====== A la découverte de Mpack ====== * // FIXME // * Mpack est unje plate-forme PHP utilisée pour distribuer et contrôler la diffusion de malware et de botnets. * Il est selon toute vraisemblance utilisé pour diffuser le CdT Zhelatin/Storm Worm. Voir : [[Zhelatin ou Storm Worm, le retour.]]. ==== En bref ==== * Mpack est le dernier outil à la mode que nos z'amis les pirates utilisent pour distribuer massivement leurs malware. * Initialement proposé au téléchargement par un groupe de "développeurs" russes nommé DCT1 pour la modique somme de 700 à 1.000 USD, il fournit des routines d'exploitation de vulnérabilités présentes dans les navigateurs et leurs plugins à l'aide de code JavaScript. On trouve depuis quelques mois des versions "gratuites" de Mpack dont IcePack - qui poursuit les mêmes objectifs par des voies différentes - est le digne descendant. * Les exploits sont diffusés à l'aide de JavaScript insérés dans les pages HTML piégées. L'interpréteur PHP est utilisé pour générer ces pages et pour coder/obfusquer à la volée le code hostile. Le pirate qui administre le site n'a plus qu'à déposer les binaires qu'il souhaite distribuer de cette façon. * L'objectif de Mpack est ainsi d'infecter automatiquement des navigateurs, y compris - et surtout - sans intervention de la part de l'internaute, si ce n'est l'ouverture de la page piégée. * Récemment, Mpack/IcePack sont très fortement suspectés d'être à l'origine d'une importante campagne de SPAM et d'infection par une variante du Cheval de Troie Zhelatin/Storm Worm. Voir [[Zhelatin ou Storm Worm, le retour.]] ---- 1 Et non DTC, même si au final ça revient un peu à ça... :-) ===== Description ===== * Mpack se présente sous forme d'archive RAR. Cette archive - dans sa version 0.95 - contient les fichiers suivants : admin.php ani2.dat ani2.php anifile.php changelog.txt county_codes.txt crypt2.php crypte.php crypt_of.php cryptor.php crypt.php ff.php file.php flags flush.php fout.php GeoIP.dat geoip.inc index.php logincheck.php maketable.php mdac4.php megapack1.php ms06-044_w2k.php notfound.php o7.php qt.php settings.php stats.php urlworks.php * Le répertoire flags contient les icones des pays pour les principaux TLD (Top Level Domain). Ces icones sont utilisées dans les pages de statistiques qui répertorient le nombre de machines infectées par nom de domaine. * Pour faire fonctionner Mpack, tout serveur HTTP supportant PHP fera l'affaire. Exemple au hasard - ou pas - Nginx