Après la vague de documents de qualité variable sur le malware Conficker/Downadup/Kido, que je n'ai pas commenté ici par manque de temps, et après l'excellente étude de Torpig de l'Université de Santa Barbara, largement commentée par les médias, j'ai décidé de sortir de ma torpeur et de mon planning plutôt chargé pour partager avec vous un document un peu moins médiatisé mais que j'ai trouvé absolument délicieux : l'étude du malware Pushdo/Cutwail/Pandex réalisée par Trend Micro.
Cet excellent document de 39 pages nous décrit le botnet constitué par le malware Pushdo. Techniquement, ce produit probablement russophone se décompose en deux parties : le downloader, nommé Pushdo, et d'autres modules (payloads) dont le fameux Cutwail, destiné exclusivement à envoyer du spam.
Nous y apprenons que Pushdo délivre environ 7,7 milliards de spam par jour, la majorité ciblant la Russie, fait suffisamment étonnant pour être souligné.
Le contenu des spam est varié. Cutwail propage en effet de la publicité pour des sites pornographiques payants, ainsi que pour des sites de contrefaçon pharmaceutique (Canadian Pharmacy), pour des sites de contrefaçon de produits de luxe (replica watches etc.), et spamme même de la publicité pour des commerces russes "locaux". Ainsi, le document de Trend nous montre preuve à l'appui un spam destiné à promouvoir un cabinet d'avocats de Moscou, par exemple. Pushdo envoie même des e-mails pour faire...sa propre publicité.
Ce botnet, qui serait le second plus gros botnet mondial, est géré par des cybercriminels dans un but commercial : proposer leurs services pour envoyer des spam "sur mesure".
Des grilles de tarifs très précises sont d'ailleurs indiquées par ces criminels :
- 4000 roubles (environ 90 Euros) pour spammer 1 million d'adresses d'entreprises de Moscou.
- 12000 roubles pour spammer 6 millions de particuliers sur Moscou.
- 18000 roubles pour spammer 10 millions de particuliers dans toute la Russie.
Mais le service n'est pas limité à la Russie : des tarifs sont fournis par pays. Ainsi, cela reviendrait à 7000 roubles pour spammer 3 millions de particuliers français.
D'un point de vue technique, Pushdo/Cutwail est plutôt bien programmé, et tente de se dissimuler au mieux sur un système infecté : opérations minimales d'écriture sur le disque de la victime (la plupart des informations sont stockées en mémoire et non sur le disque), et son code varie très fréquemment. En plus de ses fonctionnalités de spam, Pushdo peut déposer d'autres malware sur le système infecté, permettant ainsi de générer d'autres revenus pour ses propriétaires : un service de distribution de malware. D'autre part, il embarque un module de sniffing qui lui permet de faire de la collecte d'adresses e-mail, alimentant probablement les listes ciblées établies par ses exploitants. Ce réseau va même jusqu'à proposer à ses clients de leur créer des sites web, pour que leurs spams gagnent en crédibilité...
De nombreux éléments dans l'enquête de Trend laissent à penser que ses auteurs et ses exploitants sont russes. Notamment une clef de chiffrement contenue dans le malware, qui se révèle être une phrase russe écrite à l'envers et pouvant être traduite par "screw you my friend".
Quant au site principal des auteurs, son hébergement varie. J'ai effectué une recherche rapide et pu trouver très rapidement 135 autres noms de domaines hébergés au même endroit (actuellement en Allemagne), dont voici la liste:
0yandex.ru
1spam.ru
2009-rosmould.ru
abusehost.ru
abushost.ru
abuz-host.ru
abuzhost.ru
advert1.ru
akrobo.ru
allo-intim.ru
analyzersrlp3.ru
balashcity.ru
balashclty.ru
balashhouse.ru
balashlhouse.ru
balashouse.ru
bal-ka.ru
ballashouse.ru
bldroup.ru
bl-roup.ru
bluectone.ru
buildhost.ru
cammin.ru
clulbclha.ru
collortrac.ru
delaemsayti.ru
detmirru.ru
devisex.ru
ecopane1.ru
email-advert.ru
email-spam.ru
emailspam.ru
email-s.ru
engl4u2.ru
enterboom.ru
eralash-megashou.ru
evroreklama.ru
farma-reklama.ru
fingertru.ru
flowermagazin.ru
forumdeneg.ru
forum-it.ru
giftoportal.ru
goohost.ru
gooreklama.ru
granlt-m.ru
gssotravell.ru
halljas.com
hotellmetallurg.ru
hot-english.ru
hruhru.ru
igrushki-detiam.ru
inet-email.ru
inter-reklama.ru
isuzu-darom.ru
kdr-english.ru
kompforum.ru
kompkatalog.ru
lky-ky.ru
llght-decor.ru
madeforwomen.ru
magazinreklamy.ru
magicstaffmed.ru
mailadvertising.ru
mailer1.ru
med-consulting.ru
metalstuff.ru
mnogonarodu.ru
neintim.ru
ns1.buildhost.ru
online-email.ru
online-korp.ru
online-mail.ru
online-mas.ru
online-master.ru
online-million.ru
online-standart.ru
online-start.ru
online-vzlet.ru
origtovary.ru
peklama-best.ru
pereplanlrovka.ru
pingov.ru
poligrafarsenal.ru
polligrafarssenal.ru
polligralfarsenall.ru
poslh-slhop.ru
ppkurort.ru
precisely.ru
printarsenal.ru
proektclty.ru
projekt-online.ru
rassilka-online.ru
reklamict.ru
reklmagazin.ru
reseller-soft.ru
rosmould-2009.ru
rucasinoru.ru
rucvetokru.ru
ruintimru.ru
rukinomania.ru
saitbaz.ru
seminar-on-line.ru
seomagnat.ru
setevaya-reklama.ru
setevayareklama.ru
shablon1.ru
sitepostroim.ru
sklb-trm.ru
smszasex.ru
spam502.ru
spamarena.ru
spam-magazin.ru
spamonline.ru
spmagazin.ru
spmmagazin.ru
stroyka-best.ru
stroy-systems.ru
super-fuel-max.ru
super-kvartiry.ru
super-mailer.ru
super-rassylka.ru
svet-rus.ru
testcenterrt.ru
topspam.ru
turistmag.ru
video77.ru
vldeo-girl.ru
wmir.biz
yandex1.ru
zemli777.ru
zemlya777.ru
zmailer.ru
zvezdam.ru
La plupart des noms sont suffisamment explicites... Un joli nid bulletproof à services de spam, parmi autres joyeusetés. Je ne saurais que trop vous conseiller de ne pas aller y naviguer, la probabilité qu'ils propagent du malware n'étant pas négligeable...
Nul doute en tout cas que nos boites aux lettres vont continuer à souffrir de ce genre de services à la demande.
