Anatomie d'une attaque virale
Etant d'un naturel curieux et non méfiant1, je clique sur le lien, avide de savoir ce que me veut cette Juliana que je ne connais pas2. A ma grande déception ce n'est pas un joli minois qui apparait alors mais cette pop-up :
yom@yom-laptop:/home/virlab/labo$ clamscan -v cartaodeamor5487.exe
Scanning cartaodeamor5487.exe
cartaodeamor5487.exe: OK
----------- SCAN SUMMARY -----------
Known viruses: 111194
Engine version: 0.90.2
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.10 MB
Time: 2.676 sec (0 m 2 s)
yom@yom-laptop:/home/virlab/labo$
Je pourrais me contenter de ce diagnostic rassurant mais ClamAV, malgré d'indéniables qualités (dont celle d'être un des seuls antivirus en
GPL pour plateformes Linux), n'est pas infaillible.
Par expérience plus que par compétence (le désassemblage d'exécutables Windows est une corde qui manque, parfois cruellement, à mon arc) un strings lève pas mal de lièvres. Dans le cas qui nous intéresse, on y trouve notamment ceci :
ZYYd
c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://ocarteiro.click21.com.br/democartao.php?cat=AB1
c:\windll.exe
http://www.felicidadeinstantanea.com/postcards/tensin.exe
c:\windll.exe
c:\windll2.exe
c:\windll2.exe
La première
URL pointe sur un service de… carte électronique en ligne ! Rien a priori de bien méchant et le code fourni dans la carte ne mène à rien.
Etant d'un naturel curieux et non méfiant
1, je télécharge le binaire tensin.exe pointé par la deuxième
URL. Un p'tit coup de ClamAV là encore ne révèle rien de particulier (ce qui n'est vraiment pas bon signe) :
yom@yom-laptop:/home/virlab/labo$ clamscan -v tensin.exe
Scanning tensin.exe
tensin.exe: OK
----------- SCAN SUMMARY -----------
Known viruses: 111396
Engine version: 0.90.2
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 2.76 MB
Time: 2.973 sec (0 m 2 s)
kernel32.dll
user32.dll
GetModuleHandleA
MessageBoxA
scanner name="AntiVir Workstation" application_version="2.1.10-36" signature_file_version="6.38.1.26">
<classification>TR/Delphi.Downloader.Gen]</classification>
<additional_info/>
</scanner>
<connection transportprotocol="TCP" remoteaddr="200.226.246.67" remoteport="80" protocol="HTTP" connectionestablished="1" socket="1664">
<http_data>
<http_cmd method="GET" url="/postcards/tensin.exe" http_version="HTTP/1.1"/>
</http_data>
</connection>
<scanner name="AntiVir Workstation" application_version="2.1.10-36" signature_file_version="6.38.1.26">
<classification>TR/Spy.Banker.Gen]</classification>
<additional_info/>
</scanner>
Cette attaque démontre - s'il le fallait encore - que contourner une passerelle de messagerie antivirus n'est somme toute pas si compliqué. En l'espèce le pirate a décomposé l'attaque en deux parties et deux binaires : un downloader innoffensif qui télécharge un binaire qui l'est lui beaucoup moins. Le downloader arrive par courriel, le Cheval de Troie, quant à lui, est chargé par HTTP. Si le pirate avait voulu échapper à un antivirus sur ce type de flux, il aurait pû utiliser un site HTTPS avec un self-signed certificate. Qui sait ce qu'un internaute curieux et non méfiant est prêt à accepter pour plaire à une inconnue…
“C'est une blague bien sûr !” © A. Montebourg.
Là je suis sérieux par contre…