Question:
Pourquoi les logiciels malveillants essaient-ils de supprimer d'autres logiciels malveillants?
Jeff
2012-03-11 14:50:17 UTC
view on stackexchange narkive permalink

Récemment, mon site Web basé sur php a été infecté par des logiciels malveillants (probablement par un mot de passe ftp volé).
En gros, toutes les 30 minutes, un fichier frame_cleaner_php.php a été téléchargé, un HTTP-GET a été effectué dessus pour l'exécuter et il a été supprimé. J'ai pu intercepter une copie du fichier et l'analyser.

Il n'était en aucun cas obscurci et était assez facile à lire.
Essentiellement, il analysait récursivement tous les fichiers php, cherchait 20 signatures d'infections par autres malwares courants (comme <? Php eval (base64_decode (" ou <? PHP # Web Shell by oRb ) et grossièrement supprimé les lignes avec cette infection.

En raison d'un faux positif, certaines lignes de mes propres fichiers php ont été supprimées, ce qui a causé la fermeture du site. C'était probablement juste un effet secondaire involontaire du malware.

La grande question: pourquoi un logiciel malveillant ferait-il cela, qu'est-ce qu'il y a à gagner?

Réponse à la première phrase: passez à sftp.
sftp aiderait contre le reniflement de mot de passe sur la ligne. Cependant, j'ai des raisons de croire qu'un virus sur mon ordinateur a trouvé des mots de passe ftp stockés que je n'avais pas cryptés à l'époque.
@Jeff - Ces mots de passe sont probablement stockés non chiffrés. Votre mot de passe était soit trop simple, soit vous avez un logiciel malveillant sur l'ordinateur à partir duquel vous accédez au compte ftp.
hmm il semble que les corewars aient évolué :)
Le programme de suppression est-il qualifié de "malware" s'il supprime un malware?
@PiotrCzapla, Corewars est plus complexe que cela. Ceci est la version préhistorique.
Cinq réponses:
Chris Dale
2012-03-11 14:57:12 UTC
view on stackexchange narkive permalink

Il y a deux explications comme je le vois.

Se battre pour la boîte

Les différents types de logiciels malveillants veulent à eux seuls posséder la boîte et ne pas le partager avec les autres. Il essaiera donc de patcher le système et de supprimer d'autres malwares et de laisser une porte dérobée au créateur.

Vers éthiques

Malware qui se propage uniquement pour patcher et supprimer les autres logiciels malveillants est souvent appelé «vers blancs» ou «vers éthiques». Ces types de vers présentent de très nombreux problèmes de responsabilité, ils ne sont donc souvent pas vus.

«Ethical Worms», intéressant, jamais entendu parler d'eux. +1
Il est parfois suggéré que la possession de votre PC par le "Cybermaffia" vous donne le meilleur antivirus qui soit, car ils connaissent le terrain de jeu et, en fait, ne veulent pas partager la boîte avec d'autres. Bien sûr, cela signifie probablement aussi que vous êtes un nœud dans un botnet ou quelque chose de tout aussi défavorable.
Une autre raison est que les logiciels malveillants qui se propagent via des exploits à distance (par exemple, un BoF dans un protocole tel que SMB) infecteraient continuellement la machine cible encore et encore. Des infections répétées peuvent causer des problèmes et alerter l'utilisateur. Certains logiciels malveillants contournent ce problème en annonçant que la boîte est infectée, mais c'est un moyen infaillible de se faire détecter, de sorte que les correctifs de la machine sont souvent le meilleur choix pour les auteurs de logiciels malveillants.
@MarekSebera Nachi (alias Welchia) en est un exemple.
Des vers éthiques, hein? Une sorte de chevalier noir des hackers? :) Quelqu'un devrait en faire un film.
@Legolas, [Je n'en ai pas entendu parler.] (Https://www.google.com/search?q=Cybermaffia) Qui est la cybermaffie?
Albireo
2012-03-11 18:49:18 UTC
view on stackexchange narkive permalink

Prolongement de la réponse de Karrax:

Parce que plus une boîte a d'infections, plus les changements (au moins un) de l'infection sont détectés sont élevés, et si la boîte est effacée / nettoyée, c'est le jeu plus pour le malware.

Ainsi, en nettoyant d'autres infections et / ou en corrigeant le système, le malware tente de préserver sa propre existence.

Ce qui est drôle, c'est qu'à cause du nettoyage (mal exécuté), j'ai découvert l'infection en premier lieu.
@Jeff, Pourquoi utilise-t-il GET pour exécuter le script au lieu de simplement l'exécuter directement sur le serveur?
Billy ONeal
2012-03-11 19:11:55 UTC
view on stackexchange narkive permalink

Certains auteurs de malwares font partie de groupes qui n'aiment pas les autres auteurs de malwares. C'est un peu comme une équipe de football qui n'aime pas une autre équipe de football; ils veulent tous les deux voir l'avancement du football, mais ils ne veulent pas que l'autre équipe soit là quand cela se produit.

C'est plus vrai qu'il n'y paraît au premier abord. Voir la [série Pharma Wars] de Brian Krebs (http://krebsonsecurity.com/category/pharma-wars/). Les botnets sont principalement choisis et loués en fonction de leur taille. Tout ce que vous pouvez faire pour réduire la taille du botnet de votre concurrent vous rend plus riche.
airloom
2012-03-12 03:59:03 UTC
view on stackexchange narkive permalink

Quelques bonnes réponses ici, j'espère pouvoir y ajouter.

Pour comprendre pourquoi, vous devez comprendre que votre serveur Web infecté a une valeur monétaire pour la personne qui l'a infecté. Il peut être loué pour toutes sortes d'activités telles que le routage du trafic, l'hébergement d'autres sites, la distribution de spam, DDoS, etc.

Si le serveur a plusieurs infections, cela signifie qu'il est partagé, il pourrait être utilisé par une personne pour héberger des logiciels malveillants, mais une autre peut les utiliser pour mener des attaques par déni de service distribué (DDoS). Si l'un de ces gars obtient l'IP sur liste noire, alors cela ne sert à rien pour l'autre.

De plus, la suppression des vulnérabilités et autres logiciels malveillants de la boîte se produit donc vous en supprimez d'autres ou ils vous enlèvent et vous perdez le contrôle de la boîte.

Fiasco Labs
2012-05-14 00:10:47 UTC
view on stackexchange narkive permalink

Les groupes de hackers criminels n'aiment tout simplement pas partager la richesse entre eux. Si cela interfère avec votre flux de revenus, vous voulez qu'il soit mis hors service, vous le désactivez donc. De plus, du point de vue de la sécurité, si vous utilisez un botnet, voulez-vous qu'un autre botnet ait accès à des informations sur vos tactiques?

La sécurité opérationnelle, ce n'est pas seulement pour les honnêtes gens ...



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...