Mot-clé - malware

Fil des billets - Fil des commentaires

mardi 6 octobre 2009

Les surprises d'URLZone

Récemment une étude de Finjan a généré un buzz médiatique assez important autour d'un malware connu sous les alias d' URLZone ou encore de Bebloh.

Ce malware est un cheval de Troie bancaire, un code malveillant conçu et développé pour voler vos identifiants bancaires. Mais plus que ça, ce malware dispose de la capacité de générer des transactions bancaires "à la volée". Lorsqu'une victime se connecte sur son compte bancaire et génère un virement bancaire légitime, la requête est interceptée de façon transparente par le malware. Ce dernier modifie les informations de transaction, et envoie de l'argent vers une mule. (Une mule est un intermédiaire recruté par les fraudeurs, qui reçoit l'argent détourné et le renvoie vers les fraudeurs, souvent par Western Union, vers un pays exotique ... La mule conserve un faible pourcentage de la transaction, de l'ordre de 3 à 8% généralement)

Plusieurs familles de malware ont ce comportement, qui n'est pas nouveau. Une amélioration plus récente embarquée dans URLZone est de "truquer" la confirmation de virement et le relevé en ligne.

Encore plus étonnant, le malware, avant d'effectuer son détournement de fonds, vérifie...l'état du compte bancaire ! Le virement effectué par le malware tiendra compte de plusieurs paramètres dont le solde du compte, afin de minimiser les chances d'être découvert : le compte restera positif et les montants prélevés sont plutôt minimes. Brillant.

Enfin, dans le cas où la fraude est détectée par la victime ou par sa banque, suit logiquement le dépôt de plainte de la victime. Mais là encore, les fraudeurs déploient un dernier atout dans leur code pour augmenter les chances de passer inaperçu et perturber les enquêtes judiciaires... En effet, l'une des pistes utilisée par les enquêteurs est de suivre le parcours de l'argent : les sommes virées par le malware vont vers des mules identifiables. Les forces de l'ordre peuvent suivre ce parcours en demandant aux banques de leur transmettre les coordonnées des comptes bancaires des mules. Seulement, sur une enquête impactant des centaines de victimes, les services judiciaires font de la récolte de mules en accumulant les plaintes, et peuvent passer à côté de mules qui ont reçu de l'argent de victimes qui ne se sont jamais rendues compte de l'escroquerie...

Une méthode alternative serait donc d'infecter des machines dans des environnements de tests, afin de voir les transactions s'effectuer vers les mules (en les empêchant de passer bien entendu).

C'est là qu'intervient à nouveau l'ingéniosité des auteurs de ce malware : lorsqu'il détecte un environnement de test, au lieu de ne plus rien faire comme la plupart des autres malware, il reste actif et génère des virements... vers des victimes innocentes ! Ainsi, les chercheurs souhaitant collecter de l'information sur les mules se retrouvent dans un cul de sac... Et les forces de l'ordre vont perdre un temps précieux à enquêter sur des personnes qui n'ont rien à voir avec le schéma frauduleux d'URLZone.

Le ou les auteurs de ce malware nous démontrent, s'il était encore besoin de le dire, que les chevaux de Troie embarquent de plus en plus de techniques qui leur assurent non seulement des taux d'infection et une furtivité accrue, mais également des techniques qui augmentent leurs chances de ne jamais se faire arrêter.

mercredi 30 septembre 2009

Etude de réseaux d'affiliation : les Partnerka

Dmitry Samosseiko de Sophos s'est penché sur un type de cybercriminalité qui, bien que n'étant pas récent, n'a pas fait l'objet de beaucoup d'études quant à présent. Il s'agit du phénomène de l'affiliation.

Le principe est simple, et issu du marketing : des internautes disposant de sites web sont rémunérés par des sociétés d'affiliation ou des webmarchands afin de leur amener du trafic. Plus vous amenez de visiteurs à votre affiliant, plus vous gagnez d'argent.

Le hic, c'est que des cybercriminels utilisent l'affiliation de façon frauduleuse, et ce depuis plusieurs années, le phénomène n'étant pas nouveau mais faiblement documenté sur Internet.

