Annexe (suite) - Sécurité - Page 3
Quelques exemples de virus ou d'avatars dans des messages électroniques ou dans des pages de la Toile
et quelques alertes de sécurité : Décembre 2007 - Janvier 2008
La suite : janvier 2008 -> today
Janvier 2008 : Un cheval de Troie pourrait vider votre compte de banque : Symantec annonce qu'un code nommé Silentbanker est apparu sur la toile. Ce trojan peut récupérer des données bancaires, en temps normal protégées par un double processus d'authentification. "Ce cheval de Troie télécharge un fichier de configuration qui contient les noms de domaine de plus de 400 banques. Tous les pays sont représentés dans cette liste" précise Symantec. Si le risque d'infection est faible, les utilisateurs touchés auront malgré tout du mal à déceler la présence de Silentbanker, un trojan capable de se mettre à jour tout seul et particulièrement coriace.
Janvier 2008 : De fausses clés USB 'effacent' les données : ce genre de produit se retrouve dans de grands supermarchés comme Aldi Allemagne; même les grands distributeurs, tels Mediamarkt, ne sont pas épargnés.
Janvier 2008 : spam, phishing, virus sur un site en France
Message reçu :
Click here to activate your account -> http://www.model4ever.com/modules/coppermine/themes/default/images/paypal.com-jsb_uslogin.index.html
Page piégèe avec un trojan : Win32/Chir.B
Expéditeur du spam : un Français (pire : un Parisien)
Received: from smtp2e.orange.fr ([80.12.242.111]) by
bay0-mc1-f11.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2444); Wed,
23 Jan 2008 15:23:31 -0800
Received: from smtp2e.orange.fr (mwinf2e16 [10.232.14.116]) by
mwinf2e05.orange.fr (SMTP Server) with ESMTP id BC9F71C1C709 for
<...@hotmail.com>; Thu, 24 Jan 2008 00:22:45 +0100 (CET)
Received: from me-wanadoo.net (localhost [127.0.0.1]) by mwinf2e16.orange.fr
(SMTP Server) with ESMTP id 5F5FE7000886 for <...@hotmail.com>; Thu, 24 Jan 2008
00:22:13 +0100 (CET)
Received: from User (LAubervilliers-151-13-113-115.w217-128.abo.wanadoo.fr
[217.128.184.115]) by mwinf2e16.orange.fr (SMTP Server) with SMTP id
9BDA470005AE; Thu, 24 Jan 2008 00:22:06 +0100 (CET)
X-ME-UUID: 20080123232206638.9BDA470005AE@mwinf2e16.orange.fr
From: "service@paypal.com" <paypal@service.com>
La page piégèe : www.model4ever.com (213.186.33.87) : en Françe - Shared Hosting Servers - www.ovh.com - Roubaix
|
213.186.33.87 |
FRANCE |
|
PAYS DE LA LOIRE |
NANTES |
OVH SAS |
Nous avons prévenu model4ever.com de cette infection sur leur site. IP Address: 213.186.33.87 - Location: Lille - Network: OVH
Soyez prudents avec les messages "MeetYourMessenger"
1/ Vous recevez un message du genre :
2/ Vous arrivez sur le site : MeetYourMessenger
3/ Ne fournissez jamais votre messenger-login = adresse @ hotmail ou live ou ... avec votre mot de passe ailleurs que dans le logiciel MSN Live Messenger ou sur les pages hotmail.com ou msn.pays que vous ouvrez volontairement pour vous connecter à ce service.
La question à été posée à Microsoft qui répond : "Ce site qui nous a deja ete signale par de nombreux utilisateurs n’a pas ete cree par Microsoft. Nous vous deconseillons fortement de repondre aux questions posees ou de donner des informations personnelles telles que votre mot de passe compte tenu du fort risque de piratage encouru."
Soyez prudents avec les messages du type "Album de photos (.exe)"
Le lien est : http://www. m1m1zao.com/mensagem/Albumdefotos.exe
Ne jamais exécuter ni sauvegarder sur votre disque dur.
Il s'agit très probablement d'un trojan (SystemPoser : de mars 2007) ou d'une variante du NewHeur_PE virus.
