Brulez Nicolas

Brulez Nicolas

14 article(s)
Articles de l'auteur

Zeus/Zbot Unpacking : analyse d’un packer customisé

Magazine
Marque
MISC
Numéro
51
Mois de parution
septembre 2010
Spécialité(s)
Résumé

Depuis toujours, les codes malicieux cherchent à échapper aux détections des antivirus, ainsi qu'à ralentir leur analyse à l'aide d'outils d'obfuscation de code. Le cheval de Troie Zeus n'échappe pas à cette règle. Cet article est une étude d'un cas récent et concret d'unpacking de malware. Et, la cerise sur le gâteau, une fausse signature digitale « Kaspersky Lab » est présente dans cette souche.

Rogue AV : utilisation du gestionnaire des tâches pour effrayer les utilisateurs

Magazine
Marque
MISC
Numéro
49
Mois de parution
mai 2010
Spécialité(s)
Résumé

Les faux antivirus (Rogue AV) sont présents depuis de nombreuses années et tentent d'effrayer les utilisateurs en leur faisant croire que leurs machines sont infectées. Le FBI affirme que le montant des fraudes est supérieur à 150 Millions de dollars, et pour obtenir une telle somme, les cybercriminels sont sans cesse à la recherche de techniques alarmantes et effrayantes pour les utilisateurs.

Analyse du Virus.Win32.Sality

Magazine
Marque
MISC
Numéro
48
Mois de parution
mars 2010
Spécialité(s)
Résumé

Les vrais virus (infecteurs d'exécutables) se font rares de nos jours. Ils ont été remplacés par les chevaux de Troie et autres vers réseaux tels que conficker. Deux familles de virus parasites se démarquent pourtant : Virus.Win32.Sality et Virus.Win32.Virut.Cet article traite de la première famille et présente l'analyse de la variante la plus répandue de ce virus polymorphique.Tout le monde le sait, il est important de bien configurer les partages de fichiers pour ne pas autoriser l'écriture lorsque cela n'est pas nécessaire. Malheureusement, nombreuses sont les entreprises avec des applications internes sur les partages réseaux avec accès complet en écriture. Les virus comme Sality ne se privent pas pour les infecter et c'est ensuite l'épidémie dans l'entreprise.

Quand un ransomware devient un KeygenMe

Magazine
Marque
MISC
Numéro
47
Mois de parution
janvier 2010
Spécialité(s)
Résumé

Dans le numéro 46 de MISC, je vous présentais l'analyse d'un ransomware (application qui modifie une machine pour ensuite demander une rançon au propriétaire avant de la remettre dans l'état initial) qui chiffrait les fichiers afin d'extorquer les utilisateurs. Dans ce numéro, je vais vous présenter un autre type de ransomware, détecté en novembre 2009 sous le nom de Trojan-Ransom.Win32.SMSer.qmMD5: 2CE9D15F7B43B0DEC6C3935DE0743113.

Les ransomwares

Magazine
Marque
MISC
Numéro
46
Mois de parution
novembre 2009
Spécialité(s)
Résumé

Parmi les codes malicieux que l'on trouve de nos jours, il arrive que l'on rencontre un type de programmes assez particulier : les ransomwares. Un ransomware est une application qui va modifier la machine pour ensuite demander une rançon au propriétaire, afin de retrouver l'état initial de la machine.En général, tous les fichiers dont l'extension correspond à une liste intégrée au ransomware seront chiffrés à l'aide de la cryptographie (ou d'algorithmes maison plus ou moins performants) et les indications pour obtenir un outil de déchiffrement sont fournies par le malware.Il existe aussi des ransomwares qui bloquent toutes les applications excepté le navigateur internet pour pouvoir visiter un site web permettant de payer la rançon.Cet article présente l'un d'entre eux, trouvé mi-octobre, et qui est, comme nous allons le voir, très limité techniquement, pour ne pas dire, très basique.MD5 : FEC60C1E5FBFF580D5391BBA5DFB161A