L'étude de Sophos se concentre donc sur le déploiement de l'affiliation dans un cadre totalement illicite : l'affiliation vers des produits illégaux. En tête de liste, les sites de contrefaçons, qu'elles soient de produits pharmaceutiques (Viagra, Cialis, Levitra etc.), ou de produits de luxe (montres, sacs à mains etc.) ... D'autres sites ayant un fort besoin de trafic ne sont pas forcément illégaux mais encouragent des méthodes douteuses d'affiliation: casinos sauvages, sites pornographiques etc.

Et bien sûr, phénomène très en vogue ces derniers temps : les sites de "rogue anti-virus" ou "rogue AV".

Quoi qu'il en soit, même si certains sites sont à priori légaux, les méthodes déployées par les affiliés pour amener du trafic le sont moins :

  • Spam par milliards d' e-mails, avec un lien menant vers le site qui contient le numéro de l'affilié et lui permet d'empocher ses gains. Ces liens peuvent se présenter sous une forme très simple : un clic sur http://monsitepr0n.com/index.php?aff=123456789 indiquera au site monsitepr0n.com que le visiteur a été envoyé par l'affilié numéro 123456789 ... Cette méthode est de moins en moins déployée cependant, n'étant pas très discrète...
  • Malware de type chevaux de Troie (trojan) : l'utilisateur infecté effectue des recherches sur Google par exemple, et ne se rend pas compte que les résultats sont générés par le malware afin de pousser des liens vers les affiliants en premiers résultats...
  • Black-hat SEO (Search Engine Optimization) : Il s'agit ici de déployer un ensemble de techniques de SEO pour amener du trafic vers les affiliants : spams sur forums, Spamdexing, utilisation de divers logiciels de SEO, etc. Il n'est vraiment pas difficile de trouver des sites sur le sujet, avec forums, même en français ...
  • Génération de faux sites : les fraudeurs créent au moyen d'outils des sites qui référencent des mots-clefs très spécifiques amenant de nombreux visiteurs, et essayent de les pousser à cliquer sur n'importe quel lien, qui mène toujours à un affiliant... La méthode a en plus l'avantage de faire monter les sites affiliants dans les moteurs de recherche ...

L'exemple de GlavMed pris par Sophos est très intéressant : Glavmed fournit clef en main tout le nécessaire pour déployer un site de type "Canadian Pharmacy" rapidement ... Il ne reste plus qu'à générer du trafic, et par ici la monnaie...

J'en reste là, mais je vous encourage fortement à lire cette étude. Je m'excuse également de vous la signaler aussi tard (elle a été publiée il y a une bonne semaine) mais comme vous le savez je ne blogge que sur mon temps libre, et je n'en ai pas beaucoup en ce moment... D'ailleurs je me suis senti obligé de sacrifier ma pause déjeuner ce midi pour écrire ce petit post, j'espère que vous apprécierez ce geste à sa juste valeur ;-))

Plus sérieusement, cette étude a malheureusement été très peu relayée par les médias français. Il semble que la seule information qui ait été retenue et reprise soit le fait que chaque installation d'un malware sur Mac était rémunérée 0.43 $. Je trouve ça un peu dommage, pour un papier dont la lecture est aussi agréable et intéressante.

Enfin, si le sujet vous intéresse, notamment l'aspect pharmaceutique, je vous encourage si ce n'est déjà fait à lire les travaux de Guillaume Arcas dans MISC. Guillaume, que je salue au passage, a bien creusé le domaine, et apporte des éléments vraiment pertinents. Un must :-)

jeudi 27 août 2009

Etude Trend Micro : A Cybercrime Hub

Trend Micro a publié hier une étude passionnante intitulée "A Cybercrime Hub".

Cette étude nous présente une compagnie estonienne qui sous des apparences légitimes se trouvait être totalement illicite. Cette compagnie, dont le nom est tu par Trend mais qu'il est facile de découvrir en googlant un peu, existe depuis 2005. Ses principales activités sont l'hébergement de contenus web, la distribution de trafic web, et la publicité. Jusqu'en octobre 2008 environ cette compagnie était même agréée par l'ICANN pour enregistrer des noms de domaines Internet.

Les data-center de cette compagnie sont répartis partout dans le monde, sous forme de serveurs achetés ou loués, avec une prédominance aux Etats-Unis. Ainsi, lorsque l'un de ces data-center est fermé, comme ce fut le cas en 2008 à San Francisco (ça ne vous rappelle rien ?) il suffit de basculer ailleurs ... Et de tout remettre en route en quelques heures !