Received: from krstudy.com
([221.143.48.237]) by bay0-mc3-f17.bay0.hotmail.com
with Microsoft SMTPSVC(6.0.3790.2668); Thu, 10 Jan 2008 18:26:10 -0800
Received: from krstudy.com (localhost.localdomain [127.0.0.1]) by krstudy.com
(8.13.1/8.13.1) with ESMTP id m0B2mw2g003824; Fri, 11 Jan
2008 11:48:58 +0900 - Received: (from daemon@localhost) by krstudy.com
(8.13.1/8.13.1/Submit) id m0B2mwLQ003823; Fri, 11 Jan 2008 11:48:58 +0900
Message-Id: <200801110248.m0B2mwLQ003823@krstudy.com>
To: vinosoft@...
Subject: Te amo mesmo!
From: love@adimirador.com (adresse inventée)
Return-Path: daemon@krstudy.com
|
Expéditeur du spam : 221.143.48.237 |
KOREA, REPUBLIC OF |
|
KYONGGI-DO |
SEOUL |
HANARO TELECOM INC |
krstudy.com (221.143.48.237) redirige sur www.teachera.com : Hanaro Telecom Co. - Kukje Electornics Cneter Bldg - Seoul
|
Hébergement du fichier exécutable : 200.226.246.67 |
BRAZIL |
|
COMITE GESTOR DA INTERNET NO BRASIL |
www.m1m1zao.com (200.226.246.67)
Virus en provenance (très probable*) d'un "photo.zip" de MSN, janvier 2008
* D'après l'Utilisatrice PC044SAR
Alertes :
1.-
2.-
3.- Historique de l'antivirus :
18/01/2008 10:04:41,Lewlk10.exe,Backdoor.Trojan,C:\,Infected
18/01/2008 10:04:41,Success[1].exe,Backdoor.Trojan,...\Fichiers Internet
temporaires\...\,Infected
4.- MailSkinner - MessengerSkinner découvert par Spybot : ne pas être éliminé (même avec une analyse au reboot).
Intervention : boot sur Live.CD et élimine une série de fichiers suspects - transfert sur clé USB (O:\TOBE.DEL) pour analyse ->
Win32/IRCBot.ACK trojan = alias de Troj/IRCBot-WT (Date de Publication : 29 juin 2007)
Voilà probablement la source du problème : image.zip qui contient un fichier exécutable (IMG34814.PIF) au lieu d'une image
Fichiers sans alerte mais supprimés quand-même :
On y retrouve (entre autres) : vuqqep.exe et vuqqep.dat (de la première alerte)
Suppression du "System Restore" & scan with : Antivirus, Ad-Aware, Spybot, Navilog : pas/plus d'alerte.
Analyse hijackthis : nettoyé.
Premier virus de 2008 dans un message de nos mailboxes : un vieux de la vieille : Nod32 Win32/ Mydoom R
Correspondance NAV : W32.Mydoom.R@mm (de mars 2005)
Received: from ameritech.net (unverified
[86.149.75.118]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with ESMTP id
<B0082810043@mail.register.be> for <vinosoft @ ....>; Tue,
8 Jan 2008 14:36:11 +0100
From: thecomfortcompany@ameritech.net
Subject: [virus Win32/Mydoom.R worm] Returned mail: see transcript for details
Date: Tue, 8 Jan 2008 13:36:13 +0000 - X-NOD32Result: Infected, Win32/Mydoom.R
worm : vinosoft@ .... .zip
|
Expéditeur du virus : 86.149.75.118 |
UNITED KINGDOM |
|
ENGLAND |
LONDON |
BT-CENTRAL-PLUS |
Soyez prudents avec les messages du type "Happy New Year ... : postcard, carte de voeux"
Secuser.com, alerte du 26/12/2007 13:44 +0100 : nouvelle variante du Storm Worm (= the Peacomm gang)
(** note : nous avons reçu le virus avant l'alerte **)
Tibs.GU est un virus qui se propage par courrier électronique. Il se présente sous la forme d'un message sans fichier joint faisant la promotion d'un site intitulé "Happy New Year!", qui invite à télécharger une carte de voeux virtuelle pour le passage à la nouvelle année.
