Marc Blanchard Virus Docteur

Aller au contenu | Aller au menu | Aller à la recherche

dimanche 23 septembre 2007

[Zombie] Cas qui peut nous arriver à tous...

Par Marc Blanchard [Virus Docteur], dimanche 23 septembre 2007 à 00:28 :: Pour rester 'online'

Un webmaster m'a fait part d'une attaque d'un réseau zombie qu'il a subi dernièrement sur ses serveurs web. Je vais essayé de vous l'expliquer le plus simplement possible.

Perception de l'attaque :

a. Coté utilisateur : Trés grosses lenteurs d'accès aux pages web du site, voire impossibilité d'affichage de la page d'index (la page de bienvenue du site)

b. Coté serveur internet : Le microprocesseur est à 100% d'utilisation, des milliers de processus du serveur web/http surchargent la mémoire

c. Coté administrateur / webmaster : Vérification des régles de parefeux : Rien d'anormal, vérifications auprès du provider internet : rien d'anormal...

Que se passe-t-il ?

1. Après investigation du webmaster et de l'administrateur, des milliers d'ordinateurs sont en train de télécharger un fichier présent au téléchargement sur le site web attaqué.

2. Ces milliers d'ordinateurs téléchargent le fichier du site web attaqué avec une toute petite bande passante.

Que peut-on constater dans ce cas :

1. On s'appercoit, sur le serveur web attaqué, qu'une multitude de processus de serveur http sont chargés en mémoire, visant à faire tomber la machine via un 100% CPU (micro-processeur) et qu'une saturation mémoire et swap sont proches

2. Que ces processus de serveur http ne s'arreteront pas tant que le fichier n'est pas totalement téléchargé, ne liberant ainsi le serveur que dans quelques heures.

Différentes théories de paliatifs contre cette attaque de denis de service (appelé D.O.S) :

1. Imposer des limites de processus au système, mais elles peuvent nuire à la production habituelle du nombre de pages web visitées au quotidien

2. Filtrer les adresses IP : Mais certaines IP peuvent avoir un incident de blocage de connexion pour l'utilisateur non perturbateur, car son adresse IP peut être filtrée

Solution :

Partant de ce constat, il s'est avéré que la seule méthode, la plus efficace, était de capturer (blacklister) ces IP perturbatrices, non pas en les annulant, car l'attaquant pourrait attendre que toutes les adresses IP de son réseau zombie changent, mais de lui faire croire que son attaque fonctionne sans pour autant perturber le système.

Pour ce faire, une solution de 'pot noir' en linux existe qui consiste à répondre à la requête d'une adresse IP mais la diriger vers 'rien'

Aprés une fantastique saisie des adresses IP, et une recherche de géolocalisation des adresses IP, il s'est avéré que l'attaque venait d'Asie. Par conséquent, un 'pot noir' temporaire des adresses IP venant de ce pays s'est avéré la solution la plus efficace, sans trop de perte de productivité commerciale pour l'entreprise.





Conclusion :




Les hackers qui contrôlent les réseaux zombies peuvent provoquer un cyber-désordre d'une entreprise, d'un grand groupe international, juste en télécommandant des attaques programmées, par pays, par région sous forme de denis de services (D.O.S.), pour ensuite effectuer des chantages financiers ....un arret de l'attaque contre une somme d'argent...




Les machines zombies ne sont, en fait, que des ordinateurs que nous utilisons au quotidien, mais qui ont été infectés par une backdoor (porte dérobée) et d'un BOTNET (qui envoie régulièrement l'adresse IP de la machine au hacker). Le hacker peut ainsi prendre le contrôle du poste en entrant dans le système via la porte dérobée.




La seule solution aujourd'hui, pour éviter que notre ordinateur n'entre dans un réseau zombie, est une protection antivirale équipée d'un module proactif de défense, une analyse heuristique qui complète une mise à jour des bases antivirale (la plus fréquente possible), et une analyse en temps réel qui analyse TOUT TYPE de fichiers.




Les hackers d'aujourd'hui ne sont plus les hackers que nous avions, il y a 10 ans encore (qui ne montraient que des preuves comme quoi les systèmes pouvaient être vulnérables)... Non! les hackers d'aujourd'hui sont bel et bien de réels businessmen, et là ......




Où s'arrêteront leurs limites? Dans ce cas, est-ce que la limite est celle qu'un homme peut attendre dans sa quête de richesse ou de pouvoir ?
		

		
		
6 commentaires
		:: aucun trackback

	

	

		
mardi 11 septembre 2007
		
		
[ALERTE] Un vers se propage sur le réseau Skype et sa VoIP

		
		
Par Marc Blanchard [Virus Docteur],
		mardi 11 septembre 2007 à 19:27		:: Pour rester 'online'
		

		
		

			
ALERTE Un vers se propage sur le réseau Skype et sa VoIP








Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.




Arrivée du malware




Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.





Activation du malware :





L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR.
L'extension SCR, selon les operating systems est cachée.




Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.




Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.





Méthode d'infection :




Des que le code est exécuté, il copie ces fichiers dans le répertoire \Windows\System32 :




winlgcvers.exe
mshtmldat32.exe
wndrivs32.exe
sdrivew32.exe




Il patche les clefs de registres :




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run




Deux clefs sont crées :




HKEY_CURRENT_USER\Software\RMX




HKEY_LOCAL_MACHINE\SOFTWARE\RMX





Le vers télécharge son code sur les sites suivants :




cpa-site.com
lookingat.us
www.freewebs.com
www.gamesforum.com
www.kale45.php0h.com
4444mb.com
zopa.110mb.com
mylawsite.net
attorney-site.com
ragezone.com blog.co.uk
kupralana77.110mb.com
members.lycos.co.uk
ragai.myartsonline.com
bedclip.com
alladultmale.com





Technologie de retrovirus :




Afin de ne pas être détecté, et lui permettant de changer son propre code malicieux à volonté, le vers patche le fichier HOSTS tous les sites des serveurs de mises à jour des antivirus les plus connus.




Nota : Ce fichier doit être, en théorie, vide de nom de domaines.





Recommandation :




Forcez les mises à jour des bases antivirales.




Si l'antivirus refuse de se mettre à jour :




- Ouvrez notepad puis accédez au fichier HOSTS situé dans c:\windows\system32\drivers\etc




- effacez les noms de domaines inscrits dans ce fichier




Voici pour exemple un fichier hosts sain :











- Relancez la mise a jour de votre antivirus
		

		
		
aucun commentaire
		:: aucun trackback

	

	

				
		
IPhone 74 jours - 1 millions d'exemplaires vendus - 74 jours pour l'avoir cracké !

		
		
Par Marc Blanchard [Virus Docteur],
		mardi 11 septembre 2007 à 15:08		:: Pour rester 'online'
		

		
		

			
Avec 1 IPhone Apple vendu toutes les secondes dans le monde, c'est tout ce que Steve Jobs a toujours rèvé sans jamais l'avoir atteind.




Et bien c'est fait ! et on peut que l'en félicité !




Par contre 74 jours seulement, pour qu'un développement underground puisse être mis sur les sites peu scrupuleux pour faire sauter les sécurités SIM (notamment en ne dédiant plus le IPhone a utiliser qu'un seul opérateur téléphonique, mais multi-opérateurs), pour la modique somme de 30 euros !!!




Effectivement, le calcul par les crackers est rentable !




Après la mise en ligne de la version 1.02 du firmware, Apple est de nouveau en cours de révision de celui-ci...




Histoire à suivre...très très bientôt
		

		
		
aucun commentaire
		:: aucun trackback