoformat.exe
axdcfasb.exe
ax.exe
bingoo.exe
bling.exe
c.exe
cfmon.exe
cmd32.exe
cmh.exe
config.exe
Core4.exe
csrns.exe
csrs.exe
ctfm0Unz.exe
ctfn0n3z.exe
ctfnon.exe
de.exe
dllhost.exe
dload.exe
dns.exe
doom3d.exe
drives.exe
dyndns.exe
e_*.exe
e.exe
ehuytq.exe
ei_*.exe
eignfd.exe
eim.exe
encrypted.exe
eraseme_*.exe
evil.exe
f.exe
filemon.exe
fix.exe
flushdns.exe
frmik09P.jpg
ge1.exe
grplscd.exe
haha.exe
hmm.exe
host.exe
hosts.exe
hqghumea.dll
IEXPLORE.exe
iexploresr.exe
iexplor.exe
iexplorrer.exe
ip_*.exe
ipredirect.exe
kage.exe
k.exe
KeyMaker.exe
keys.exe
KMcafe.exe
kp.exe
livemsgr.exe
lnternat.exe
lnternet.exe
logins32.exe
lol.exe
masss.exe
miBot.exe
mmp.exe
mnz.exe
msblast.exe
msinnt.exe
MSKSVRTSS.EXE
MSKSVRVS.EXE
mslaugh.exe
msmngar.exe
msmp.exe
msmsgr.exe
MSNGR32.com
msnlive.exe
msnmngar.exe
msnmrgrs.exe
msnmsgr.exe
msnmsngar.exe
msnupd.exe
msq23.exe
msq32.exe
msresource.exe
MSSCF32.exe
msshelp.exe
mssmp.exe
mssmpp.exe
msupd.exe
msupident.exe
MTSKZVRVS.EXE
n00s.exe
n4.exe
nd.exe
ne1.exe
nerofree.com
nescvs.exe
netdiag.exe
NeUpgrade.exe
n.exe
NiroFile.exe
nod64.exe
ns4.exe
nsi.exe
nvsv.exe
otis.exe
pas.exe
pccard.exe
pcsync.exe
plslcld.exe
privmsg.exe
proc.exe
promngr.exe
prvmsg.exe
r1.exe
randomfile.exe
re1.exe
Realtek.exe
recsl.exe
regfix.exe
rewxejtbtsr.exe
rewxertbtsr.exe
r.exe
rexename.exe
rund32.exe
rundll33.exe
rx.exe
salvage.exe
scchost.exe
scrcons32.exe
screenshot.exe
scricon.exe
scvhost.exe
sd32dll.exe
se1.exe
secure.exe
serv454.exe
service.exe
setup_*.exe
s.exe
spoolsrv.exe
spyware.exe
ssms.exe
stmp.exe
sv32.exe
svchstras.exe
svhddas.exe
svhost.exe
svshosts.exe
Sym32Win.exe
sysecurex.exe
syshost.exe
systemxp.exe
TaskManager.exe
taskmgr32.exe
taskmngrs.exe
taskmrg.exe
teekids.exe
test.exe
tfn0ne.exe
Tilecom32.com
Tilecomfc.com
Tilecomfree.com
Tilecomgm.com
Tilecomnu.com
Tilecompc.com
Tilehome.com
TREEWIN.com
ucmd.exe
u.exe
UpdateWinfix.exe
Upydate.exe
Valu3S0ft.exe
vb.exe
vmmreg32.exe
vnc.exe
vxddirectx32.exe
waucult.exe
wbemstest.exe
weed.exe
wervertbr.exe
Winagler.exe
Winaglern.exe
WinCES.exe
WinDLCT.exe
windns.exe
WindowANTasdIVRI.exe
windowsupdats.exe
WindowsW.exe
winds.exe
WinDTC.exe
windupdate.exe
WinEUM.exe
winexces.exe
winexecs.exe
winfixirdrszxx.exe
winfixui.exe
winfixup.exe
WinFUS32.exe
wingarp.exe
Winhp32.exe
WinHSD.exe
winksas.exe
winkscvre.exe
winkxsas.exe
winlogom.exe
winlolges.exe
winlolx.exe
winmgrd.exe
winmgr.exe
winmsfw.exe
winmsfws.exe
WinNPS.exe
WinPSR.exe
WinPTTP.exe
WinRAC.exe
WinrarCO.com
WinRDH.exe
winrvc.exe
winsecure.exe
winslog.exe
winsys32.exe
winup32.exe
WinUPD.exe
wmplayer.exe
wmupd00360.exe
wmupdat52600.exe
wmupdat54777.exe
wp_*.exe
wscnfty.exe
wscntfh.exe
wscntfys.exe
wsecur3.exe
wuamguard.exe
wuauclt2.exe
wuauclt.exe
wulogin.exe
wunupdsr.exe
x.exe
xhost.exe
xplrer.exe
ze1.exe

Notes

[1] code composé de 4 chiffres allant de 0 à 255 chacun et qui permet de retrouver votre machine sur le réseau

[2] pas besoin de payer 5 € pour attaquer votre voisin au chien bruyant si vous êtes encore sous Windows® (cf. Cyber-attaque d'une nation : de la théorie à la pratique)

[3] par exemple les adresses en 1.2.3.x et en 1.2.x.x si mon IP était 1.2.3.4

[4] mon ClamAV n'est pas tout-à-fait à jour, la dernière version est la 0.91 sortie il y a une semaine

[5] je ne l'ai malheureusement pas inventé, on peut d'ailleurs généraliser la stratégie à d'autres types de piratage et tout ce qui fait envie sur Internet...

[6] voir Livebox Orange™ : Linux vous offre sa protection, mais...

[7] on repère assez facilement le mois de février et une légère recrudescence en juin

[8] quelques jours à un mois pour la plupart

[9] le niveau 3 acceptant toutes les IP

[10] je sais, certains font partie du système...