C'est le virus décrit ci-dessous, que nous avons reçu (**en primeur**) le 26/12/2007 à 00:24:09 +0100 mais qui ne semble pas avoir de nom spécifique (autre que "variant of Win32/Fuclip trojan") sous Eset Nod32 à ce jour (ce qui n'est en aucun cas dérangeant puisque la destruction de la nuisance est assurée par cet excellent antivirus); ... cette variante est identifiée sous les noms TR/Rootkit.Gen (Antivir), Win32:Zhelatin-ASX (Avast), Generic.Malware.FMH (BitDefender), Trojan.Zhelatin (ClamAV), Trojan.Spambot (Dr.Web), Backdoor.Win32.Agent.dln (F-Secure / Kaspersky), Backdoor:WinNT/Nuwar.B!sys (Microsoft), W32/Rootkit.BUZ (Norman), Trojan.Peacomm (Symantec).
New Year Postcard (en provenance d'un spam : happy-2008.exe)
Le site Indou uhavepostcard.com est piègé.
Source de la page :
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Happy New Year!</title>
</head> <body> <center>
Your download should begin shortly. If your download does not start in
approximately 15 seconds,<br>
you can <a href="happy-2008.exe">click here</a> to launch the download and then
press Run. Enjoy!
</center> </body> </html>
En arrivant sur le site "hébergé au pays des tamouls" renseigné par le spam, un fichier se télécharge dans notre PC :
Cet exécutable contient une probable variante du cheval de Troie Win32/Fuclip trojan, de la famille du Storm Worm
Le spam :
Received: (qmail 30219 invoked from network);
26 Dec 2007 00:24:10 +0100
Received: from unknown (HELO nbedxy) (85.103.73.13) by gollum.mailclub.fr with
SMTP; 26 Dec 2007 00:24:09 +0100
Received: from yih ([115.52.177.167])
by nbedxy (8.13.5/8.13.5) with SMTP id lBPNPhTv065967; Wed, 26 Dec 2007 01:25:43
+0200
Message-ID: <002801c8474d$2d256b20$a7b13473@yih>
From: <deano.montreuil@capecodonline.com>
To: <vinosoft@[removed]>
Subject: New Year Postcard
Message for new year -
http://uhavepostcard.com/
|
Le site piègé : uhavepostcard.com = 122.164.169.221 |
INDIA |
|
CHENNAI |
ABTS-TN-DSL-9111-CHN |
"Spam Received From" : 115.52.177.167 = Asia Pacific Network Information Centre - Milton, QLD - AU, pays inconnu.
Selon www.spam-protect.org : "Report SPAM To: technical@apnic.net (115.52.177.167)"
Même virus que ci-dessus, le 27 décembre 2007 : spam + "It's the new Year"
Et re-page piègée sur happycards2008.com : même fichier happy-2008.exe mais hébergé aux USA
Probable variante du cheval de Troie Win32/Fuclip trojan, de la famille du Storm Worm : le Tibs.GU
Le spam :
Received: from
pool-71-254-113-15.hrbgpa.east.verizon.net (71.254.113.15) by
gollum.mailclub.fr with SMTP; 27 Dec 2007 07:11:10 +0100
Received: from gpje ([213.191.179.151]) by
pool-71-254-113-15.hrbgpa.east.verizon.net (8.13.3/8.13.3) with SMTP id
lBR6CVkp067136; Thu, 27 Dec 2007 01:12:31 -0500
|
Received: from 213.191.179.151 |
UNITED KINGDOM |
|
EU-WARSUN |
Le site piègé : happycards2008.com (76.236.157.131)
|
76.236.157.131 |
USA |
|
MISSOURI |
ST. LOUIS |
PPPOX POOL - BRAS7.STLSMO |
Même virus que ci-dessus, le 27 décembre 2007
Le spam (bloqué par le filtre DCC de Spamihilator)
Received: (qmail 7080 invoked from network);
27 Dec 2007 00:58:31 +0100
Received: from 59.160.149.210.static.vsnl.net.in (59.160.149.210) by
gollum.mailclub.fr with SMTP; 27 Dec 2007 00:58:31 +0100
Received: from rthq ([65.91.75.82]) by 59.160.149.210.static.vsnl.net.in
(8.13.2/8.13.2) with SMTP id lBR0Ben5039415; Thu, 27 Dec 2007 05:41:40 +0530
Subject: Happy 2008! - Happy New Year! - http://happycards2008.com
|
Received: from 65.91.75.82 |
USA |
|
NEW YORK |
FREEDOM |
BANDWIDTH.COM |
Documentation : « Distributed Checksum Clearinghouse » - il existe des serveurs "DCC Filter" auxquels les utilisateurs peuvent se connecter grâce à des logiciels comme Spamihilator; ils ont pour but de référencer les mails qui ont été classés comme des SPAM par de nombreux utilisateurs.
