Marc Blanchard Virus Docteur

Un site d'un editeur de sécurité a été victime d'une attaque HTTP d'un storm worm sous forme de IFRAME, comme je l'ai expliqué dans le post http://marc-blanchard.com/blog/index.php/2007/12/21/41--dfinitionexplications-les-storm-worm-et-storm-botnet

Il s'agit d'une attaque IFRAME.

Une IFRAME est un redireteur d'une page web ou d'un téléchargement d'un fichier ou d'une image présent sur un autre serveur web.

En général, si il s'agit d'un storm worm, cette iframe est transparente à l'affichage et le téléchargement peut-être transparent sans popup selon le navigateur utilisé.

Les attaques storm worm en web/HTTP sont de plus en plus fréquentes....attention lorsque vous recherchez une information sur les moteurs de recherches...

Voici le post de JD-NET : Vendredi 14 mars 2008, 11h40 :

Alors que l'éditeur de sécurité mettait justement en garde les internautes contre la diffusion de programmes malveillants via l'intégration dans des pages Web légitimes d'iframe, il a lui même été pris pour cible.

Plusieurs pages Trend Micro comportaient ainsi un JavaScript redirigeant de façon invisible le navigateur vers un serveur hébergé en Chine installant un code malveillant destiné à dérober des identifiants d'accès.

Le 13 mars, McAfee comptabilisait 20 000 pages Web ainsi infectées. Les experts cherchent encore à identifier le mode d'attaque employé par les pirates pour infecter massivement des pages. Une faille dans la technologie Active Server Page (ASP) de Microsoft pourrait avoir été exploitée.

Attendez vous à recevoir une nouvelle technique de SPAM dans vos boites aux lettres.

En effet, depuis ce matin, les boites aux lettres commencent à recevoir un spam qui contient un fichier MP3, qui fait une annonce d'une entrée en bourse d'une entreprise du net appelee EXIT ONLY Inc...

Voici des echantillons mp3 quasiment inaudibles qui arrivent dans vos boites aux lettres :

Echantillon MP3 du fichier qui arrive par mail 118 ko

Autre Echantillon MP3 de 109 ko

Cette technique est une mise à l'épreuve de technique de spams vocaux. Il est à noter que les fichiers qui arrivent dans les boites aux lettres sont de tailles différentes, représentant ainsi des échantillonnages de la voie différents, et des noms des fichiers MP3 différents.

A quoi faut-il s'attendre demain avec cette technique?

Il sera simple de recevoir des spams en MP3, qui inciteront les internautes à aller visiter des sites internet.

Ces sites contiendront des codes malveillants afin de contaminer les internautes, avec des trojans downloaders (malwares qui se téléchargent et s'installent automatiquement à l'insu de l'utilisateur).

Le but, pour les cyber-délinquants, est d'accroître et de maintenir en fonctionnement un parc de machines zombies sur la planete afin de les exploiter au maximum...à des fins cyber-criminelles, tels que le spam, des denis de services, de l'espionage, des chantages et toutes autres attaques numériques.

Un webmaster m'a fait part d'une attaque d'un réseau zombie qu'il a subi dernièrement sur ses serveurs web. Je vais essayé de vous l'expliquer le plus simplement possible.

Perception de l'attaque :

a. Coté utilisateur : Trés grosses lenteurs d'accès aux pages web du site, voire impossibilité d'affichage de la page d'index (la page de bienvenue du site)

b. Coté serveur internet : Le microprocesseur est à 100% d'utilisation, des milliers de processus du serveur web/http surchargent la mémoire

c. Coté administrateur / webmaster : Vérification des régles de parefeux : Rien d'anormal, vérifications auprès du provider internet : rien d'anormal...

Que se passe-t-il ?

1. Après investigation du webmaster et de l'administrateur, des milliers d'ordinateurs sont en train de télécharger un fichier présent au téléchargement sur le site web attaqué.

2. Ces milliers d'ordinateurs téléchargent le fichier du site web attaqué avec une toute petite bande passante.

Que peut-on constater dans ce cas :

1. On s'appercoit, sur le serveur web attaqué, qu'une multitude de processus de serveur http sont chargés en mémoire, visant à faire tomber la machine via un 100% CPU (micro-processeur) et qu'une saturation mémoire et swap sont proches

2. Que ces processus de serveur http ne s'arreteront pas tant que le fichier n'est pas totalement téléchargé, ne liberant ainsi le serveur que dans quelques heures.

