Cet article fait suite à celui-ci.
Désormais, on va dissocier les malwares par familles et identifier les comportements qui sont liés.
Adware
PDF : Adware.pdf
Ransomware
PDF : Ransomware.pdf
Regardons aussi comment ces malwares se lancent.
PDF : Ransomware_lancement.pdf
Il est intéressant de voir que le mode de lancement utilisé par les ransomwares est séparé en deux parties (clusters). Donc par exemple si un de ces programmes crée une clé Run, il y a de fortes chances qu’il ait aussi créé une clé Session Manager.
Scareware
PDF : Scareware.pdf
PDF : scareware_lancement.pdf
Vers
PDF : Vers.pdf
PDF : Vers_lancement.pdf
D’autres familles de malwares existent mais on va pas toutes les traiter. On peut aussi regarder quelques infections particulières.
TDSS / ZeroAccess
Dans cette partie on souhaite voir ce que TDSS et ZA ont en commun.
PDF : TDSS_ZAgraph.pdf
On voit que bien qu’ils aient chacun leurs spécificités, ils partagent un certain nombre de comportements.
SpyEyes
PDF : Spyeyes.pdf
Sur cette image, nous voyons que le malware effectue peu d’actions, dans la plupart des cas il n’essaye pas de se lancer au démarrage par exemple. Cela nous laisse supposer que l’exécution ne s’est pas bien passée (le malware a peut-être détecté qu’il était dans une machine virtuelle) ou que la base comportementale n’est pas assez complète.
Zeus
PDF : Zeus.pdf
PDF : Zeus_lancement.pdf
Ces graphiques nous montrent que même si ces infections appartiennent à la même famille, il y a de grandes différences de comportement entre les variantes.
Qbot
PDF : Qbot.pdf
Les comportements forment 3 clusters, on sait donc qu’il y a d’autres “grandes sous-familles” de Qbot qui ont chacune leurs comportements spécifiques.
Ce dernier article conclut l’utilisation de Gephi.
Pour toutes questions ou commentaires, vous pouvez aller sur le forum. ici.