Même type de spam que ci-dessus, le 29 décembre 2007 & page piègée (happynewyear2008.exe) avec le même virus
Nod32 signale :
Win32/Nuwar.BC worm (alias de Tibs.GU)
Cette variante est identifiée sous les noms TR/Crypt.XDR.Gen (Antivir), Win32:Zhelatin-ASX (Avast), Dropper.Generic.TML (AVG), Win32.Nuwar.H (BitDefender), Trojan.Peed-69 (ClamAV), Trojan.Spambot.2386 (DrWeb), Email-Worm.Win32.Zhelatin.pt (F-Secure / Kaspersky), W32/Nuwar@MM (McAfee), Backdoor:Win32/Nuwar.gen!A (Microsoft), Win32/Nuwar.BC (NOD32), Mal/Dorf-H (Sophos), Trojan.Peacomm (Symantec).
et une NAV alerte :
1/ Event: Threat Found! - Threat:
Trojan.Peacomm
(alias de
Tibs.GU)
File: ...\Local Settings\Application
Data\Mozilla\Firefox\Profiles\jjuq04tt.default\Cache\1D31C810d01
Action taken: Delete succeeded : Access denied - Date found: samedi 29
décembre 2007 17:23:14
2/ Event: Threat Found! - Threat:
Trojan.Peacomm
File: ...\Tmp\l3ywf9s2.exe
Action taken: Delete succeeded : Access denied - Date found: samedi 29
décembre 2007 17:23:26
Site piègé : newyearwithlove.com (82.47.204.154) hébergé en Angleterre :
|
82.47.204.154 |
UNITED KINGDOM |
|
ENGLAND |
WAKEFIELD |
BROADBAND BRAD UBR01WAKE |
Spammeur : ricain
Received: from unknown (HELO cqmab)
(78.176.80.197) by gollum.mailclub.fr with SMTP; 29 Dec 2007 16:55:48 +0100
Received: from wyqno ([153.106.125.225]) by
cqmab (8.13.1/8.13.1) with SMTP id lBTFxddc004703; Sat, 29 Dec 2007 17:59:39
+0200
|
153.106.125.225 |
USA |
|
MICHIGAN |
GRAND RAPIDS |
CALVIN COLLEGE & SEMINARY |
Même type de spam que ci-dessus, le 30 décembre 2007 & page piègée hébergée en Corée
Le spam (bloqué par le filtre "Server Tester" de Spamihilator) :
The Server Tester Plug-in filters mail with spoofed-sender information.
Virus : http://familypostcards2008.com/happynewyear2008.exe
|
Site piègé, familypostcards2008.com :125.129.16.95 |
KOREA, REPUBLIC OF |
|
KOREA TELECOM |
Received: from 64-172-142-154.sjgov.org (64.172.142.154) by
gollum.mailclub.fr with SMTP; 30 Dec 2007 02:40:32 +0100
Received: from ppda ([126.187.25.91]) by 64-172-142-154.sjgov.org with
Microsoft SMTPSVC(5.0.2195.6713); Sat, 29 Dec 2007 17:40:01 -0800
|
Spammeur : 126.187.25.91 |
JAPAN |
|
JAPAN NATION-WIDE NETWORK OF SOFTBANK BB CORP |
Nous avons testé (plus haut dans cette page) l'efficacité de deux antivirus (parmi nos préférés) : NAV & NOD32, avec succès.
Test (sur un autre PC) de cette même nuisance suspectée sous Kaspersky (mise à jour du matin) :
Aucune alerte lorsque nous téléchargons et sauvons happynewyear2008.exe sur le disque dur !
Aucune alerte lorsque nous déplacons le fichier d'un disque vers une clé USB !