Différentes théories de paliatifs contre cette attaque de denis de service (appelé D.O.S) :

1. Imposer des limites de processus au système, mais elles peuvent nuire à la production habituelle du nombre de pages web visitées au quotidien

2. Filtrer les adresses IP : Mais certaines IP peuvent avoir un incident de blocage de connexion pour l'utilisateur non perturbateur, car son adresse IP peut être filtrée

Solution :

Partant de ce constat, il s'est avéré que la seule méthode, la plus efficace, était de capturer (blacklister) ces IP perturbatrices, non pas en les annulant, car l'attaquant pourrait attendre que toutes les adresses IP de son réseau zombie changent, mais de lui faire croire que son attaque fonctionne sans pour autant perturber le système.

Pour ce faire, une solution de 'pot noir' en linux existe qui consiste à répondre à la requête d'une adresse IP mais la diriger vers 'rien'

Aprés une fantastique saisie des adresses IP, et une recherche de géolocalisation des adresses IP, il s'est avéré que l'attaque venait d'Asie. Par conséquent, un 'pot noir' temporaire des adresses IP venant de ce pays s'est avéré la solution la plus efficace, sans trop de perte de productivité commerciale pour l'entreprise.

Conclusion :

Les hackers qui contrôlent les réseaux zombies peuvent provoquer un cyber-désordre d'une entreprise, d'un grand groupe international, juste en télécommandant des attaques programmées, par pays, par région sous forme de denis de services (D.O.S.), pour ensuite effectuer des chantages financiers ....un arret de l'attaque contre une somme d'argent...

Les machines zombies ne sont, en fait, que des ordinateurs que nous utilisons au quotidien, mais qui ont été infectés par une backdoor (porte dérobée) et d'un BOTNET (qui envoie régulièrement l'adresse IP de la machine au hacker). Le hacker peut ainsi prendre le contrôle du poste en entrant dans le système via la porte dérobée.

La seule solution aujourd'hui, pour éviter que notre ordinateur n'entre dans un réseau zombie, est une protection antivirale équipée d'un module proactif de défense, une analyse heuristique qui complète une mise à jour des bases antivirale (la plus fréquente possible), et une analyse en temps réel qui analyse TOUT TYPE de fichiers.

Les hackers d'aujourd'hui ne sont plus les hackers que nous avions, il y a 10 ans encore (qui ne montraient que des preuves comme quoi les systèmes pouvaient être vulnérables)... Non! les hackers d'aujourd'hui sont bel et bien de réels businessmen, et là ......

Où s'arrêteront leurs limites? Dans ce cas, est-ce que la limite est celle qu'un homme peut attendre dans sa quête de richesse ou de pouvoir ?

ALERTE Un vers se propage sur le réseau Skype et sa VoIP

Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.

Arrivée du malware

Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.

Activation du malware :

L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR. L'extension SCR, selon les operating systems est cachée.

Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.

Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.

Méthode d'infection :

Des que le code est exécuté, il copie ces fichiers dans le répertoire \Windows\System32 :

winlgcvers.exe mshtmldat32.exe wndrivs32.exe sdrivew32.exe

Il patche les clefs de registres :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Deux clefs sont crées :

HKEY_CURRENT_USER\Software\RMX

HKEY_LOCAL_MACHINE\SOFTWARE\RMX

Le vers télécharge son code sur les sites suivants :

cpa-site.com lookingat.us www.freewebs.com www.gamesforum.com www.kale45.php0h.com 4444mb.com zopa.110mb.com mylawsite.net attorney-site.com ragezone.com blog.co.uk kupralana77.110mb.com members.lycos.co.uk ragai.myartsonline.com bedclip.com alladultmale.com

Technologie de retrovirus :

Afin de ne pas être détecté, et lui permettant de changer son propre code malicieux à volonté, le vers patche le fichier HOSTS tous les sites des serveurs de mises à jour des antivirus les plus connus.

Nota : Ce fichier doit être, en théorie, vide de nom de domaines.

Recommandation :

Forcez les mises à jour des bases antivirales.

Si l'antivirus refuse de se mettre à jour :

- Ouvrez notepad puis accédez au fichier HOSTS situé dans c:\windows\system32\drivers\etc

- effacez les noms de domaines inscrits dans ce fichier

Voici pour exemple un fichier hosts sain :

- Relancez la mise a jour de votre antivirus

Avec 1 IPhone Apple vendu toutes les secondes dans le monde, c'est tout ce que Steve Jobs a toujours rèvé sans jamais l'avoir atteind.

Et bien c'est fait ! et on peut que l'en félicité !

Par contre 74 jours seulement, pour qu'un développement underground puisse être mis sur les sites peu scrupuleux pour faire sauter les sécurités SIM (notamment en ne dédiant plus le IPhone a utiliser qu'un seul opérateur téléphonique, mais multi-opérateurs), pour la modique somme de 30 euros !!!

Effectivement, le calcul par les crackers est rentable !

Après la mise en ligne de la version 1.02 du firmware, Apple est de nouveau en cours de révision de celui-ci...

Histoire à suivre...très très bientôt