start:anatomie_d_une_attaque_virale
Differences
This shows you the differences between two versions of the page.
| — |
start:anatomie_d_une_attaque_virale [2007/04/23 18:59] (current) |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ====== Anatomie d'une attaque virale ====== | ||
| + | |||
| + | * 23 avril 2007 | ||
| + | * J'ai reçu ce lundi cette jolie carte postale électronique (eCard en bon english) : | ||
| + | |||
| + | {{ start:juliana.png }} | ||
| + | |||
| + | * Etant d'un naturel curieux et non méfiant<sup>1</sup>, je clique sur le lien, avide de savoir ce que me veut cette Juliana que je ne connais pas<sup>2</sup>. A ma grande déception ce n'est pas un joli minois qui apparait alors mais cette pop-up : | ||
| + | |||
| + | {{ start:juliana-1.png }} | ||
| + | |||
| + | * Fouchtra ! Un fichier binaire... Cela devient suspicieux. Appelons ClamAV à la rescousse : | ||
| + | <file> | ||
| + | yom@yom-laptop:/home/virlab/labo$ clamscan -v cartaodeamor5487.exe | ||
| + | Scanning cartaodeamor5487.exe | ||
| + | cartaodeamor5487.exe: OK | ||
| + | |||
| + | ----------- SCAN SUMMARY ----------- | ||
| + | Known viruses: 111194 | ||
| + | Engine version: 0.90.2 | ||
| + | Scanned directories: 0 | ||
| + | Scanned files: 1 | ||
| + | Infected files: 0 | ||
| + | Data scanned: 0.10 MB | ||
| + | Time: 2.676 sec (0 m 2 s) | ||
| + | yom@yom-laptop:/home/virlab/labo$ | ||
| + | </file> | ||
| + | |||
| + | * Je pourrais me contenter de ce diagnostic rassurant mais ClamAV, malgré d'indéniables qualités (dont celle d'être un des seuls antivirus en GPL pour plateformes Linux), n'est pas infaillible. | ||
| + | * Par expérience plus que par compétence (le désassemblage d'exécutables Windows est une corde qui manque, parfois cruellement, à mon arc) un strings lève pas mal de lièvres. Dans le cas qui nous intéresse, on y trouve notamment ceci : | ||
| + | <file> | ||
| + | ZYYd | ||
| + | c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://ocarteiro.click21.com.br/democartao.php?cat=AB1 | ||
| + | c:\windll.exe | ||
| + | http://www.felicidadeinstantanea.com/postcards/tensin.exe | ||
| + | c:\windll.exe | ||
| + | c:\windll2.exe | ||
| + | c:\windll2.exe | ||
| + | </file> | ||
| + | |||
| + | * La première URL pointe sur un service de... carte électronique en ligne ! Rien a priori de bien méchant et le code fourni dans la carte ne mène à rien. | ||
| + | * Etant d'un naturel curieux et non méfiant<sup>1</sup>, je télécharge le binaire tensin.exe pointé par la deuxième URL. Un p'tit coup de ClamAV là encore ne révèle rien de particulier (ce qui n'est vraiment pas bon signe) : | ||
| + | <file> | ||
| + | yom@yom-laptop:/home/virlab/labo$ clamscan -v tensin.exe | ||
| + | Scanning tensin.exe | ||
| + | tensin.exe: OK | ||
| + | |||
| + | ----------- SCAN SUMMARY ----------- | ||
| + | Known viruses: 111396 | ||
| + | Engine version: 0.90.2 | ||
| + | Scanned directories: 0 | ||
| + | Scanned files: 1 | ||
| + | Infected files: 0 | ||
| + | Data scanned: 2.76 MB | ||
| + | Time: 2.973 sec (0 m 2 s) | ||
| + | </file> | ||
| + | * Par acquis de conscience les deux binaires sont soumis à [[http://www.cwsandbox.org/|CWSandBox]] pour analyse. | ||
| + | * Cela n'empêche pas un petit strings sur ce tensin.exe. On y trouve entre autres : | ||
| + | <file> | ||
| + | kernel32.dll | ||
| + | user32.dll | ||
| + | GetModuleHandleA | ||
| + | MessageBoxA | ||
| + | </file> | ||
| + | * Coup de bol : CWSandBox renvoie rapidement ses résultats d'analyse. Pour le premier binaire : | ||
| + | <file> | ||
| + | scanner name="AntiVir Workstation" application_version="2.1.10-36" signature_file_version="6.38.1.26"> | ||
| + | <classification>TR/Delphi.Downloader.Gen]</classification> | ||
| + | <additional_info/> | ||
| + | </scanner> | ||
| + | </file> | ||
| + | * les doutes se confirment : | ||
| + | <file> | ||
| + | <connection transportprotocol="TCP" remoteaddr="200.226.246.67" remoteport="80" protocol="HTTP" connectionestablished="1" socket="1664"> | ||
| + | <http_data> | ||
| + | <http_cmd method="GET" url="/postcards/tensin.exe" http_version="HTTP/1.1"/> | ||
| + | </http_data> | ||
| + | </connection> | ||
| + | </file> | ||
| + | * Tout comme pour le second : | ||
| + | <file> | ||
| + | <scanner name="AntiVir Workstation" application_version="2.1.10-36" signature_file_version="6.38.1.26"> | ||
| + | <classification>TR/Spy.Banker.Gen]</classification> | ||
| + | <additional_info/> | ||
| + | </scanner> | ||
| + | </file> | ||
| + | |||
| + | * Nous sommes donc en présence d'un //bête// Cheval de Troie dont la raison d'être est de piquer vos données bancaires pour les envoyer par mail à un pirate. | ||
| + | |||
| + | * Cette attaque démontre - s'il le fallait encore - que contourner une passerelle de messagerie antivirus n'est somme toute pas si compliqué. En l'espèce le pirate a décomposé l'attaque en deux parties et deux binaires : un //downloader// innoffensif qui télécharge un binaire qui l'est lui beaucoup moins. Le //downloader// arrive par courriel, le Cheval de Troie, quant à lui, est chargé par HTTP. Si le pirate avait voulu échapper à un antivirus sur ce type de flux, il aurait pû utiliser un site HTTPS avec un //self-signed certificate//. Qui sait ce qu'un internaute curieux et non méfiant est prêt à accepter pour plaire à une inconnue... | ||
| + | |||
| + | |||
| + | ---- | ||
| + | |||
| + | - "C'est une blague bien sûr !" (c) A. Montebourg. | ||
| + | - Là je suis sérieux par contre... | ||
| + | |||
start/anatomie_d_une_attaque_virale.txt · Last modified: 2007/04/23 18:59 (external edit)
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Noncommercial-Share Alike 3.0 Unported