Scan manuel de la clé USB où nous avons stocké le fichier happynewyear2008.exe : aucune alerte sur le disque autre que :
- trois alertes dans des messages spam suspects que nous avons sauvés (en .eml) pour analyse ultérieure et
- une alerte mineure sur un fichier de Liberty Key (applications portables "c'est gratuit, sans Virus, Spyware, Adware, Popup etc.... ") et
- une alerte mineure sur un logiciel gratuit de désinfection : Navilog de "il.mafioso" qui signale bien :
"Certains fichiers de Navilog1.exe peuvent être considérés comme dangereux et donc supprimés ou neutralisés par certains programmes de sécurités.
Ce sont des faux positifs et dans certains cas, vous serez amener à désactiver votre protection le temps du téléchargement/utilisation de Navilog1." :
50 minutes pour 3 Gb (79.792 fichiers) !
Test de cette même nuisance suspectée par Free Antivirus ClamWin : scan manuel (après update "daily.cvd" du 30/1/2007 et skip d'une série de "non-executable files" puisque notre soupçon est sur un file.exe) de cette même clé USB où nous avons stocké le fichier happynewyear2008.exe : aucune alerte autre que :
- une page internet suspecte sauvegardée en 2004 pour analyse ultérieure : phising site (site seb d'hameçonnage comme dit Microsoft)
O:\Current\virus2004I.htm: HTML.Phishing.Bank-68 FOUND
- quatre alertes dans des messages spam suspects que nous avons sauvés (en .eml - décembre 2007) pour analyse ultérieure
O:\ToDeDel\Spam Wana...\Important Security
Information.eml: Email.Phishing.RB-2131 FOUND
O:\ToDeDel\Spam Wana...\Important Message From Lloyd TSB Bank (4).eml:
Email.Phishing.RB-2082 FOUND
O:\ToDeDel\Spam Wana...\Important Message From Lloyd TSB Bank (5).eml:
Email.Phishing.RB-2082 FOUND
O:\ToDeDel\Spam Wana...\Important Message From Lloyd TSB Bank.eml:
Email.Phishing.RB-2082 FOUND
- deux alertes sur des fichiers de Liberty Key (applications portables "c'est gratuit, sans Virus, Spyware, Adware, Popup etc.... ")
O:\TRF
USB06MORE\LiberKey\Apps\Paint.net\PortablePaint.NET.exe: Trojan.Dropper-3446
FOUND
O:\TRF USB06MORE\LiberKey\Apps\DPSimpleBurner\DP_DVD_Burner.exe:
Trojan.Spy.Banker-6215 FOUND
91 minutes pour 3 Gb (23.650 fichiers) !
Test de vérification qu'il s'agit bien d'un malware par Nod32 :
Pas de lézard.
Conclusion : la protection par Symantec Norton Antivirus (NAV) ou Eset Nod32 est supérieure à celle apportée par Kaspersky ou Clamwin.
Ce n'est pas un scoop !
Remarque : après la mise à jour du 01/01/2008, le virus est détecté par Kaspersky et Clamwin (cfr. plus bas dans cette page).
Bien mais un peu tard car ces variantes de Storm Worm font des ravages depuis le 24/12/2007.
Kaspersky Antivirus & Clamwin Antivirus trouvent quand même trois alertes (dont deux trojans quand-même) sur la Liberty Key qui mentionne sur son site : "Les meilleurs logiciels libres ou gratuits ont été sélectionnés pour répondre pratiquement à tous les besoins imaginables (OpenOffice, Firefox, Filezilla, Gimp, VLC etc...). Ils ont été regroupés par catégorie afin de faciliter la recherche et l'exécution du logiciel souhaité. Sans Virus, Spyware, Adware, Popup etc.... ".
Par sécurité, avant d'exploiter ou de transmettre cette récente et très belle compilation de 203 logiciels gratuits (majoritairement en français), en version portable (aucune installation préalable n'est nécessaire pour leur exploitation), nous allons la tester : - sous Nod32 : aucune alerte (26.019 fichiers en 11 minutes) et sous NAV : aucune alerte.
