Bienvenue sur ZATAZ

Reportage

Virus SQL Saphire

Publié le 28-02-2004 dans le thème A RANGER !

Pays : Europe - Auteur : Damien Bancal

Pub : CA Anti-Spyware 2007 - Les logiciels espions sont notre cible avant que vous ne deveniez la leur!

Note des lecteurs: 1.2/5

Virus SQL, le web fait la tronche !

Samedi 25 janvier, 06 heures 30 du matin, une attaque lancée par un ou plusieurs groupes pirates commence à perturber le réseau des réseaux via un DDoS mis en place par un virus SQL nommé Saphhire.

Plusieurs gros serveurs tel que UUnet, Level 3, Ld Com ou encore H.P. sont tombés en rade.
L'attaque a visé l'Asie, l'Europe et le Pacifique puis s'est répandue sur toute la planéte. La France a aussi été touchée de maniére assez forte avec des probléme chez E-nexus, Caramail, Voila, OVH et même Wanadoo. Sur un acces ADSL wanadoo, il a été compté environ 1 paquet de 376 octets par minute. Imaginez le débit total pour la filiale de France Télécom. En belgique Skynet a du fermer des connections suspecte. Toutes les connections ayant un traffic trop important avaient été bloquées afin de protéger le réseau de l'attaque. Au moins cinq de treize root-serveurs ont été perturbés. En italie, ce n'est pas moins de 14 000 bureaux de poste qui se sont retrouvés sans ordinateur. Bref une sacré pagaille. En afrique du sud South African Standard Bank's et le Standard Bank Card Division étaient HS. Impossible pour les clients d'utiliser leurs cartes bancaires.

Le pays le plus touché reste la Corée d'ou semble être parti cette aggression numérique. Cependant certains experts pensant que ce virus est parti de Hong-Kong. Pourtant le plus important fournisseur du pays, Korean Telecom, a vu ses serveurs détournées.
Pour rappel 7 coréens sur 10 sont connectés à Internet. On vous invite à voir en image, dans un document exclusif ZATAZ, l'attaque de Sapphire. (0)

Kommentkifait ?
Ce code malveillant exploite une vulnérabilité des « SQL Servers » pour lancer des attaques de déni de service contre les serveurs de réseaux d’entreprises. Il envoie un paquet de 376 octets au port UDP 1434 (Port de Service d’Assistance de SQL Server). Afin d’envoyer ce paquet qui inclut le ver W32/SQLSlammer, il ouvre un port netbios. Simultanément, il utilise une fonction pour créer une adresse IP pour effectuer cet envoi. Il cherche à travers le réseau d’autres SQL Servers avec la même vulnérabilité, s’installe et se réplique dessus. Quelques heures après son apparition, des milliers de serveurs étaient affectés. Les dégâts occasionnés par ce code malveillant relèvent de l’attaque de déni de service, qui provoque notamment des échecs de services de messagerie, le ralentissement de connexions Internet et un blocage des réseaux. Voici en animation l'action de Sapphire.

Les principales applications utilisant Microsoft SQL Server : Compaq Insight Manager; Crystal Reports Enterprise; Dell OpenManage; HP Openview Internet Services Monitor; Microsoft .NET Framework SDK; Microsoft Office XP Developer Edition; Microsoft Project; Microsoft Visio 2000; Microsoft Visual FoxPro; Microsoft Visual Studio.NET et Veritas Backup Exec. Lors du Defcon 10, qui se déroulait à las Vegas en août 2002, un expert britannique, David Litchfield, co-fondateur du logiciel NGS, avait présenté un code viral du type de Slammer. David Litchfield avait présenté sa découverte lors de la session Black-Hat, montrant le danger d'un virus de ce type.

Ce qui suit est un court apercu de ce que fait la charge utile du ver après infection:
1/ Recherche de l'adresse GetProcAdress et de Loadlibrary de l'IATdans sqlsort.dll. Il prend les adresse de base de la bibliothèque et les points d'entrée nécessaire des fonctions selon ses besoins.

2/ Appel du gettickcount et utilisation du compte comme pseudo-random.

3/ Création d'un sock UDP

4/ Execution d'une pseudo formule simple de génération de nombre aléatoire en utilisant la valeur retournée de gettickcount pour produire une adresse IP qui seras utilisée plus tard comme cible.

5/ Envois de la charge utile du ver dans une demande de service de résolution du serveur SQL à l'adresse IP aléatoire sur le port 1434 (UDP)

6/ Retour de la formule et continuation de la création d'adresse aléatoire

Le code source de ce virus désassemblé et modifié par David Litchfield et lion.

Anti Virus gratuit contre Sapphire.

Qui ?
Depuis plusieurs mois des "essais" d'attaques, comme le Déni de Service Distribué à l'encontre des 13 root-serveurs (1) - (2) (21 octobre 2002) ou encore contre UltimatDNS (3) (27 novembre 2002) ont montré que des actions se préparaient. Depuis quelques semaines déjà, sur le réseau Darknet, les pirates parlaient d'une attaque de masse mais sans vraiment dire qui, quoi, comment et pourquoi.