Le quotidien de cette entreprise est en fait entièrement orienté vers la cybercriminalité sous des formes de fraudes diverses et variées. La plupart des jeunes employés de la compagnie, pour la plupart des étudiants ayant une vingtaine d'années et habitant dans la région de Tartu en Estonie, utilisent toutes leurs compétences techniques pour fournir des services frauduleux.

Le document se focalise sur certains aspects techniques déployés par les cybercriminels :

  • Installation et utilisation de serveurs DNS frauduleux (dits "Rogue DNS Servers") depuis 2005. Le principe est simple et efficace. Il s'agit de déployer de multiples serveurs DNS sur Internet, qui présentent tous les aspects d'un serveur DNS légitime, mais dont le comportement est tout autre : chaque requête DNS qu'ils reçoivent renvoient vers des sites frauduleux en lieu et place de sites légitimes.
  • Infection de victimes par un malware de type "DNS Changer". Il s'agit du complément idéal d'un serveur DNS frauduleux : pour que les machines des victimes envoient leurs requêtes DNS vers les serveurs DNS frauduleux, il faut que la configuration de leur machine pointe vers eux. Le malware change la configuration des victimes, qui n'y voient que du pare-feu. Du coup, leurs requêtes DNS légitimes se voient obtenir des réponses telles que souhaitées par les fraudeurs : redirection vers des sites hébergeant d'autres malware, vers des sites de phishing, etc.
  • Détournement des publicités dans les pages web du navigateur de la victime. La plupart des publicités que vous voyez sur Internet lorsque vous naviguez sont en fait hébergées par des tiers. Du coup, les fraudeurs ont pensé à détourner cette caractéristique, de façon transparente pour la victime infectée: alors qu'elle navigue tranquillement sur des sites de confiance, les publicités de ces sites (souvent des "Google ads") sont remplacées par des publicités de sites gérés par les fraudeurs. On pense ici en particulier à la contrefaçon pharmaceutique.
  • Installation de faux anti-virus (dits "Rogue AV") sur la machine de la victime. Les victimes allant vers certains sites contrôlés par les fraudeurs, notamment pornographiques, voient leur accès refusé sous prétexte d'être infectés par un malware. En fait, il s'agit d'un message placé par les fraudeurs eux-même. Le message est suivi d'une proposition de téléchargement d'un logiciel anti-virus. En juillet 2009, environ 100 000 machines se sont connectées sur l'un de ces sites, selon Trend Micro. Bien sûr, l'anti-virus proposé n'est autre... qu'un autre malware. S'il décide en plus de payer la license pour ce prétendu anti-virus, devinez qui récolte l'argent ? Eh oui, ces cybercriminels sont partout...
  • Détournement des requêtes Google des utilisateurs infectés : cette technique donne l'impression à l'utilisateur d'obtenir des résultats Google totalement cohérents, alors qu'en fait ils ont été manipulés par les fraudeurs.

Le papier de Trend Micro nous montre une structure élaborée, avec un intranet particulièrement bien conçu pour être déplacé régulièrement, sans trop entrer dans les détails techniques. La compagnie estonienne dispose de fortes compétences techniques, et sait les déployer et s'en servir de façon efficace. Leur niveau technique est impressionant, mais ce qui m'impressionne surtout, c'est cette capacité à toujours être innovant en termes de cybercriminalité. En seulement 4 ans, cette société a déployé des trésors d'imagination pour générer un maximum de profit.

Les "busts" récents sur un certain nombre d'hébergeurs bulletproof, non pas effectués par les services de Police mais par la communauté de la sécurité informatique et de la cybercriminalité, n'ont finalement eu pour effet sur le long terme que de rendre les cybercriminels plus méfiants, et plus prévoyants : s'attendant à se faire fermer à tout moment, ils sont capable d'apparaitre ailleurs très rapidement. On ne peut que craindre une augmentation de ce type de malveillances, tant que les législations internationales ne seront pas améliorées pour permettre aux forces de l'ordre de migrer ces fraudeurs vers une cellule bulletproof. :-)

mercredi 26 août 2009

Message Labs Intelligence Report - August 2009

Message Labs just published its Intelligence Report for August 2009.

As usual, it is a very interesting paper that I recommend you to read if you're concerned with spam/botnet/malware issues.

This report is especially interesting because it shows us the consequence (in terms of botnet activity) of the takedown of "Real Host", a bulletproof hosting company located in Latvia. This reminds me of something...