SOYEZ PRUDENTS : ces spam's référencant des pages piègées foisonnent en cette fin décembre 2007 :
http:// familypostcards2008.com - http:// freshcards2008.com - http:// happysantacards.com
-
familypostcards2008.com/happynewyear2008.exe - freshcards2008.com/happynewyear2008.exe
Win32/Nuwar.BC worm = Trojan.Peacomm (alias de Tibs.GU) = nuisance de la famille Storm Worm
Site piégè : familypostcards2008.com (67.162.113.170)
|
67.162.113.170 |
USA |
|
ILLINOIS |
CHICAGO |
COMCAST CABLE COMMUNICATIONS INC |
Site piégè : freshcards2008.com (71.143.7.155)
|
71.143.7.155 |
USA |
|
CALIFORNIA |
SACRAMENTO |
RBACK12D.SCRMCA |
The Peacomm gang : fichier vérolé en dysfonctionnement
http://happysantacards.com/happy_2008.exe
Download via Firefox -> le fichier est nettement noins volumineux que son homologue "happynewyear2008.exe" qui pèse 143.872 caractères
Aucune alerte de Nod32 ni de NAV : le fichier est probablement tronqué ?
Download via Opera -> le fichier a une taille différente de celle de celui téléchargé via Firefox ?
Aucune alerte de Nod32 ni de NAV : le fichier se fait probablement tronquer au téléchargement ?
On verra le 01/01/2008 (ci-dessous) que le fichier pèse bien 143.872 caractères.
Received lundi 31 décembre 2007 11:05 : from oipfs ([217.137.73.35])
marketingconcept @ calsurance.com [California Insurance, adresse très probablement usurpée]
|
Spammeur : 217.137.73.35 |
UNITED KINGDOM |
|
VIATEL-WHOLESALE-DIALUP-SERVICE-NET |
Site piégè : happysantacards.com (213.143.75.196)
|
213.143.75.196 |
SLOVENIA |
|
LJUBLJANA |
TELEMACH COMMUNICATION SERVICES D.O.O |
SOYEZ PRUDENTS : ces spam's référencant des pages piègées foisonnent en cette fin décembre 2007 :
http:// happy2008toyou.com - http:// hellosanta2008.com - http:// happysantacards.com
The Peacomm gang : fichier vérolé remis en fonctionnement.
Les trois sites piègés :
http:// happy2008toyou.com/happy_2008.exe
|
24.72.14.37 |
CANADA |
|
SASKATCHEWAN |
REGINA |
ACCESS COMMUNICATIONS CO-OPERATIVE LIMITED |
http:// hellosanta2008.com/happy_2008.exe
|
92.80.174.187 |
ROMANIA |
|
BUCURESTI |
ROMTELECOM DATA NETWORK |
http:// happysantacards.com/happy_2008.exe
|
217.132.238.184 |
ISRAEL |
|
HíEFA (HAIFA) |
BB-HFA |
Les trois spammeurs :
Received: from evwo ([83.215.190.127])
|
83.215.190.127 |
AUSTRIA |
|
SALZBURG |
ZELL AM SEE |
SALZBURG AG PROVIDES INTERNET-SERVICES |
Received: from fii ([45.104.84.177])
|
45.104.84.177 |
USA |
|
CALIFORNIA |
SAN FRANCISCO |
INTEROP SHOW NETWORK |
Received: from xdnst ([156.25.65.91])
|
156.25.65.91 |
SWITZERLAND |
|
FRIBOURG |
FRIBOURG |
ADMINISTRATION CANTONALE DE FRIBOURG |
Le même layout pour tous ces sites :
La même alerte de l'antivirus :
Cette fois, le fichier infecté n'est pas tronqué au téléchargement :
Win32/Nuwar worm = nuisance de la famille Storm Worm
Liste de ces sites piégès selon Symantec (variants of Symantec’s Trojan.Peacom.D detection) : familypostcards2008.com - freshcards2008.com - happy2008toyou.com - happycards2008.com - happysantacards.com - hellosanta2008.com - hohoho2008.com - newyearcards2008.com - newyearwithlove.com - parentscards.com - postcards-2008.com - Santapcards.com - Santawishes2008.com; on y peut ajouter : uhavepostcard.com.
Mise à jour Kaspersky Antivirus au 01/01/2008 :
Déplacement de happy_2008.exe sur une clé usb (J:) : pas d'alerte pendant le déplacement du fichier infecté.
