Publié le 06-01-2006 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal

Pub : 100 DVD vierges déjà pour 22,90 EUR

L’article suivant fait le point sur le mode opératoire et les relations entre les diffuseurs de logiciels malveillants et leurs partenaires/affiliés, les méthodes d’installation, le code utilisé, les statistiques de propagation et d’installation et quelques-unes des méthodes imaginées par ces escrocs pour gagner de l’argent.

Depuis la mi-décembre 2005, Websense étudie plusieurs sites Web adeptes des « exploits » : il s’agit de programmes qui téléchargent et exécutent du code sur les ordinateurs de tiers sans que ceux-ci en aient conscience. Outre les failles connues d’Internet Explorer, les sites que Websense a pu surveiller profitaient d’une faille « zero-day », trop récente à ce moment-là pour qu’il existe un correctif (il s’agissait de la faille window(open) de Microsoft Internet Explorer). En traçant le code, Websense a abouti au site d’une société, éditeur d’un logiciel nommé Exfol. Le contrat de licence précise que cette entité immatriculée au Vanuatu (Pacifique Sud) travaille avec plusieurs filiales.

Cette semaine, pour installer les programmes de leurs filiales, ces mêmes sites ont recours au dernier exploit WMF zero-day en date (et donc dépourvu de correctif). Le code est placé dans des fenêtres au sein d’autres fenêtres sur les sites Web. Exfol et Freecat.biz sont hébergés sur des serveurs Web en Amérique du Sud. A ce jour, ils sont toujours en service. Leur contrat de licence comprend une liste des programmes de partenaires fournis avec leur logiciel.

En voici un extrait :
Vous reconnaissez et acceptez que lorsque vous téléchargez le logiciel Exfol, celui-ci peut être accompagné des programmes de certains de nos partenaires, dont SSK, trafficsector, sudoku, spywarelabs, matscash et bookedspace. Vous trouverez sur le site Web de chacun de nos partenaires les instructions vous permettant de désinstaller le/les logiciel(s) correspondant(s). Nous avons téléchargé le contrat de licence d’un logiciel fourni par l’un de ces sites Web. Il a effectivement été téléchargé, ainsi que du code malveillant. Pourtant, rien ne s’affiche à l’écran et, à aucun moment, l’utilisateur n’est invité à installer ou exécuter le logiciel.

Les sites Web Exfol et Freecat.biz distribuent actuellement des exploits qui tirent profit de la faille WMF, rendant possible l’exécution non autorisée d’applications. Ces fichiers, des chevaux de Troie , téléchargent et exécutent les fichiers suivants à partir du site Web freecat.biz : pawn001.exe à pawn009.exe.
Dès l’affichage de l’un des fichiers WMF, l’un des exécutables précités est téléchargé et exécuté sur le poste de la victime. Ces fichiers .exe sont eux-mêmes conçus pour installer plusieurs parties de logiciels indésirables. Souvent, un message vous informe que votre poste a probablement été infecté par un ou plusieurs logiciels espions (Spyware) et que la sécurité de votre ordinateur est compromise. Pour nettoyer votre poste, vous êtes alors invité à acheter la solution logicielle de l’un des partenaires. A l’heure actuelle, il vous en coûtera quelque 29 dollars US par trimestre. A la date de publication du présent article, la page d’accueil des sites Web Exfol.com et Freecat.biz était vierge de toute information, hormis « coming soon ».

Au cours de ses recherches, Websense a pu remarquer que l’un des sites Web était équipé d’une interface administrative assurant le suivi du nombre de visiteurs ayant téléchargé et installé les applications (autrement dit, ayant été infectés), avec d’autres informations aussi pertinentes que le mode de diffusion des fichiers, la correspondance entre l’ID de l’affilié et le code de l’exploit, ainsi que l’identité de certains affiliés. Comme en témoignent les statistiques publiées, ce site recevait/reçoit de nombreuses visites, parfois plusieurs dizaines de milliers par jour.