The Cutwail botnet for example showed a fall of 90% of its activity in the hours following the takedown.

What we can also notice is an increase of the use of short-urls in spam (mainly by the Donbot botnet).

jeudi 20 août 2009

Infiltration d'un botnet - Cisco

Cisco a publié récemment un document très intéressant intitulé "Infiltrating a Botnet".

Nous y découvrons le travail de l'une des équipes de Cisco, lors d'investigations forensic "classiques" auprès d'un client, dans le but d'en savoir plus sur une compromission du S.I.

L'équipe de Cisco s'est vite rendue compte que de nombreuses machines du client concerné présentaient des symptômes assez alarmants, dont notamment une activité IRC sur un port exotique. Il s'est avéré qu'il s'agissait comme on pouvait le supposer d'un malware, entrant dans un schéma de botnet.

Pour rappel, le protocole IRC (Internet Relay Chat) est l'un des plus vieux protocole utilisé dans le cadre de communications entre des machines compromises (bot) et un serveur (command&control) géré par le ou les fraudeurs. Bien d'autres techniques existent, mais nécessitent plus de travail de la part des pirates. Ce protocole reste largement utilisé pour gérer des botnets "amateurs", les botnets plus professionnels déployant généralement des communications chiffrées.

Après une rapide investigation, de nombreuses machines du client ont été retirées du botnet et "assainies". L'équipe de Cisco s'est alors intéressée directement au fraudeur contrôlant ce botnet. En particulier, ils se posaient des questions sur le niveau de compétence du botmaster : était-il un "script kiddie" ou quelqu'un jouissant d'un bon niveau technique ?

Une seule façon de le savoir pour eux: après avoir surveillé le serveur IRC de contrôle du botnet en se faisant passer pour un bot, les chercheurs ont engagé le dialogue par ce biais avec le pirate. L'échange est assez savoureux. Le pirate en face semble rôdé, croyant que son interlocuteur est un autre botmaster. Du coup, il tient des propos plutôt intéressants. On y apprend que son botnet idle souvent, c'est à dire qu'il est souvent dormant, et que le pirate a récemment vendu quelques milliers de bots (800$ pour 10000 machines). L'activité majeure de ce pirate reste cependant le phishing. Le reste de la discussion tourne autour de l'underground de ce type de cybercriminalité, je vous laisse en prendre connaissance...

Je n'entrerais pas (ou si peu...) dans le troll habituel sur ce genre d'opération... Est-il éthique, pour un chercheur, de se connecter sur un serveur IRC qui est probablement hébergé sur un serveur compromis, pour aller discuter avec un fraudeur ? Les informations qui en sortent sont en tout cas intéressantes.

Enfin, s'il vous venait à l'idée de pratiquer ce genre de chose, je ne saurais que trop vous recommander la prudence : tous les botmasters ne sont pas aussi "zen" que celui présenté dans le document de Cisco. Bon nombre d'entre eux disposent de contre-mesures empêchant les chercheurs de se connecter sur leur serveur IRC, ces contre-mesures lançant généralement une attaque massive de déni de service vers l'adresse IP "suspecte", pour quelques minutes ou quelques heures...

mardi 26 mai 2009

Etude Pushdo by Trend Micro


Après la vague de documents de qualité variable sur le malware Conficker/Downadup/Kido, que je n'ai pas commenté ici par manque de temps, et après l'excellente étude de Torpig de l'Université de Santa Barbara, largement commentée par les médias, j'ai décidé de sortir de ma torpeur et de mon planning plutôt chargé pour partager avec vous un document un peu moins médiatisé mais que j'ai trouvé absolument délicieux : l'étude du malware Pushdo/Cutwail/Pandex réalisée par Trend Micro.

Cet excellent document de 39 pages nous décrit le botnet constitué par le malware Pushdo. Techniquement, ce produit probablement russophone se décompose en deux parties : le downloader, nommé Pushdo, et d'autres modules (payloads) dont le fameux Cutwail, destiné exclusivement à envoyer du spam. Nous y apprenons que Pushdo délivre environ 7,7 milliards de spam par jour, la majorité ciblant la Russie, fait suffisamment étonnant pour être souligné.