Scan manuel -> virus détecté :
Email-Worm.Win32.Zhzlatin.pz
Mise à jour ClamWin Antivirus au 01/01/2008 :
Scan manuel -> -> virus détecté : Trojan.Peed-79
The Peacomm gang : suite, le 01/01/2008
site
piègé déjà mentionné plus haut dans cette page
http:// hohoho2008.com/happy_2008.exe
Win32/Nuwar worm = nuisance de la famille Storm Worm
Enregistrement du domaine - 29/12/2007 : http://www.whois.net/whois_new.cgi?d=hohoho2008&tld=com
Name: cm125-59-73-58.hkcable.com.hk - IP Address: 125.59.73.58 - Location: Hong Kong, le 01/01/2008
Note : ces domaines semblent dynamiques (changement de "IP location" d'une heure à l'autre, d'un jour à l'autre ?)
Le 03/01/2008 : hohoho2008.com = 212.21.145.212
|
212.21.145.212 |
BULGARIA |
|
SOFIYA |
SOFIA |
KOEL-NET IP SPACE |
hohoho2008.com (212.21.145.212) - Koel-Net IP space -
BG-1000 Sofia - Bulgaria
SPAM Received:
from unknown (HELO udkgr)
(61.84.126.177) by gollum.mailclub.fr with SMTP; 1 Jan 2008 16:19:22 +0100
Received: (qmail 23262 invoked from network); Wed, 2 Jan 2008 00:19:19 +0900
Received: from unknown (HELO voo) (149.55.176.72) by udkgr with SMTP; Wed, 2
Jan 2008 00:19:19 +0900
|
Spammeur : 149.55.176.72 |
USA |
|
KENTUCKY |
LEXINGTON |
ASHLAND INC |
The Peacomm gang : suite, le 02/01/2008
site piègé déjà mentionné plus haut dans cette page
http:// parentscards.com/happy_2008.exe
Win32/Nuwar worm = nuisance de la famille Storm Worm
|
Hébergement du virus : 61.230.178.24 |
TAIWAN |
|
T'AI-PEI |
TAIPEI |
CHUNGHWA TELECOM DATA COMMUNICATION BUSINESS GROUP |
Enregistrement du domaine - 29/12/2007 - 61-230-178-24.dynamic.hinet.net
http://www.whois.net/whois_new.cgi?d=parentscards&tld=com
http://whois.domaintools.com/parentscards.com
Note : ces domaines semblent dynamiques (changement de IP location d'une heure à l'autre, d'un jour à l'autre ?)
Received: from
250.191.39.59.broad.dg.gd.dynamic.163data.com.cn (59.39.191.250) by
gollum.mailclub.fr with SMTP; 2 Jan 2008 01:18:37 +0100
Received: (qmail 6513 invoked from network); Wed, 2 Jan 2008 08:18:14 +0800
Received: from unknown (HELO qgi) (207.130.208.159) by
250.191.39.59.broad.dg.gd.dynamic.163data.com.cn with SMTP; Wed, 2 Jan 2008
08:18:14 +0800
|
Spammeur : 207.130.208.159 |
USA |
|
CALIFORNIA |
TORRANCE |
AMERICAN HONDA MOTOR COMPANY INC |
The Peacomm gang : suite, le 04/01/2008
Spam rejeté par le filtre "Server Tester" de Spamihilator :
Received: from adsl-074-247-009-251.sip.ags.bellsouth.net (74.247.9.251) by
gollum.mailclub.fr with SMTP; 4 Jan 2008 09:36:01 +0100
Received: from [178.147.37.146] (helo=tfeo) by
adsl-074-247-009-251.sip.ags.bellsouth.net with smtp (Exim 4.62
(FreeBSD)) id 1JB`dQ-0001Jd-9p; Fri, 4 Jan 2008 03:43:36 -0500
Message-ID: <477DF08D.8000300@bordersgroupinc.com>
From: <denisecbi@bordersgroupinc.com>
Subject: It's the New Year 2008
Happy New Year To vinosoft... -> http://
hellosanta2008.com/happy_2008.exe
Win32/Nuwar worm = nuisance de la famille Storm Worm
|
74.247.009.251 |
USA |
|
SOUTH CAROLINA |
AIKEN |
BELLSOUTH.NET INC |
hellosanta2008.com (70.135.211.161) : adsl-70-135-211-161.dsl.mrdnct.sbcglobal.net
Trojan.Peacom.D
|
70.135.211.161 |
USA |
|
CONNECTICUT |
HARTFORD |
AT&T INTERNET SERVICES |
Spam -> Phising site, décembre 2007 : repéré par le filtre de MSIE7
Plutôt grossier : PayPal en http://gooddoctors.nl ! - Pourquoi pas (aussi crédible) Microsoft en http://saloperiedevista.cn ?
