====== Monster.com ====== ===== 29 décembre 2006 ===== * Monster sert bien involontairement de vecteur viral. ==== L'appât ==== * Grand classique du genre, l'appât se présente sous la forme d'un courriel : {{ start:monster-29122006-1.png }} * L'internaute peu méfiant est invité à vite installé un nouvel outil s'il veut continuer à utiliser les services du site Monster. ==== L'hameçon ==== * Moins classique, l'hameçon se présente sous la forme d'un lien dans le courriel, lien qui ne pointe pas vers un formulaire de vol d'identité mais vers un exécutable pour Windows : servicetoll2.exe. * Un "strings" sur ce fichier éveille des doutes déjà bien installés : kernel32.dll, user32.dll permettent de faire quelques suppositions sur la véritable nature de cet utilitaire... * ClamAV (0.88.7/2391) ne trouvant rien (??), un passage par les bacs à sable [[http://www.cwsandbox.org|CWSandbox]] et [[http://sandbox.norman.no|Live Sandbox Norman]] semble s'imposer. ==== Analyse ==== * Commençons par les mauvaises nouvelles : ClamAV ne détecte pas le virus :

OK

* La Sandbox Norman non plus :


servicetool2.exe : Not detected by Sandbox (Signature: NO_VIRUS)

* Mais le fichier en est bien un, ce que la lecture de la section VirusScan du rapport CWSandbox confirme :




OK



DeepScan:Generic.Malware.G!Sdldg.5BD379D9



TR/Agent.32505

* Tout au plus notera t-on au passage que la version de ClamAV utilisée par CWSandbox date un peu (0.88.2 vs 0.88.7). * Les plus courageux trouveront {{start:analysis.xml|ici}} le rapport complet d'analyse de CWSandbox.