Le contenu des spam est varié. Cutwail propage en effet de la publicité pour des sites pornographiques payants, ainsi que pour des sites de contrefaçon pharmaceutique (Canadian Pharmacy), pour des sites de contrefaçon de produits de luxe (replica watches etc.), et spamme même de la publicité pour des commerces russes "locaux". Ainsi, le document de Trend nous montre preuve à l'appui un spam destiné à promouvoir un cabinet d'avocats de Moscou, par exemple. Pushdo envoie même des e-mails pour faire...sa propre publicité.

Ce botnet, qui serait le second plus gros botnet mondial, est géré par des cybercriminels dans un but commercial : proposer leurs services pour envoyer des spam "sur mesure".

Des grilles de tarifs très précises sont d'ailleurs indiquées par ces criminels :

  • 4000 roubles (environ 90 Euros) pour spammer 1 million d'adresses d'entreprises de Moscou.
  • 12000 roubles pour spammer 6 millions de particuliers sur Moscou.
  • 18000 roubles pour spammer 10 millions de particuliers dans toute la Russie.


Mais le service n'est pas limité à la Russie : des tarifs sont fournis par pays. Ainsi, cela reviendrait à 7000 roubles pour spammer 3 millions de particuliers français.

D'un point de vue technique, Pushdo/Cutwail est plutôt bien programmé, et tente de se dissimuler au mieux sur un système infecté : opérations minimales d'écriture sur le disque de la victime (la plupart des informations sont stockées en mémoire et non sur le disque), et son code varie très fréquemment. En plus de ses fonctionnalités de spam, Pushdo peut déposer d'autres malware sur le système infecté, permettant ainsi de générer d'autres revenus pour ses propriétaires : un service de distribution de malware. D'autre part, il embarque un module de sniffing qui lui permet de faire de la collecte d'adresses e-mail, alimentant probablement les listes ciblées établies par ses exploitants. Ce réseau va même jusqu'à proposer à ses clients de leur créer des sites web, pour que leurs spams gagnent en crédibilité...

De nombreux éléments dans l'enquête de Trend laissent à penser que ses auteurs et ses exploitants sont russes. Notamment une clef de chiffrement contenue dans le malware, qui se révèle être une phrase russe écrite à l'envers et pouvant être traduite par "screw you my friend".

Quant au site principal des auteurs, son hébergement varie. J'ai effectué une recherche rapide et pu trouver très rapidement 135 autres noms de domaines hébergés au même endroit (actuellement en Allemagne), dont voici la liste:

