A quoi correspondent, nos sujets "Zlob: ..."
Exemple, cette semaine: "Zlob: wmvcompressor.com, mpegsystem.com" ?



D'un point de vue statistiques, 2 nouveaux noms de domaine sont attribués chaque semaine.
A partir de ces faux sites, un programme d'installation est proposé aux visiteurs.
Une fois exécuté, une requête spécifique est effectuée sur une des IP, elles aussi variables.
Dans notre exemple: 69.50.164.50, 85.255.119.224

Le fichier téléchargé est ensuite exécuté, il se déploie alors comme une poupée russe.
Pour plus de compréhension, nous avons représenté ceci comme une petite capsule.
A chaque nouvel header (entête) correspond un PE (Portable Executable) qui lui même embarque des RES (ressources) dont certaines sont de nouveaux PE embed (PE embarqués). Une petite bombe optimisée dont les charges utiles (les contenus) sont modifiées plusieurs fois par jour.



Les noms de domaines qui installent ZLob/DNSChanger sont reconnaissables car ils contiennent souvent le mot "codec" et le fichier d'installation contient également ce mot. Ces sites prétextent la nécessité d'installer un codec sous divers motifs mais généralement c'est afin d'afficher des vidéos porno.
Exemple de DNS: democodec.net ; Fichier d'installation: democodec.v.1.000.exe



Les noms de domaines qui installent VideoAccesCodec, MediaTubeCodec sont modifiés plusieurs fois par semaine. L'accès aux fichiers ne se fait pas directement mais par le biais de portails ou vitrines porno ou bien des faux sites de célébrités dénudées. L'utilisateur est alors invité à télécharger un composant soit disant nécessaire à la visualisation des vidéos. Les noms de fichiers contiennent souvent le mot "MediaTubeCodec" ; les programmes d'installations sont très nombreux et peuvent tous être changés en quelques heures. Les symptômes les plus visibles sur un ordinateur infecté sont probablement le détournement du bureau et les faux messages d'avertissements qui visent à créer un climat de peur et développe un état de stress chez l'utilisateur. La finalité étant de promouvoir des sites pornographiques et faire acheter sous la pression les faux logiciels de sécurité qui vous sont présentés.



Les méthodes de diffusion de celui-ci ont changées. Désormais les faux logiciels dont les plus connus sont: IE Defender, IE Antivirus,... sont distribués par le biais de portails underground qui sont affiliés par un identifiant visible dans les liens de téléchargement. Ces sites sont rémunérés en fonction des statistiques du nombre de téléchargements. Des slogans génériques peuvent être repérés tels que: "DOWNLOAD KEYGEN ONLY !!!" ou encore "DOWNLOAD GAME PATCH ONLY!!!".



Il existe bien d'autres aspects mais ils ne seront pas abordés car se sujet s'intitule: "Zlob pour les débiles".

Le premier trojan Zlob a été découvert fin 2005, depuis ce groupe a sû se créer une notoriété. Ce ne sont plus des amateurs, ce sont des professionnels, structurés, organisés, hiérarchisés, tous les rouages d'une mafia sont présents.

Internet, n'est pas un endroit idyllique peuplé de gens merveilleux et gentils. Internet est le reflet de nos sociétés dans le monde avec tout ce que ça implique. Clarifions une chose, un internaute infecté par Zlob n'est que très rarement une victime, c'est une personne ayant effectué un acte volontaire ou involontaire de malveillance; nuance. Les personnes infectées représentent les maillons qui constituent la chaine de survie de ce groupe, elles les engraissent économiquement ce qui permet de renouveler les infrastructures, d'engager des projets de développement, .... et donne raison à ce business illicite.

Aujourd'hui, lors d'une infection Zlob, il n'est pas rare d'observer de multi-infections comme par exemple Vundo, ce qui pose parfois de sérieux problèmes pouvant "saturer" le système d'exploitation rendant le nettoyage plus difficile voir quasiment impossible.

Les sites d'aide à la résolution de problèmes informatiques, communément appelés sites d'entre aide, sont pris d'assaut quotidiennement par d'innombrables visiteurs qui gémissent bestialement leurs malheurs et tristes aventures vécues. (Pour les étrangers, sachez que se plaindre est "natif" chez un français). Heureusement qu'ils existent, MAIS, si ils sont aussi nombreux, outre le fait que ce soit rentable pour les webmasters, ces forums traduisent un véritable problème de fond face aux fléaux qui circulent sur Internet. La pédagogie n'est pas mise en avant, l'objectif des "helpers" étant de rendre la machine la plus "propre" que possible. La qualité de l'aide apportée dépends des propres connaissances de l'interlocuteur ; il y en a des compétents mais aussi de vrais dangers publiques ! Quand le problème est marqué [Résolu] ; Les utilisateurs sont satisfaits et bénissent l'existence de tels forums "gratuits" (fondamentalement, la gratuité n'existe pas) même si au final, il n'ont absolument rien compris à leurs manipulations. Tout comme l'aide humanitaire, si l'aide est mal gérée, dosée, encadrée, ça entraine à long terme une dévaluation et une forte dépendance.

Les anti-virus reconnaissent avoir de plus en plus de difficultés à lutter efficacement face au volume exponentiel que représente les programmes malveillants. De ce fait, ils sont tous sans exception, faillibles. Mais que faire face à un utilisateur ayant un comportement à risque et qui clique sur tout ce qui bouge ? C'est si facile de rejeter sur les autres ses propres erreurs. MAIS, ouvrons la parenthèse: Il est profondément regrettable d'observer les éditeurs dans leurs affronts directs ou indirects par blogs interposés. Lire tous les quatre matins que "Ma base est plus grosse que la tienne", nana na na... Ou encore regardez l'étude réalisée par X ou Y , voyez comme nos produits surclassent les vôtres et vous atomisent. Moi, je dis MERDE ! It's bullshit ! Il est temps de cesser vos inepties burlesques et puériles, soyez réalistes, ces méthodes n'amélioreront pas la vente de vos produits. Fin de la parenthèse.


Image Copyright: IKARUS Security Software GmbH.

Nous arrivons donc à la célèbre formule PEBKAC
Problem Exists Between Keyboard And Chair
Le problème se situe entre la chaise et le clavier

Sauf exceptions, les techniques qui sont utilisées se basent sur les comportements humains et principalement les vices de l'Homme. Afin de surpasser nos "instincts" primitifs, la nature nous à doté d'un cerveau. Un exemple estival ? Vous faites un barbecue. Vous sortez vos merguez, elles sont entièrement comestibles et très bonnes mais vous savez pertinemment que si vous les mettez immédiatement dans votre bouche, vous allez vous brûler ! Prendre conscience qu'une infection n'est pas une simple petite brulure mais bien une maladie informatique qui tuera à petit feu votre ordinateur ou par malchance vous touchera dans la vie réelle, est une étape importante dans la compréhension et dans la prévention.

Vous l'avez peut être remarqué que nous ne dérogeons pas à nos habitudes, à savoir, nous faire de nouveaux amis et après tout, si ça dérange autant, c'est probablement qu'il y a un fond de vérité.