Poisson d'avril... ou pas
Par Sylvain SARMEJEANNE, mardi 1 avril 2008 à 11:37 :: General :: #227 :: rss
Le ver Storm a l'habitude de profiter des dates ou des faits marquants pour envoyer du spam incitant ses victimes à exécuter des pièces jointes ou à se connecter à des sites malveillants (de type "drive-by-download" et/ou tentant d'exploiter des failles), dans le but d'accroitre encore un peu plus son réseau. On avait par exemple eu droit à une vague pour Halloween ou encore dernièrement pour la Saint-Valentin. Comme on pouvait s'y attendre, ce 1er avril n'a pas dérogé à la règle !
Cette fois-ci le spam se présente sous une forme très épurée avec seulement quelques mots et un lien vers une IP (plusieurs IP distinctes ont été relevées sur différents exemplaires du message) :
A l'arrivée sur cette page, l'utilisateur est tout de suite invité à télécharger un binaire funny.exe :
Deux autres binaires sont aussi "proposés" : foolsday.exe lorsque l'on clique sur le lien (binaire identique au précédent), et kickme.exe lorsque l'on clique sur l'image. A noter qu'aucun code d'exploitation n'est présent sur ces pages.
La détection de ces binaires par les éditeurs anti-virus est décevante ; sur les 17 anti-virus auxquels nous avons soumis ces malwares, seuls 6 les détectaient :
Analysons très rapidement le binaire foolsday.exe de façon automatisée pour déterminer son impact global sur le système infecté. Il commence par se recopier sous le nom C:\WINDOWS\aromis.exe :
Afin de rester permanent sur le système, il s'installe tout simplement dans une clé Run sous le nom aromis :
Le processus aromis.exe crée un nouveau fichier de configuration C:\WINDOWS\aromis.config :
Ce fichier contient le port UDP local à mettre en écoute ainsi qu'une liste de "peers" vers lesquels se connecter :
Afin que le malware puisse se jouer du pare-feu et communiquer tranquillement avec l'extérieur sans lever d'alerte à l'utilisateur, il utilise netsh afin de s'ajouter à la liste des processus autorisés :
Il utilise aussi w32tm afin de forcer la mise à jour de l'heure depuis le serveur de temps de Microsoft :
Côté réseau, on remarque une activité intense puisque le malware tente de se connecter à de nombreuses machines, dont une partie est listée ci-dessous :
De plus, deux ports TCP et UDP sont placés en écoute (on retrouve le port UDP du fichier de configuration) :
Au final, rien de bien spectaculaire dans cette mouture de Storm ! Une navigation vigilante de la part des internautes devrait, on l'espère, empêcher que ces binaires infectent un nombre important de systèmes.