0yandex.ru

1spam.ru

2009-rosmould.ru

abusehost.ru

abushost.ru

abuz-host.ru

abuzhost.ru

advert1.ru

akrobo.ru

allo-intim.ru

analyzersrlp3.ru

balashcity.ru

balashclty.ru

balashhouse.ru

balashlhouse.ru

balashouse.ru

bal-ka.ru

ballashouse.ru

bldroup.ru

bl-roup.ru

bluectone.ru

buildhost.ru

cammin.ru

clulbclha.ru

collortrac.ru

delaemsayti.ru

detmirru.ru

devisex.ru

ecopane1.ru

email-advert.ru

email-spam.ru

emailspam.ru

email-s.ru

engl4u2.ru

enterboom.ru

eralash-megashou.ru

evroreklama.ru

farma-reklama.ru

fingertru.ru

flowermagazin.ru

forumdeneg.ru

forum-it.ru

giftoportal.ru

goohost.ru

gooreklama.ru

granlt-m.ru

gssotravell.ru

halljas.com

hotellmetallurg.ru

hot-english.ru

hruhru.ru

igrushki-detiam.ru

inet-email.ru

inter-reklama.ru

isuzu-darom.ru

kdr-english.ru

kompforum.ru

kompkatalog.ru

lky-ky.ru

llght-decor.ru

madeforwomen.ru

magazinreklamy.ru

magicstaffmed.ru

mailadvertising.ru

mailer1.ru

med-consulting.ru

metalstuff.ru

mnogonarodu.ru

neintim.ru

ns1.buildhost.ru

online-email.ru

online-korp.ru

online-mail.ru

online-mas.ru

online-master.ru

online-million.ru

online-standart.ru

online-start.ru

online-vzlet.ru

origtovary.ru

peklama-best.ru

pereplanlrovka.ru

pingov.ru

poligrafarsenal.ru

polligrafarssenal.ru

polligralfarsenall.ru

poslh-slhop.ru

ppkurort.ru

precisely.ru

printarsenal.ru

proektclty.ru

projekt-online.ru

rassilka-online.ru

reklamict.ru

reklmagazin.ru

reseller-soft.ru

rosmould-2009.ru

rucasinoru.ru

rucvetokru.ru

ruintimru.ru

rukinomania.ru

saitbaz.ru

seminar-on-line.ru

seomagnat.ru

setevaya-reklama.ru

setevayareklama.ru

shablon1.ru

sitepostroim.ru

sklb-trm.ru

smszasex.ru

spam502.ru

spamarena.ru

spam-magazin.ru

spamonline.ru

spmagazin.ru

spmmagazin.ru

stroyka-best.ru

stroy-systems.ru

super-fuel-max.ru

super-kvartiry.ru

super-mailer.ru

super-rassylka.ru

svet-rus.ru

testcenterrt.ru

topspam.ru

turistmag.ru

video77.ru

vldeo-girl.ru

wmir.biz

yandex1.ru

zemli777.ru

zemlya777.ru

zmailer.ru

zvezdam.ru

La plupart des noms sont suffisamment explicites... Un joli nid bulletproof à services de spam, parmi autres joyeusetés. Je ne saurais que trop vous conseiller de ne pas aller y naviguer, la probabilité qu'ils propagent du malware n'étant pas négligeable...

Nul doute en tout cas que nos boites aux lettres vont continuer à souffrir de ce genre de services à la demande.

mercredi 4 mars 2009

Narciscareware



Difficile de passer à côté des scareware ces derniers temps, même en ne travaillant pas dans la sécurité informatique ou la cybercriminalité.

Très succintement, un scareware est un logiciel qui se fait passer pour un respectable anti-virus mais n'en est pas un. Dans quel but ? Vous faire payer pour une license, ou même infecter votre machine et ainsi vous voler de la donnée...

Toute une économie souterraine est alimentée par ce type de maliciel, qui peut se révéler très lucratif pour certains escrocs. Une excellente étude du phénomène a d'ailleurs été publiée par Joe Stewart de SecureWorks il y a quelques temps.

Plus récemment, j'ai lu un article de Dancho Danchev qui m'a d'abord fait rire, avant de me dire que comme d'habitude, les fraudeurs avaient décidément beaucoup d'imagination...

Il est fait état d'un rogue anti-virus (scareware donc) nommé "Anti-Virus 1" qui une fois installé sur votre poste modifie certaines de vos navigations... En l'occurence, le logiciel procède en effectuant une légère modification du fichier host de votre système Windows. Le résultat ? Simple : lorsque vous naviguerez vers zdnet, toptenreviews, pc mag, pc pro, et j'en passe, vous verrez en fait une fausse page vantant les mérites... d'autres scareware !

Une méthode simple et probablement efficace de donner de la crédibilité à des applications néfastes...

J'en profite donc pour rappeller une bonne pratique pour les nouveaux-venus dans le monde informatique, qui sont les principales victimes de ce phénomène de scareware :

N'utilisez que des solutions anti-virales *connues* ! Et surtout, en cas de doute, plutôt que de télécharger et d'installer un anti-virus trouvé sur Internet, demandez son avis à quelqu'un qui a un peu plus d'expérience dans le domaine.

samedi 19 janvier 2008

Saturday Night Fever... And Win32.Agent.dwd malware analysis :-p


Well, it's about noon here, on saturday night, and I should be away with friends, drinking a bit, having fun, meeting new people... But things are a bit different this saturday night. Yes, I'm stuck home, being sick. Just like a malware, flue has spread amongst co-workers, and it finally struck me yesterday.

What could I do then, except spending some time on my laptop, lying in my bed ?

As the "social monster" I am supposed to be, like one of my co-worker has called me, I thought I would spend some time talking with one or two friends on IRC or MSN (well, I'm using "pidgin" under my Linux for MSN protocol, of course).

So I've been chatting a bit, and then, suddenly, a friend asked me :

"hey, is this you ? http://members.lycos.co.uk/xxxx/?=myemailaddress"

I immediately tried to tell her that she was having a malware on her computer, but it seems that she didn't get my message. Luckily enough, I had her phone-number so I called her and explained her some things ;-)

Now as curious as I can be, I got to this url and of course, it opened a window asking me if I wanted to download a file called "naked0453.com" , which I did.

I immediately sent this file for analysis to virustotal.com (Hi Julio ;-)) and got this result:

So now I could have googled around to find more information about this Trojan.Win32.Agent.dwd, but it would have been no fun.

