User Tools

Site Tools


a_la_decouverte_de_mpack

A la découverte de Mpack

  • FIXME
  • Mpack est unje plate-forme PHP utilisée pour distribuer et contrôler la diffusion de malware et de botnets.
  • Il est selon toute vraisemblance utilisé pour diffuser le CdT Zhelatin/Storm Worm. Voir : Zhelatin ou Storm Worm, le retour..

En bref

  • Mpack est le dernier outil à la mode que nos z'amis les pirates utilisent pour distribuer massivement leurs malware.
  • Initialement proposé au téléchargement par un groupe de “développeurs” russes nommé DCT1 pour la modique somme de 700 à 1.000 USD, il fournit des routines d'exploitation de vulnérabilités présentes dans les navigateurs et leurs plugins à l'aide de code JavaScript. On trouve depuis quelques mois des versions “gratuites” de Mpack dont IcePack - qui poursuit les mêmes objectifs par des voies différentes - est le digne descendant.
  • Les exploits sont diffusés à l'aide de JavaScript insérés dans les pages HTML piégées. L'interpréteur PHP est utilisé pour générer ces pages et pour coder/obfusquer à la volée le code hostile. Le pirate qui administre le site n'a plus qu'à déposer les binaires qu'il souhaite distribuer de cette façon.
  • L'objectif de Mpack est ainsi d'infecter automatiquement des navigateurs, y compris - et surtout - sans intervention de la part de l'internaute, si ce n'est l'ouverture de la page piégée.
  • Récemment, Mpack/IcePack sont très fortement suspectés d'être à l'origine d'une importante campagne de SPAM et d'infection par une variante du Cheval de Troie Zhelatin/Storm Worm. Voir Zhelatin ou Storm Worm, le retour.

1 Et non DTC, même si au final ça revient un peu à ça… :-)

Description

  • Mpack se présente sous forme d'archive RAR. Cette archive - dans sa version 0.95 - contient les fichiers suivants :
admin.php
ani2.dat
ani2.php
anifile.php
changelog.txt
county_codes.txt
crypt2.php
crypte.php
crypt_of.php
cryptor.php
crypt.php
ff.php
file.php
<DIR> flags
flush.php
fout.php
GeoIP.dat
geoip.inc
index.php
logincheck.php
maketable.php
mdac4.php
megapack1.php
ms06-044_w2k.php
notfound.php
o7.php
qt.php
settings.php
stats.php
urlworks.php
  • Le répertoire flags contient les icones des pays pour les principaux TLD (Top Level Domain). Ces icones sont utilisées dans les pages de statistiques qui répertorient le nombre de machines infectées par nom de domaine.
  • Pour faire fonctionner Mpack, tout serveur HTTP supportant PHP fera l'affaire. Exemple au hasard - ou pas - Nginx
a_la_decouverte_de_mpack.txt · Last modified: 2007/08/28 18:08 (external edit)