Vous trouverez ci-dessous une courte vidéo (ICI) que Websense a crée pour illustrer la procédure qui se déclenche sur un poste qui visite un site sur lequel figure le code IFRAME incriminé. Même si une fenêtre popup ActiveX vous en informe, le code est téléchargé et installé en coulisses. Suite à l’exécution du code, plusieurs avertissements vous informent de l’existence d’une faille de sécurité et vous invitent à acheter tel ou tel logiciel. Ces alertes de sécurité sont frauduleuses. Un fichier WMF est chargé dès l’accès au site. Il exécute un shellcode qui exploite la faille WMF de Windows signalée récemment. Ce shellcode invoque URLmon.dll pour télécharger et exécuter un autre fichier. Chaînes du fichier WMF présentant le site de téléchargement du cheval de troie. Le fichier pawn00#.exe télécharge à son tour d’autres exécutables.

Websense Security Labs (TM) recherche activement les sites Web qui tentent d’infecter des postes sans intervention de l’utilisateur - si ce n’est la simple visite d’un site. Websense a identifié plusieurs de deux types distincts. Les sites de la première catégorie sont conçus délibérément par des pirates pour infecter des tiers. Dans la plupart des cas, un leurre (message e-mail ou instantané) sert à attirer les futures victimes. Les données d’inscription des contacts sont généralement fausses. La seconde catégorie porte sur des sites corrompus. Les captures d’écran ci-après en sont les exemples. Il suffit pour être infecté de les visiter à partir de n’importe quel ordinateur sous Windows. Comme vous pouvez le constater, ces sites ont des origines géographiques très diverses. Websense a identifié aux Etats-Unis, en Russie, aux Pays-Bas, au Royaume-Uni, en Chine et au Japon.

Concours Coca Cola 2008

Vous venez de gagner un lot de 32.000 euros via un concours organisé par Coca-Cola. Une arnaque sans sucre.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Un nouveau ver s'attaque aux réseaux d´entreprise

Une alerte concernant les nouvelles versions du ver Downadup. Ce ver infecte les postes de travail et serveurs Windows.

Espionnage informatique effectué par la police

Le département britannique de l´Intérieur annonce préparer un plan qui permettra à la police d´infiltrer et espionner les ordinateurs personnels de l´ensemble des citoyens.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

La justice Chinoise s´attaque aux contrefacteurs

La Chine a rendu public huit importants cas de réseaux de contrefacteurs de films, logiciels et livres.

L´actualité juridique du mois de décembre

Comme il est de tradition sur ZATAZ depuis 13 ans, voici les actualités mensuelles de Maître Murielle Cahen, avocate spécialisée dans les NTIC.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Un nouveau ver s'attaque aux réseaux d´entreprise

Une alerte concernant les nouvelles versions du ver Downadup. Ce ver infecte les postes de travail et serveurs Windows.

Un code malveillant tente de bloquer les connexions au P2P

Un cheval de Troie étonnant vient de pointer le bout de ses bits sur la toile. Il empêche la connexion au site The Pirate Bay et Mininova.

F-Secure et Messenger 2009 en conflits

Une erreur perturbe le bon fonctionnement de la toute dernière version de Microsoft Live Messenger 2009 pour les utilisateurs de F-Secure.

Virus dans des cadres numériques Samsung

Amazon.com vient de retirer de la vente plusieurs cadres photos numériques du constructeur Samsung. Un code malveillant dans le cd d´installation.

Top 10 des malwares de novembre

Des sites web malicieux ont hébergé la plupart des e-menaces du mois de novembre.

Hausse de la criminalité sur Internet et répression demandée

2008 a été une année record : en nombre de programmes malveillants, de botnets et de gains financiers pour les criminels. Il devient donc nécessaire de renforcer la répression de ces activités criminelles.

Promotions sur le Coca-Colas et les MacDo´s

Avec les fêtes de fin d´annèe, l´envie de se faire un bon petit resto commence à titiller les papilles... des pirates. Des courriers électroniques vous proposent de recevoir des réductions conséquentes sur le Coca et l´hambugeur de vos rêves.

Un virus exploite Facebook et MySpace

Un code malicieux du nom de BoFace utilise les comptes personnels de MySpace et FaceBook pour s´inviter dans les ordinateurs des amateurs de réseaux sociaux.

Réagissez à ce contenu