Virus

Rapport viral du mois de Mars 2011

Publié le 14-04-2011 dans le thème Virus - Antivirus

Pays : International - Auteur : La rédaction

Pub : Découvrez les Labs ZATAZ

Note des lecteurs: 2.6/5

Destruction d'un important réseau de spam et autres événements viraux du mois de mars 2011. L’actualité virale la plus importante du mois de mars est la découverte de trojans dans les terminaux de paiement et la destruction d'un réseau de spam important à l'échelle mondiale, le réseau Trojan.Spambot connu également sous le nom de Rustock. De plus, il y a eu quelques attaques sur les réseaux sociaux et la catastrophe au Japon est évidemment devenue un sujet important de spéculations et de messages spam.

La fermeture du réseau Trojan.Spambot

Le 17 mars 2011 est le jour où le plus grand générateur de spam, le réseau Trojan.Spambot, a cessé de fonctionner. 26 centres de commandes n'étaient plus accessibles et des centaines de bots se sont mis en veille. Selon Microsoft, un PC infecté par le Trojan.Spambot envoyait jusqu'à 10000 messages par heure. Certains experts soulignent qu’environ 815 000 bots formaient le réseau. Ainsi, le flux du Trojan.Spambot pouvait être estimé à plusieurs milliards de messages spam par jour. Microsoft et les autorités américaines se sont engagés à défaire le réseau Trojan.Spambot.

Trojan.Spambot, dont les premières détections datent de 2005, est devenu un des logiciels trojans les plus techniques et les plus complexes. Le concepteur du Trojan.Spambot a passé plus d'un an à perfectionner son logiciel, le déchiffrement du code du trojan a fait l'objet d'un grand nombre de publications.

Il n'est pas facile aujourd'hui de faire des hypothèses sur l'avenir de l'industrie du spam. Pourtant, il est évident que la fermeture d'un réseau aussi important représente une perte considérable pour l'industrie, mais qui pourra vite être rééquilibrée par le nombre croissant d'autres réseaux de spam.

Ainsi, le réseau Win32.HLLM.Beagle est un des leaders de l'industrie à ce jour, même s’il est vrai que son activité a diminué ces dernières années. Les deux réseaux sont spécialisés dans le spam dit « pharmaceutique », diffusant de la publicité pour les médicaments.

Il faut se préparer, dans le futur, à des modifications de l'architecture des réseaux de spam, notamment vers une plus forte décentralisation. Il existe des pronostics sur le rétablissement éventuel du Trojan.Spambot.

Des trojans dans les terminaux de paiement russes

En mars 2011, Doctor Web a annoncé une nouvelle modification du Trojan.PWS.OSMP, infectant les terminaux de paiement en modifiant le numéro de compte introduit par l'utilisateur. Cette dernière modification permettant très probablement aux malfaiteurs de créer un terminal virtuel. Il est intéressant de noter que le trojan n’a pas été détecté lors de l'analyse d'un terminal infecté, mais alors qu’il surveillait le botnet d'un autre trojan, permettant l'accès du Trojan.PWS.OSMP aux terminaux.

L'infection des terminaux s’effectue en deux étapes. Au départ, c'est le BackDoor.Pushnik, un fichier exécutable de ~620 KB conçu en Delphi, répandu par les disques amovibles, qui pénètre dans le terminal. Ensuite, le trojan est commandé à distance et lance un fichier de 60-70 KB contenant le Trojan.PWS.OSMP. Celui-ci analyse les processus du terminal pour trouver maratl.exe, faisant partie du logiciel de tout terminal. S’il y parvient, le trojan s'intègre dans le processus et remplace les numéros de compte des utilisateurs par les numéros des malfaiteurs.

La dernière version détectée du trojan fonctionne d'après le schéma suivant: Trojan.PWS.OSMP copie le fichier de configuration du logiciel d'un terminal sur son serveur, ce qui permet probablement de créer un faux terminal sur le PC et de diriger l'argent sur les comptes des concepteurs du trojan.

Les nouvelles vulnérabilités des logiciels Adobe

Le 14 mars 2011, Adobe a annoncé la détection d’une nouvelle vulnérabilité d'Adobe Flash Player 10.2.152.33 et de certaines versions plus anciennes. Cette vulnérabilité permet aux malfaiteurs d'attaquer le système via le fichier spécial swf. Elle existe dans toutes les versions du logiciel pour Windows, Mac OS, Linux, Solaris et d’anciennes versions pour Android.

