Scanner antivirus | Empêcher les logiciels malveillants d'échapper à la détection

Temps de lecture : 4 minutes

Si vous devez livrer ou stocker des documents confidentiels sur Internet, les placer dans une «archive» auto-extractible protégée par mot de passe est l'un des meilleurs moyens d'éviter les regards indiscrets. De nombreux utilisateurs seront familiarisés avec les archives sous forme de fichiers «zip» et de programmes comme WinZip (il en existe d'autres comme 7-Zip et WinRar qui remplissent une fonction similaire). Une archive vous permet d'enregistrer plusieurs documents dans un seul fichier et de compresser la taille globale du fichier. Il est important de noter que si vous protégez cette archive par mot de passe, vous chiffrerez également son contenu. Cela signifie qu'il sera illisible par tout tiers qui l'intercepte. L'archive ne peut être ouverte que par les destinataires prévus - les personnes à qui vous avez fourni le mot de passe correct. Choisissez un bon mot de passe et il faudra des années, voire jamais, avant que quiconque non autorisé puisse déchiffrer vos fichiers.

Cela peut paraître surprenant, mais les auteurs de logiciels malveillants utilisent cette technique de sécurité précise pour les mêmes raisons. Comme vous, ils ne veulent pas que leurs fichiers soient lus par un tiers autre que le destinataire prévu. Dans ce cas, le tiers est un statique Scanner antivirus sur une passerelle de messagerie, un hébergement public ou une machine d'utilisateurs. Le destinataire visé est victime d'une escroquerie malveillante.

Bien que les logiciels malveillants dans une archive protégée par mot de passe ne puissent pas être détectés par le scanner AV, cela ne garantit pas qu'il réussira. Le cryptage n'accorde au malware qu'un passage sûr sur Internet et (ils l'espèrent) sur la machine de la victime. Une fois que le malware commence à s'exécuter, le temps réel détection de virus fourni par les logiciels de sécurité les plus populaires neutralisera la menace. Bien sûr, cela dépend de l'utilisateur final ayant réellement installé un antivirus - et c'est la stratégie de l'auteur du malware.

Il y aura toujours un pourcentage d'utilisateurs à domicile et en entreprise qui ne disposent pas du temps réel anti-virus fonctionnement. Ils ne s'attendent pas à ce que chaque instance de leur logiciel malveillant obtienne un succès, mais en le distribuant dans des volumes aussi massifs, ils savent également qu'il réussira dans un nombre important de cas.

Nous avons récemment repéré des logiciels malveillants en utilisant cette approche exacte:

On dirait que l'auteur s'est exprimé dans les propriétés du fichier:

Une simple recherche Google pour «MrFreeCrypt» renvoie les résultats en russe pour une «nouvelle génération de crypteurs»:

CryptService !!! Новое поколение крипторов. En ligne 24/7 fud 0/44. гарантия от 24 часов. ICQ: 6 ******* 7 jabber: mrfreecrypt@j****r.ru ---- CryptService !!! Nouvelle génération de crypteurs. Détection en ligne 24/7 0/44. garantie de 24 heures. ICQ: 6 ******* 7 jabber: mrfreecrypt@j****r.ru

Nous ne pouvons pas affirmer avec certitude que c'est la même personne, mais cela semble une assez grande coïncidence.

Le fichier lui-même est une archive auto-extractible '7-zip' avec deux fichiers à l'intérieur:

 Date Heure Taille Attr Nom compressé ------------------- ----- ------------ -------- ---- ------------------ 2012-10-21 10:54:14 .... A 107 95 stub.vbs 2012-10-24 16:15 : 24 .... A 113359 61353 sfx.exe ------------------- ----- ------------ - ---------- ------------------ 113466 61448 2 fichiers, 0 dossiers

«Stub.vbs» est un simple script Visual Basic qui exécute «sfx.exe» avec le paramètre de ligne de commande suivant:

Définissez WshShell = WScript.CreateObject ("WScript.Shell") WshShell.Run "sfx.exe -pfdhtu578h4j45nh49856856hyg"

«Sfx.exe» est une autre archive auto-extractible contenant un seul exécutable - le composant logiciel malveillant:

 Date Heure Taille Attr Nom compressé ------------------- ----- ------------ -------- ---- ------------------ 2012-10-25 00:15:16 .... A 20480 11712 input.exe -------- ----------- ----- ------------ ------------ ---------- -------- 20480 11712 1 fichiers, 0 dossiers

Plutôt que «7-zip», «sfx.exe» se trouve dans un type d'archive différent appelé fichier «RAR». Le fichier RAR est également protégé par mot de passe et chiffré. La partie intéressante ici est que le RAR accepte le mot de passe de décryptage comme paramètre de ligne de commande «-p». Le script «stub.vbs» fournit le mot de passe de cette manière. La chaîne ressemble jusqu'à présent à ceci:

[SFX 7-zip] → stub.vbs → mot de passe → [RAR + mot de passe SFX] → malware

Comme mentionné précédemment, cela ne signifie pas Suppression des logiciels malveillants le processus sera finalement couronné de succès. Dès que le fichier est exécuté sur le système de fichiers local, il devient sujet à une détection en temps réel Scanners antivirus. Cependant, il fonctionne très bien avec les scanners statiques sur les services de stockage cloud, les scans à la demande lancés par l'utilisateur ou les scanners statiques sur les passerelles de messagerie. Cela devient un peu plus alarmant lorsque vous considérez que cela signifie que cela évitera la détection par les principaux fournisseurs de messagerie tels que Yahoo, Google, Hotmail et autres. Pour cette raison, les utilisateurs doivent prendre soin de se protéger. Tout d'abord, installez un programme antivirus d'un fournisseur réputé. Deuxièmement, ne vous contentez pas d'ouvrir les pièces jointes sur un e-mail auquel vous ne vous attendiez pas, sur des e-mails de personnes que vous ne connaissez pas ou sur des e-mails qui semblent suspects ou ressemblent à du spam.

Le composant malveillant réel est le rançon «FBI».

Il s'installe en tant qu'application à exécution automatique via la valeur de registre suivante:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "GoogleChrome" = "C: DOCUME ~ 1UserLOCALS ~ 1TempRarSFX0input.exe"

Il se protège de la suppression en désactivant «Mode sans échec» et «Mode sans échec avec mise en réseau» en supprimant les clés de registre suivantes:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal * HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork *

Il bloque ensuite l'entrée de l'utilisateur et affiche un faux «écran de verrouillage» qui tente d'extorquer de l'argent à la victime. L'écran informe la victime que son ordinateur a été verrouillé par le FBI pour abus présumé et qu'elle doit payer une amende dans les 48 heures pour le déverrouiller.

Ressources associées:

Analyse antivirus gratuite

Logiciel antivirus

Meilleur antivirus

Outils de suppression de logiciels malveillants

Antivirus pour PC

Meilleur logiciel antivirus

Scanner de logiciels malveillants de site Web

COMMENCER L'ESSAI GRATUIT OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://blog.comodo.com/malware/malware-detection-by-antivirus-scanners/