Nous vous avions expliqué en juillet dernier comment le groupe de pirates "Fluffy Bunny" préparait dans son coin une attaque de ce genre (4). Nous vous avions aussi expliqué que ce genre d'attaque n'avait rien de difficile en vous montrant comment un spécialiste de la sécurité informatique français avait réussi, en quelques semaines, a regrouper une base de données de plus d'un million de serveurs Internet capable de servir à une telle offensive (5).

Le "piratage" de ce samedi matin "n'a" débuté qu'avec 17 000 requetes SQL qui ont crée un buffer overflows venant de 5 000 zombies, et cela en moins de 30 minutes. Par Zombies comprenez serveurs piratés servant de relai pour lancer le virus sur le réseau.

L'Association Coopérative pour l'Analyse des Données d'Internet, le CAIDA, va constater que le ver a doublé de densité toutes les 8.5 secondes. De quoi bloquer le réseau des réseaux en ... 15 minutes.

Quoi ?
Ce virus nommé SnakeSql lors de sa découverte en mars 2002, (6) avait obligé Microsoft a publier une alerte au sujet d'un probléme de sécurité qui visait sa version SQL 7 et son serveur de SQL 2000. Les potes à Bill avait expliqué qu'un code malveillant appelé aussi Voyager Alpha Force se promenait sur le réseau et volait les mots de passe des comptes administrateur. Il avait touché à l'époque plus de 2 000 serveurs, dés son apparition. Cette année, sur une classe C filtrée, il a été compté pas moins de 28 000 paquets en quelques minutes.

Nous vous en parlions dés le jour de l'attaque. Il semble que nous avions visé juste. Les auteurs présumés du virus SQL Saphirre seraient des pirates chinois du groupe China Union Hacker - HUC -.

Nous vous avions déjà parlé de ce groupe voilà plus d'un an lors de la diffusion d'un virus par ces même pirates. Ver mis en action après qu'un avion espion américain se soit écrasé en Chine.

Les pirates du HUC vont redoubler dans les actes de barbouillages de sites web durant les anniversaires de l'histoire de la république populaire de chine - Massacre de chinois durant la guerre contre le Japon par exemple. - Voir exemple -.

China Union Hacker avait diffusé un virus intitulé l1on, du même nom que son auteur. Le ver avait infecté des ordinateurs et avait lancé une attaque DoS à l'encontre de sites américains. L1on est l'auteur d'un outil nommé HUC DoS tools. Voir notre capture.

A l'époque ce groupe signait déjà ses actes ainsi : "Comme nous sommes des chinois, nous aimons notre patrie et sa population. Nous sommes indignés par l'intrusion de l'impérialisme. La seule chose que nous avons à dire est que nous sommes nécessaires. Nous sommes prêts à consacrer notre vie pour notre pays, incluant même nos vies".

Motivation ?
Alors kikiatoké en ce samedi matin ? Voici plusieurs pistes possible ! Il doit y en avoir beaucoup d'autres :

:: Pirates Chinois qui fêtent le nouvel an ? L'année du Cheval... de Troie ! Rappelons aussi que l'armée chinoise n'a jamais caché travailler sur des codes viraux pouvant être utilisés en cas de conflit militaire. Les pirates chinois aiment, eux aussi, abuser de virii. Le groupe Hacker Union avait utilisé des virii, comme Torn, aprés qu'un avion espion de l'Us Army soit venu s'écraser sur le sol de leur pays. (8) (9) Update : 26/01 - Au vu de notre enquête, il semble que cette hypothése soit la bonne.

:: Des hacktivistes qui manifestent lors du lancement du forum de Davos ? (10) Ce virus MS-SQL a envoyé des millions de paquets UDP, un moyen comme un autre de manifester !

:: Guerre dans le petit monde du warez ? La faille employée par le virus est celle qui etait utilisée par les groupes warez pour placer leurs productions, Films, logiciels, mp3, Bds, sur des serveurs piratés grace à ce probléme de sécurité. Nous vous l'expliquions dans plusieurs de nos enquêtes, sur zataz.com (11) ou sur ZATAZ Magazine papier. (11b)

A noter qu'aujourd'hui 50 %, si ce n'est plus, des stros, comprenez des serveurs d'hebergement piratés, sont hors service. On peut d'ailleur se poser une question. La faille IIS, que les groupes warez adoraient va elle aussi quasiment disparaitre avec l'apparition du virus Code Red en 2001. Le warez va mettre du temps à s'en remettre. Aujourd'hui, SnakeSql remet au tapis les groupes de pirates de films/logiciels/ .... Et si le RIAA, la MPAA ou autres ... avaient commandité cette attaque ? Difficile à croire ! Ce n'est pas eux qui avaient pourtant demandé de pouvoir pirater les pirates ! (12)

:: Un neuneu du web qui vient de découvrir le logiciel dernier cri et qui va cliquer dessus ... (13) Deux secondes plus tard il part en criant pas glop ! Pas glop ! Pas glop ! Pas glop !!!
Souvenez-vous de Mafia-Boy, en 2000, qui va attaquer Yahoo, Cnn, ... ou encore le créateur du virus Kournikova. ZATAZ Magazine vous expliquait à l'époque comment ce virus avait été créé avec un générateur (14) de virus trouvé sur le web !

