User Tools

Site Tools


start:monster.com

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

start:monster.com [2006/12/29 09:43] (current)
Line 1: Line 1:
 +====== Monster.com ======
 +
 +===== 29 décembre 2006 =====
 +  * Monster sert bien involontairement de vecteur viral.
 +
 +==== L'​appât ====
 +  * Grand classique du genre, l'​appât se présente sous la forme d'un courriel :
 +{{ start:​monster-29122006-1.png }}
 +  * L'​internaute peu méfiant est invité à vite installé un nouvel outil s'il veut continuer à utiliser les services du site Monster.
 +
 +==== L'​hameçon ====
 +  * Moins classique, l'​hameçon se présente sous la forme d'un lien dans le courriel, lien qui ne pointe pas vers un formulaire de vol d'​identité mais vers un exécutable pour Windows : servicetoll2.exe.
 +  * Un "​strings"​ sur ce fichier éveille des doutes déjà bien installés : kernel32.dll,​ user32.dll permettent de faire quelques suppositions sur la véritable nature de cet utilitaire...
 +  * ClamAV (0.88.7/​2391) ne trouvant rien (??), un passage par les bacs à sable [[http://​www.cwsandbox.org|CWSandbox]] et [[http://​sandbox.norman.no|Live Sandbox Norman]] semble s'​imposer.
 +
 +
 +
 +==== Analyse ====
 +  * Commençons par les mauvaises nouvelles : ClamAV ne détecte pas le virus :
 +<code html>
 +<scanner name="​ClamAV"​ application_version="​0.88.2"​ signature_file_version="​2391">​
 +<​classification>​OK</​classification>​
 +</​code>​
 +  * La Sandbox Norman non plus :
 +<code html>
 +servicetool2.exe : Not detected by Sandbox (Signature: NO_VIRUS)
 +</​code>​
 +  * Mais le fichier en est bien un, ce que la lecture de la section VirusScan du rapport CWSandbox confirme :
 +<code html>
 +<​virusscan_section>​
 +<scanner name="​ClamAV"​ application_version="​0.88.2"​ signature_file_version="​2391">​
 +<​classification>​OK</​classification>​
 +<​additional_info/>​
 +</​scanner>​
 +<scanner name="​BDC/​Linux-Console"​ application_version="​7.0.2492"​ signature_file_version="​362459">​
 +<​classification>​DeepScan:​Generic.Malware.G!Sdldg.5BD379D9</​classification>​
 +<​additional_info/>​
 +</​scanner>​
 +<scanner name="​AntiVir Workstation"​ application_version="​2.1.9-20"​ signature_file_version="​6.37.0.81">​
 +<​classification>​TR/​Agent.32505</​classification>​
 +<​additional_info/>​
 +</​scanner>​
 +</​virusscan_section>​
 +</​code>​
 +  * Tout au plus notera t-on au passage que la version de ClamAV utilisée par CWSandbox date un peu (0.88.2 vs 0.88.7).
 +  * Les plus courageux trouveront {{start:​analysis.xml|ici}} le rapport complet d'​analyse de CWSandbox.
 +
 +
 +
 +
 +
  
start/monster.com.txt · Last modified: 2006/12/29 09:43 (external edit)