Instead, I decided to launch the naked0453.com file ... Of course, under a special environment : a Windows XP SP2 in a VirtualBox. My sniffer (Wireshark) already on of course, to check for the network communication.

Well as soon as I ran the binary, it opened a window containing the "supposed" me :



Ok, it definitely is not me, I feel better, none of my ex-girlfriend has sent naked pics of me through Internet ;-P

Anyway, some files have been dropped on my system when I launched the binary:

* a file "services.exe" in my C:\Documents and Settings\user\localsettings\temp.
* some temporary files (image.jpg for example)

The services.exe binary is immediately run by the "naked" binary.

Once again, I ran the binary on virustotal.com, obtaining the following results:



As you can see, the malware itself is less detected than his dropper, which is usual. And oh, Armadillo is there... But I don't have reversing skills anyway :-p

Of course, the malware has also added himself in Windows registry, so that it will restart when Windows reboots.

Another funny thing is that services.exe (I'll call it the malware from now on) has been reading my autoexec.bat file, but I don't know why.


A remote thread is also injected in c:\windows\explorer.exe

I'm hushing through all these files manipulation because I'm not finding it so sexy : my main interest is to check what the malware has done on the network.

Letting Wireshark run for some time, I see there is quite an amount of communication. After some ten minutes, I stopped it, and put my Windows XP in my VirtualBox in his precedent state. (uninfected)

The first packets sent by the malware are DNS requests :

1 0.000000 192.168.x.x 192.168.x.x DNS Standard query A james.ccpower.ru
2 0.003170 192.168.x.x 192.168.x.x DNS Standard query response A 127.0.0.1
3 3.848609 192.168.x.x 192.168.x.x DNS Standard query A asl.aldanma.net
4 3.852151 192.168.x.x 192.168.x.x DNS Standard query response A 209.205.196.3


james.ccpower.ru points to 127.0.0.1, being useless. But we see that asl.aldanma.net is resolved to 209.205.196.3.

Immediately afterwards (5th packet) the malware establishes a connection to a IRC server at asl.aldanma.net :

NICK FQ[FRA-0H-hebxpefcz
USER heh heh heh :kakap
:log.on.sys 001 FQ[FRA-0H-hebxpefcz :Cisco
:log.on.sys 005 FQ[FRA-0H-hebxpefcz

:log.on.sys 422 FQ[FRA-0H-hebxpefcz :
:FQ[FRA-0H-hebxpefcz MODE FQ[FRA-0H-hebxpefcz :+i
JOIN #.niw
:FQ[FRA-0H-hebxpefcz!heh@AFontenayssB-x-x-x-x.wx-x.abo.wanadoo.fr JOIN :#.niw
:log.on.sys 353 FQ[FRA-0H-hebxpefcz @ #.niw :FQ[FRA-0H-hebxpefcz @abc
:log.on.sys 366 FQ[FRA-0H-hebxpefcz #.niw :End of /NAMES list.
:abc!rL@318BDD43.C22E0C0.495A4415.IP PRIVMSG #.niw :..... ............................................
PING :log.on.sys
PONG :log.on.sys

:abc!rL@318BDD43.C22E0C0.495A4415.IP PRIVMSG #.niw :........ 32415c24f4c28fb144f37921a7f4dc26 .........................
:abc!rL@318BDD43.C22E0C0.495A4415.IP PRIVMSG #.niw :........ a7d10aaf0e52b98963bc13232d4e88f1 .................................
:abc!rL@318BDD43.C22E0C0.495A4415.IP PRIVMSG #.niw :..... ............................................
PING :log.on.sys
PONG :log.on.sys

:abc!rL@318BDD43.C22E0C0.495A4415.IP PRIVMSG #.niw :........ 32415c24f4c28fb144f37921a7f4dc26 .........................
PING :log.on.sys
PONG :log.on.sys

:abc!rL@318BDD43.C22E0C0.495A4415.IP PRIVMSG #.niw :..... ............................................
:abc!rL@318BDD43.C22E0C0.495A4415.IP PRIVMSG #.niw :........ 32415c24f4c28fb144f37921a7f4dc26 .........................
PING :log.on.sys
PONG :log.on.sys

:abc!rL@318BDD43.C22E0C0.495A4415.IP PRIVMSG #.niw :..... ............................................