Voir les graphismes des Root-Serveurs
root-serveurs.
(2)

Le reseau en couleur
http://average.matrix.net/Daily/markR.html

Patch :
http://www.microsoft.com/

SQL 2000 Service Pack 3 :
http://www.microsoft.com/sql/downloads/2000/sp3.asp

Info technique en anglais :
http://www.microsoft.com/ (2)
http://www.nextgenss.com/advisories/mssql-udp.txt
http://sqlsecurity.com/DesktopDefault.aspx

:: Terroriste ? Le mot est tellement utilisé par le législateur que n'importe quel idiot du village, copieur, pirate est un terrosiste aujourd'hui sur Internet. Cependant ce virus a perturbé des usines, des banques, des transactions bancaires informatisées, les mels, ...

:: Escroquerie ? Pendant que les administrateurs se tapait la tête contre les murs, un pirate a peut-être vidé les caisses d'une ou plusieurs cibles précises. Aux Etats-Unis, la banque Bank of America Corp. a expliqué que la majorité de ses 13 000 distributeurs automatiques de billets étaient incapables de traiter des transactions suite à l'attaque du virus Sql et Américan Express était, de son côté, dans l'incapacité de fournir le moindre services à ses clients !

:: Bush qui se trompe de bouton et pense acheter des Bretzels sur le web ? Peu probable ! Mes un ou des services de renseignements profitant de ce genre "d'outil" pour forcer les entreprises du pays à se sécuriser avant une guerre annoncée ?

Bref des suppositions sans fondement, juste l'experience de cas vécus et connus de piratages, attaques, ...

Demain ?
Et bien demain sera un autre jour ! Il est malheureusement fort à parier qu'une nouvelle variante de ce virus apparaisse avec cette fois-ci des options beaucoup plus dangereuses. Aussi étonnant que cela puisse paraitre, Sapphire n'avait aucune charge de destruction, son seul but effrainé de reproduction, comme le virus Code Red en 2001, a perturbé le réseau, sans le paralyser. Sapphire aura touché quasiment autant de serveur que son grand frêre, soit 300 000 machines d'aprés Symantec.

Derniers contenus

Concours Coca Cola 2008

Vous venez de gagner un lot de 32.000 euros via un concours organisé par Coca-Cola. Une arnaque sans sucre.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Un nouveau ver s'attaque aux réseaux d´entreprise

Une alerte concernant les nouvelles versions du ver Downadup. Ce ver infecte les postes de travail et serveurs Windows.

Espionnage informatique effectué par la police

Le département britannique de l´Intérieur annonce préparer un plan qui permettra à la police d´infiltrer et espionner les ordinateurs personnels de l´ensemble des citoyens.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

La justice Chinoise s´attaque aux contrefacteurs

La Chine a rendu public huit importants cas de réseaux de contrefacteurs de films, logiciels et livres.

L´actualité juridique du mois de décembre

Comme il est de tradition sur ZATAZ depuis 13 ans, voici les actualités mensuelles de Maître Murielle Cahen, avocate spécialisée dans les NTIC.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Derniers communiqués de presse

Microsoft Techdays

3ème édition des Microsoft Techdays, le rendez-vous des professionnels de l´informatique, développeurs et décideurs techniques.

IMAGE X5

KLIPSCH dévoile ses nouveaux écouteurs : IMAGE X5, l’audio à emporter.

DiVX basé sur le H.264

DivX annonce la nouvelle génération de son logiciel, DivX 7, basé sur le H.264 La nouvelle version permet de lire des vidéos HD, sur les PC et d’autres appareils.

Dans la boule de cristale de Websense

Prévisions des actes de piratage informatique en 2009 par les laboratoires de sécurité Websense.

Stars-buzz.com

Calendrier Aubade: janvier

La marque de lingerie féminine, Aubade, nous a encore une fois gratifié d?un sublime calendrier mettant en scène ses divers produits. Retrouvez la page du mois de Janvier. Une leçon de séduction en douze parties qui fait merveille dans le calendrier 2009 de la marque de lingerie Aubade. Ce dernier est téléchargeable ici. Nous vous proposons chaque [...]

Calendrier Aubade 2009

La marque de lingerie féminine, Aubade, nous a encore une fois gratifié d’un sublime calendrier mettant en scène ses divers produits. Retrouvez la page du mois en cours. Une leçon de séduction en douze parties qui fait merveille dans le calendrier 2009. Ce dernier est téléchargeable ici. Nous vous proposons chaque 1er du mois de retrouver la [...]

Stars-Buzz.com, deuxième

Bonjour, Stars-buzz.com n’est pas mort. Toujours là pour vous faire croustiller de news sur le cinéma, la musique, le cinéma. Le grand retour de vos actualités décalées comme vous les aimé à partir du 1er janvier 2009. Une légère boulette informatique a fait que nos serveurs ont fait pffittt… Certainement un coup de Bratt Pitt ! Dès le [...]

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT Graphisme par Exclusive Network
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
www.outilsgratuits.com www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2009