Siberia Exploit Kit est un crimeware très évolué qui a été vu dans la nature fin 2009. Il y a quelques mois l’auteur de Siberia avait déployé une version améliorée de la boîte à outils pirate, comme l’écrit Malware Intelligence dans son blog.
Comme le Phoenix Exploit Kit, l’auteur de Siberia Exploit Kit insiste également sur le contournement de la reconnaissance par les antivirus et les services de filtrage d’URL, car il intègre un destructeur d’antivirus.
L’administration du “hacktool” permet d’effectuer une analyse antivirus du malware afin de mieux l’exploiter. En outre, les résultats d’analyse de chaque société antivirus sont visibles.
Il est bien connu qu’une fois que le téléchargement de logiciels malveillants à un service tel que VirusTotal a été réalisé, les entreprises d’Anti-Virus peuvent re-analyser les fichiers suspects. En tant que tel, le Kit d’Exploitation Siberia ne pas utiliser le service VirusTotal. Dans ce cas particulier, les fichiers sont envoyés à un scanner anti-virus en ligne appelé “scan4you.biz“.
Jetons un coup d’oeil à notre correcteur Anti-Virus anonyme :
Bien entendu, ce service n’est pas gratuit. Le coût est de 0,15$ pour chaque vérification de fichier ou de 25$ pour une licence d’un mois. Le site propose plusieurs types de scans :
- Scan de fichier ordinaire – antivirus
- URL de balayage – scan antivirus d’URL
- Liste noire / filtre scan – Vérifier la détection de l’URL dans le filtrage des URL des services
- Exploit Pack scan – Vérifier la détection de nom de “hacktools” dans le filtrage des URL des services
Finalement, afin d’intégrer ce service dans le Kit d’Exploit Siberia, ou dans tout autre ensemble, le service antivirus publie une API permettant l’utilisation à distance :
Comme d’autres techniques de tergiversations ces derniers temps comme “Anti Wepawet” ou “anti JSunpack”, il semble que les cybercriminels continuent à essayer de trouver des techniques créatives pour éviter la détection de leurs logiciels malveillants, cette fois en effectuant une analyse anti-virus.
Le Kit CrimePack semble suivre la même voie…
🙂
Les commentaires sont fermés.