As we can see, the malware connects to the IRC server using a nick "FQ[FRA-0H-hebxpefcz" which at least contains a country reference.It also uses a user name "heh heh heh :kakap"
The answer from the server, the MOTD, is "Cisco".
The bot (malware) then joins the secret channel #.niw on the server.

We see only one user on the channel, with operator rights, called "abc". I would have liked seeing all bots connected at the same time but it seemed that the server was configured to hide everything. Even whois'ing was forbidden on the server.

After that, my machine started to connect to a lot of different web servers, getting hundreds of files (porn, affiliation, more malware...) but I had no time to keep digging, and furthermore I have to write another post on this blog about "Solutions Linux 2008" ... :-p

So this fast funny analysis is over, and as you can see it took me quite some time to publish it (mainly because I was away on hollidays) ;-)

jeudi 27 septembre 2007

Fujacks author gets a sentence... and a job


Pareil que pour le post précédent, je vous donne le lien direct ici ... (english)

Mais je vais quand même reposter quelques trucs ici, il faut juste que je trouve un peu de temps le soir ;-)
(Je dis ça pour les rares fidèles de ce blog que je remercie au passage)

dimanche 22 juillet 2007

MPack developer interview


Damn... Has this week been the week of the interview ?

I found a very interesting one, the guy being interviewed is one of the developer of the world-famous MPack kit.

Here is the article from Security Focus.

Again, it shows that fraudsters behind this kind of illegal activities are just taking it as a usual business.

dimanche 8 juillet 2007

More than words :-p


I'm always amazed by the quantity of malware that anti-virus companies can handle.
I sometimes think they live in a fantasy world where days are just about 30 hours instead of our 24.

They have skills, they have efficient methods and now... they have graphical interfaces to handle malware.
F-Secure posted some words on their tool called FSCSI here.

More than words, a demo without the "demo effect" can be seen here.

jeudi 7 juin 2007

Malserver ...


Google published an interesting study about web servers and malware...

The link is here.

It is very interesting to see the differences between the different web servers, according to the country they are hosted on.
And then, even more, to see which of these servers are hosting the biggest amount of malware.
For example, in China, nearly all malware are running on IIS, while in Germany there's almost only malware on Apache.

What also astonishes me is the growth of nginx, knowing it's a very young product (first public version had been released in october 2004) ... Of course, it's mostly used in Russia, as it is a russian product, but still, I would have thought it wasn't so spread worldwide already ...

dimanche 20 mai 2007

Zunker, MeSpam, and Bretzels


Again, Symantec has released some interesting screenshots and article about Zunker, and its association with Mespam.

I won't add any comments, the article that you can find HERE is very well written.

dimanche 13 mai 2007

LdPinch and its parser, Zunker bot administration


Here is a post from F-Secure about a new LdPinch variant ...

It is very interesting, because it also shows us something we're usually not seeing : the GUI used by the fraudster, called Pinch Parser PRO. You can see it here

It definitely looks very professional ...

Panda Software also brings us some nice screenshots of frontends, showing us how a big botnet can be administrated here

The whole Panda article is here.

jeudi 10 mai 2007

Gimme some BITS ...

Les méthodes appliquées pour infecter un système Windows avec divers malwares sont variées. Parmi ces méthodes sont évidemment privilégiées celles qui sont transparentes pour l'utilisateur, ou au moins qui semblent "légitimes" à ces derniers.

Une de ces nouvelles méthodes, très inquiétante parce que se servant d'une partie du système d'exploitation en lui-même, a été signalée dernièrement.
En effet, il est possible d'infecter un ordinateur sous une version de Windows utilisant le système de téléchargement des correctifs et des mises à jour de Windows.

Le composant Windows en question est le BITS : "Background Intelligent Transfer Service".
Cette méthode, combinée à d'autres, peut se révéler très efficace, notamment parce qu'elle permet un contournement plus facile de certains firewalls.

Voici un excellent article de Symantec qui y fait référence... Et du coup, je me rend compte que ce post aurait dû être en anglais :-P

vendredi 23 février 2007

Apophish :p


Après les Haxdoor et autres trojans particulièrement utilisés en 2006, voici venir... Apophis ... Vendu en fonction des fonctionnalités jusqu'à 1200 Euros, et qui possède une très belle console d'administration comme nous le montre le CERT-LEXSI :

screenshots

page 2 de 2 -