Une nouvelle vague de spams ayant pour but l'incitation au téléchargement du célèbre malware Storm a débuté depuis hier. Celle-ci tente cette fois-ci d'appâter l'utilisateur en lui proposant de visionner une vidéo d'un tremblement de terre ayant eu récemment lieu en Chine :

Bien évidemment, un clic sur cette "vidéo" (n'étant en fait qu'une simple image dotée d'un lien hypertexte) provoque le téléchargement du malware. Mais un rapide coup d'oeil au code source de la page nous indique qu'un fichier "ind.php" est chargé en tant que script Javascript. Celui-ci est doublement obfusqué, et se charge d'instancier des contrôles ActiveX vulnérables afin d'exploiter des failles connues, dans le but de provoquer le téléchargement automatique d'un binaire si l'utilisateur ne s'est pas laissé duper par la vidéo. Les créateurs de Storm semble ainsi revenir aux anciennes méthodes, les dernières campagnes se fiant uniquement à la crédibilité des internautes.
Les vulnérabilités exploitées sont les suivantes :

• Vulnérabilités MS05-052, MS06-014 et MS06-057 dans Internet Explorer
• Vulnérabilités dans les lecteurs multimédias Real Player, GOM Player et NCT AudioFile2
• Vulnérabilité dans Baidu Search Bar
• Vulnérabilité dans AOL SuperBuddy

Toutefois, une analyse des codes malveillants inclus dans le script nous a montré que l'exploitation des vulnérabilités conduit au téléchargement du fichier http://myhost/file.php. Bourde des pirates ou simple test ? L'avenir nous le dira peut-être.

Le malware téléchargé n'étant encore que très peu reconnu par les solutions antivirales, soyez prudents et ne suivez pas les liens dans les courriels dont la provenance n'est pas sûre.