Les mises à jour pour protéger les versions ne sont sorties que le 21 mars, laissant la vulnérabilité active durant toute une semaine. De plus, le moyen de l’utilisera été publié et donc facilement accessible à tout le monde. L'attaque est lancée depuis un fichier xls contenant un objet swf. Ce fichier swf lance un shellcode et effectue ensuite une attaque sur le lecteur flash vulnérable via Heap Spraying. Le premier code du fichier swf lance un deuxième fichier swf qui profite de la vulnérabilité du code ActionScript CVE-2011-0609 qui est le même pour tous les systèmes.

La vulnérabilité a provoqué l'envoi de messages avec un trojan sous la forme d’un fichier xls contenant l’Exploit.SWF.169. Lorsque le trojan est lancé, MS Excel arrête de fonctionner pendant un certain temps, puis l'utilisateur voit un tableau vide avec une vidéo en flash également vide. Dans le même temps, l’Exploit.SWF.169 effectue son attaque locale, enregistre et lance le fichier exécutable avec le Trojan.MulDrop1.64014 ou le Trojan.MulDrop.13648.

Les attaques des réseaux sociaux

Aujourd’hui, les réseaux sociaux sont devenus l’objet d'un nombre élevé d'attaques de pirates. Le mois de mars n’a pas été une exception, avec des attaques touchant LiveJournal et Facebook. Le 4 mars 2011, utilisant la technique de l’hameçonnage, un message faisant passer l’expéditeur pour l'administration du site LiveJournal a été envoyé, notifiant les utilisateurs sur un soi-disant blocage de leur compte LiveJournal puis sur sa suppression. De plus, l'adresse de l'expéditeur était [email protected], qui est réellement utilisée par LiveJournal. Le lien du message dirigeait vers des faux sites : livejorrnal.com ou xn--livejurnal-ivi.com. En suivant ces liens, l'utilisateur arrivait sur une page reproduisant le design de la page officielle de LiveJournal. Les données fournies étaient ensuite transmises aux malfaiteurs.

Quelques jours plus tard, c'était le tour de Facebook. Ses utilisateurs recevaient un spam d’un de leurs amis enregistré sur le réseau social. Les messages contenaient un lien court, méthode assez répandue pour ce genre d'attaque. Dans ces cas-là, l'utilisateur ne peut pas savoir où va le mener le lien. Ici, il l'amenait à une page imitant Facebook, où des informations sur l'utilisateur étaient requises, permettant aux malfaiteurs d'obtenir un accès aux comptes des utilisateurs pour ensuite effectuer une diffusion de spam dans leurs listes d'amis. Il est évident que les malfaiteurs utilisent des moyens de plus en plus recherchés pour attaquer les réseaux sociaux.

Le 30 mars 2011, LiveJournal a subi une attaque DDoS. Selon les estimations de l'administration du réseau, c'était une des attaques de la plus grande ampleur depuis la création de LiveJournal. L'attaque a duré plusieurs heures, rendant le service indisponible.

La vague de spam liée à la catastrophe au Japon

Il fallait s'y attendre, un grand nombre de malfaiteurs est prêt à profiter du malheur des autres et la catastrophe au Japon a provoqué une vague de spam thématique. Certains messages disaient vouloir effectuer une collecte, les malfaiteurs prétendant représenter des organisations humanitaires connues comme le Comité International de la Croix Rouge, l'Armée du Salut etc. Le message contenait un lien vers une fausse ressource prête à recevoir le don.

Dans d'autres cas, les utilisateurs ont été dirigés vers des ressources non-sollicitées, par exemple vers des vidéos sur la catastrophe. En suivant le lien vers la vidéo, l'utilisateur est envoyé sur un site malveillant installant le Trojan.FakeAlert sur son PC. Un grand nombre de ces messages a été enregistré partout dans le monde. Saisissant l'opportunité, les malfaiteurs ont pu installer un grand nombre de logiciels trojans : faux antivirus et utilitaires système, toutes sortes de logiciels « bloqueurs » etc.

Derniers contenus

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Class action de 15 milliards contre Facebook

20-05-2012 à 20:23 - 0 commentaire(s)

Facebook rentre en bourse, des internautes lancent une Class Action de 15 milliards de dollars contre Facebook.

Fuite pour l'Université du Massachussets

20-05-2012 à 20:13 - 0 commentaire(s)

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Vos réactions ( 1 )

Ecrit par CybStup le 14.04.2011 à 15h11

Modérateur ZATAZ

Inscrit le 12-01-2008

Rustock était théoriquement en mesure d'envoyer + ~24000 e-mails par heure

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Rechercher dans les Alertes

Mots clés
	sur ZATAZ sur le web

Application iPhone et iPad ZATAZ, gratuite et sans publicité.

Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Safari 5.1 pour Mac [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et de récupérer des [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et lire des [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazquez Joshua Abraham sinn3r Référence(s) [...]

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT Graphisme par Exclusive Network
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
www.outilsgratuits.com www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2012