a_la_decouverte_de_mpack
Differences
This shows you the differences between two versions of the page.
| — |
a_la_decouverte_de_mpack [2007/08/28 18:08] (current) |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ====== A la découverte de Mpack ====== | ||
| + | |||
| + | * // FIXME // | ||
| + | |||
| + | |||
| + | * Mpack est unje plate-forme PHP utilisée pour distribuer et contrôler la diffusion de malware et de botnets. | ||
| + | * Il est selon toute vraisemblance utilisé pour diffuser le CdT Zhelatin/Storm Worm. Voir : [[Zhelatin ou Storm Worm, le retour.]]. | ||
| + | |||
| + | ==== En bref ==== | ||
| + | * Mpack est le dernier outil à la mode que nos z'amis les pirates utilisent pour distribuer massivement leurs malware. | ||
| + | * Initialement proposé au téléchargement par un groupe de "développeurs" russes nommé DCT<sup>1</sup> pour la modique somme de 700 à 1.000 USD, il fournit des routines d'exploitation de vulnérabilités présentes dans les navigateurs et leurs plugins à l'aide de code JavaScript. On trouve depuis quelques mois des versions "gratuites" de Mpack dont IcePack - qui poursuit les mêmes objectifs par des voies différentes - est le digne descendant. | ||
| + | * Les exploits sont diffusés à l'aide de JavaScript insérés dans les pages HTML piégées. L'interpréteur PHP est utilisé pour générer ces pages et pour coder/obfusquer à la volée le code hostile. Le pirate qui administre le site n'a plus qu'à déposer les binaires qu'il souhaite distribuer de cette façon. | ||
| + | * L'objectif de Mpack est ainsi d'infecter automatiquement des navigateurs, y compris - et surtout - sans intervention de la part de l'internaute, si ce n'est l'ouverture de la page piégée. | ||
| + | * Récemment, Mpack/IcePack sont très fortement suspectés d'être à l'origine d'une importante campagne de SPAM et d'infection par une variante du Cheval de Troie Zhelatin/Storm Worm. Voir [[Zhelatin ou Storm Worm, le retour.]] | ||
| + | |||
| + | ---- | ||
| + | |||
| + | <sup>1</sup> Et non DTC, même si au final ça revient un peu à ça... :-) | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | ===== Description ===== | ||
| + | * Mpack se présente sous forme d'archive RAR. Cette archive - dans sa version 0.95 - contient les fichiers suivants : | ||
| + | <code> | ||
| + | admin.php | ||
| + | ani2.dat | ||
| + | ani2.php | ||
| + | anifile.php | ||
| + | changelog.txt | ||
| + | county_codes.txt | ||
| + | crypt2.php | ||
| + | crypte.php | ||
| + | crypt_of.php | ||
| + | cryptor.php | ||
| + | crypt.php | ||
| + | ff.php | ||
| + | file.php | ||
| + | <DIR> flags | ||
| + | flush.php | ||
| + | fout.php | ||
| + | GeoIP.dat | ||
| + | geoip.inc | ||
| + | index.php | ||
| + | logincheck.php | ||
| + | maketable.php | ||
| + | mdac4.php | ||
| + | megapack1.php | ||
| + | ms06-044_w2k.php | ||
| + | notfound.php | ||
| + | o7.php | ||
| + | qt.php | ||
| + | settings.php | ||
| + | stats.php | ||
| + | urlworks.php | ||
| + | </code> | ||
| + | * Le répertoire flags contient les icones des pays pour les principaux TLD (Top Level Domain). Ces icones sont utilisées dans les pages de statistiques qui répertorient le nombre de machines infectées par nom de domaine. | ||
| + | * Pour faire fonctionner Mpack, tout serveur HTTP supportant PHP fera l'affaire. Exemple au hasard - ou pas - Nginx | ||
a_la_decouverte_de_mpack.txt · Last modified: 2007/08/28 18:08 (external edit)
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Noncommercial-Share Alike 3.0 Unported
