Publié le 13-01-2008 à 03:10:00 dans le thème Virus - Antivirus

Pays : International - Auteur : Eric Romang

Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux

Quelques jours après avoir rapporté l'attaque uc8010.com, une nouvelle attaque de masse, beaucoup plus discrète, mais toujours aussi efficace, menace des centaines de milliers d'internautes.

Mary Landesman, un chercheur en sécurité informatique pour la société ScanSafe, a fait la découverte, par le biais de son activité professionnelle que des centaines de sites web généraient un énorme traffic Internet.

Les sites web, qui génèrent ce traffic énorme, sont des sites de commerce électronique connus et qui sont visités tous les jours par des milliers d'internautes.

Intrigué par cette activité anormale, Mary Landesman s'est lancé dans l'analyse de la source du problème. Les sites de commerce électronique ont tous été piratés et diffusent des malwares aux internautes visitant ces sites.

Aussi intrigué par cette nouvelle attaque ZATAZ, a voulu en savoir plus sur le pourquoi du comment de celle-ci.

Nous avons écrit un article complet reprennant les bouts de code et la description des exploits utilisés sur le forum ZATAZ. 

La grande différence entre l'attaque uc8010.com et l'attaque découverte, est que les fichiers "malware" diffusés aux internautes sont diffusés directement depuis le site web compromis. L'attaque uc8010.com utilisait, en effet, qu'une technique du type injection SQL pour ajouter un bout de code javascript dans les pages affichées. Ce bout de code javascript faisait ensuite appel à un autre site web, compromis et sous la main des pirates, pour diffuser le malware. Tandis que cette nouvelle attaque diffuse directement les malwares depuis le site web compromis sans faire appel, dans un premier temps, à des sites externes.

La particularité de ce bout de code est d'être présent directement après la balise <body> HTML. De plus le nom du fichier "hbmwj.js" est complètement dynamique, un internaute se connectant sur un des sites web infectés pourra voir comme nom de fichier "hbmwj.js", tandis qu'un autre internaute se connectant sur le même site web infecté pourra apercevoir un autre nom de fichier, du type "niill.js". Sur tous les sites web infectés que nous avons pu analyser à chaque fois un nouveau nom de script était présenté.

Avec l'attaque uc8010.com, il avait été aisé de découvrir le nombre de sites web affectés, car le javascript appelé avait toujours le même nom. Une simple recherche sur Google permettait de savoir quels étaient les sites web diffusant le malware. Cette méthode de génération dynamique du nom de fichier javascript diffusant ce malware rend d'autant plus l'attaque discrète que l'évaluation du nombre d'internautes affectés difficile.

De plus, ce code javascript se retrouve aussi dans les pages d'erreur 404 de certains sites web affectés, la plupart du temps ceux tournant sous apache.

Le faît de retrouver ce bout de code javascript dans les pages d'erreur 404, démontre que le pirate a modifié les pages de réponses par défault d'apache, donc la configuration d'origine de ce logiciel en lui-même, afin de pouvoir toucher le plus grand nombre d'internaute possible. Il ne s'agit déjà plus que de l'exploitation d'une vulnérabilité du type injection SQL comme pour l'attaque uc8010.com.

Autre faît, tout aussi étonnant, pour ce bout de code javascript, si vous rechargez une des pages affectées plusieurs fois, ce bout de code va disparaître au bout d'un moment, comme si le processus présent derrière le code javascript gardait en mémoire votre session de navigation, et ne vous présenterait le malware qu'un certain nombre de fois par visite. De nouveau cette méthode de dissimulation permet aux pirates de ne pas se faire repérer sur le long terme.

On peut voir que par rapport à ses origines, le malware "Exploit.HTML.IESlice.h" a été modifié. De nouveaux exploits on été introduits afin d'être le plus en phase possible avec les dernières actualités de la sécurité informatique, par contre d'autres vulnérabilité beaucoup plus vieilles sont toujours conservées, surtout celles concernant Windows, c'est sûrement qu'elles rapportent leurs fruits et qu'un grand nombre d'internaute n'ont pas leur Windows à jour.

Cette nouvelle variante de StormWorm n'est en elle-même pas spectaculaire, c'est plutôt la méthode de propagation dissimulée et discrète qui est nouvelle. 

Piratage téléphonique: 8.000 euros d'appel en 48 heures

Un pirate informatique s'est invité dans le système téléphonique du Homeland Security Department de G. W. Bush.

Rotary Club Hontfleur hacked

Étonnant piratage pour le site du Rotary Club de la ville de Hontfleur. Un manifestant Kosovar est passé par là.

Un fan de sport manifeste sur le site internet du comité olympique brésilien

Le Brésil pue pendant ces jeux olympiques. Un pirate informatique passe ses e-nerfs sur le site internet du comité olympique brésilien.

25.000 internautes poursuivis pour copiage

25.000 internautes vont gouter aux joies de la justice. Ils sont accusés d'avoir copier sur le peer-to-peer.

Lancement de la gamme BitDefender 2009

BitDefender, annonce aujourd’hui la disponibilité des versions 2009 de ses solutions de protection pour les particuliers et les petites entreprises.

Lancement du Samsung Player Addict sur Windows Mobile 6.1

Jeudi prochain, MICROSOFT WINDOWS MOBILE, SAMSUNG et SFR vont lancer le Samsung Player Addict sur Windows Mobile 6.1. Un sérieux concurrent à l'iPhone.

Les comptes Gmail en danger ?

Des hackers auraient trouvé le moyen de pirater n'importe quel compte enregistré chez Gmail, filiale de Google.

La faille DNS touche un FAI Chinois

L'un des plus importants Fournisseurs d'Accès à Internet Chinois, China Netcom, touché par la faille DNS Poisonning.

Lancement de la gamme BitDefender 2009

BitDefender, annonce aujourd’hui la disponibilité des versions 2009 de ses solutions de protection pour les particuliers et les petites entreprises.

Faux courriels Fedex

Des pirates diffusent un virus informatique en usurpant l'identité de la société de transport Fedex.

Le Top 10 des menaces de juillet 2008

Les analystes BitDefender ont publié aujourd’hui le Top 10 des e-menaces les plus répandues sur le mois de juillet.

Après CNN, MSNBC nouvelle cible Stormique !

La semaine dernière, des pirates informatiques s'étaient amusés à diffuser un virus via les couleurs de CNN. Depuis peu, voici venir MSNBC.

Etrange alerte de sécurité sur le site Asterisk

Plusieurs iframes font sonner les antivirus lors de la visite du site Internet Asterisk. iFrames dangereuses ?

Rapport sur l’état des e-menaces

Le rapport établit les grandes orientations du paysage des e-menaces en circulation au 1er semestre 2008 et donne quelques orientations pratiques pour rester en sécurité.

Nouvelle vague de diffusion d'un faux IE 7

Depuis ce matin, une nouvelle vague de courrier électronique vous incite à télécharger une nouvelle version d'Internet Explorer 7.

Faux mel CNN: attention aux sites piégés

Prudence, le faux courriel électronique vidéo de CNN continue de faire des dégâts. Plusieurs sites français sont encore dans la course aux infections.

Réagissez à ce contenu