Received: from
moutng.kundenserver.de ([212.227.126.174]) by bay0-mc12-f5.bay0.hotmail.com
with Microsoft SMTPSVC(6.0.3790.2668); Fri, 28 Dec 2007 12:18:54 -0800
Received: from User
(s15235757.domainepardefaut.fr
[87.106.96.204]) by mrelayeu.kundenserver.de (node=mrelayeu4) with ESMTP
(Nemesis) id 0ML21M-1J8LfQ2YfH-0003CD; Fri, 28 Dec 2007 21:18:53 +0100
From: <paypal@service.com>
Subject: PayPal - Confirm Your Billing Information.
|
Expéditeur du spam : 87.106.96.204 |
FRANCE |
|
SCHLUND + PARTNER AG |
Le site web d'hameçonnage : gooddoctors.nl (213.201.218.41)
|
213.201.218.41 |
NETHERLANDS |
|
UTRECHT |
SUBHOSTING INTERNET SERVICES IP RANGE DATACENTRE SCHIPHOL-RIJK |
Noël 2007 : Storm Worm du 24/12/2007 : Mrs. Clause Gone Wild
Zhelatin.PD se présente sous la forme d'un message sans fichier joint faisant la promotion d'un site intitulé "Mrs. Clause",
qui invite à télécharger un programme censé permettre de déshabiller de jeunes femmes déguisées en Père Noël.
Il ne faut pas cliquer sur le lien ni télécharger le fichier concerné
stripshow.exe est une variante du virus Storm Worm.
Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".
Notre dose de spam's "arnaques en tous genres" (fausses propositions financières, fausses loteries, fausses offres d'emploi, ...)
Sur un seul compte de messagerie, exemple représentatif de cette nuisance (24 heures) :
Monsieur William Colgate est-il ressuscité ?
Et s'est-il associé avec le Dr. Chukwu Gilbert ?
Notre dose de spam's "langages exotiques" (logiciels illégaux, médications type viagra, "replica", pornographie... )
Sur un seul (autre) compte de messagerie, exemple représentatif de cette (faible *) nuisance :
1/ Zone d'apprentissage de l'antispam :
2/ Poubelle de l'antispam :
La plupart des "expéditeurs procrits" sont des adresses @....hinet.net (70%) @xuite.net (20%) @yahoo.pays_exotiques (5%)
Note : malgré les dates indiquées, tous ces messages ont été reçus entre le 19/01/2008 et le 20/01/2008 !
* Cette nuisance est faible car :
1/ tous ces pourriels sont éliminés par Spamihilator avant réception par notre logiciel email-client
2/ ils consomment peu de trafic
3/ il n'encombrent pas les mailboxes car ils sont légers et sont détruits sur le server email par Spamihilator
4/ nous ne risquons pas de les ouvrir puisqu'ils ne comportent que des hiéroglyphes :-)
Note : malgré les dates indiquées, tous ces messages ont été reçus entre le 24/01/2008 et le 25/01/2008 !
Archives :
- page 2, 2007 (up to 24 december 2007)
Documentation concernant les faux logiciels de sécurité (très en vogue en 2007; cfr. page 2) : PC Astuces, Rogue Remover
Que nous réserve l'année prochaine en matière de sécurité informatique : les huit grandes menaces attendues en 2008, selon ZDNet
Exemple d'arnaque du type "fraude 4-1-9" (aussi appelée scam 419, ou arnaque nigériane) via autoscout.be , en annexe-scam
Spam's : en annexe-spam
Win32/Surila.X cheval de Troie & Win32/VB.NEI worm - From AFRICNIC, IP 212.96.25.236, en annexe 1
Win32/Bagle.gen.zip worm - From WANADOO France Telecom (Bayonne), en annexe 2
Win32/Mydoom.R worm - en annexe 3 (start : 21 septembre 2006 - end : 31 janvier 2007)
