Une propagation virale par courriel est en cours depuis hier. Connu sous différents noms tels que Worm/Ntech.G (Antivir), Win32/Cutwail!generic (eTrust) ou BackDoor.Bulknet.60 (DrWeb), le virus se présente notamment sous la forme d'un courriel peu sympathique pour Bill Gates et Angelina Jolie, et propose en pièce jointe un programme exécutable portant le nom game.exe ou game.zip d'une taille de 21 ko :

Détecté hier à 16h30 (GMT+2) par seulement 9 solutions antivirales sur 32 avec l'échec remarquable des principaux antivirus du marché, ce virus se compose de deux "rootkits" et d'un "downloader". Logiquement, il devrait être stoppé par votre politique de filtrage de messagerie : si ce n'est pas l'anti-spam qui le marque ou le supprime, un courriel contenant directement un fichier exécutable (ou encapsulé dans un fichier archive ZIP) sera logiquement détruit ou mis en quarantaine, voire, dans le pire des scénarios, bloqué par le client de messagerie lui-même ...

Mise à jour : Ce matin à 9h30 (GMT+2), le virus est désormais détecté par 20 antivirus sur 32.

... utilise toujours les mêmes techniques, mais la combine du moment joue sur la crainte d'avoir été filmé a son insu, et de retrouver sa bobine en vidéo sur YouTube :

Sur les pages infectées, on peut constater un simple ajout du logo YouTube, et un nouveau binaire bien sûr nommé video.exe proposé au téléchargement :

A bientôt pour la prochaine version ?

The web swarms with free webmail providers. You can create a free email address in nearly any country you would need or want to. The data you are providing to the register vary depending on the provider.

You are usually asked to give your nickname or existing email address, your first and last names, age, location, a secret question/answer twosome in case you forget your password, and then it's over - you just have to valid the registration by entering the captcha word.

A captcha (or Completely Automated Public Turing test to tell Computers and Humans Apart) is a weird-looking text string appearing in weird colors and generously stuffed with camouflage dots, stripes and curves. You usually have to submit it so that the system knows you're a human and not a bot (yeah-yeah, we know it can be bypassed - but that's a different topic :-p )

Now it seems that some providers possess a good sense of humor when it comes to choose the words they use for their captcha:

Of course, this provider is located in a country where computer fraud is a rather palpitating issue.

As some readers ask for it, here is the English version of our previous post about the Storm worm.

Since July, we have been seeing several mutations of the Zhelatin/Storm Worm/Gang (as F-secure named them). The last one appeared as an email announcing your inscription to a Web site (chats, MP3, Job Search, etc.):

If you follow the link, you will find a malicious Web page and will be asked to download, this time, your "Secure Login Applet":

Of course it is a malware, and at the time of the writing of this post, the binary is only detected by 6 antiviral solutions out of 15 tested (Note: this is now better). But have a look at the Web page source:

So when decoding / running it quickly (thanks to caffeine-monkey) you obtain this:

Which seems to be the exploit code for an old Microsoft Windows Media Player vulnerability:
(Ref. Lexsi 6652) : "Microsoft Media Player Plug-in with Non-Microsoft Internet Browsers Code Execution Vulnerability" (CAN-2006-0005).

The first part following the second unescape function is the payload. A quick analysis:

The malware load the "urlmon.dll" library.

Then, the malware download a new file ("file.exe") from the infected Web site using a "urlmon.dll" function, and write it to disk at "C:\U.exe".

Finally, it executes the downloaded file.

The dropper is detected by 2 antiviral solutions out of 15 (Note: this is now better). (Note: IP addresses and long strings have been removed or cut)

Depuis le mois de Juillet, pas une semaine ne se passe ou presque sans que nous ayons droit à une "mutation" du virus Zhelatin / Storm (voir la précédente). La dernière en date se présente sous la forme d'un courriel vous annonçant la bonne inscription à un service en ligne (salons de discussion, recherche d'emplois, site MP3, etc.) :

Bien sur, quand on clique le lien, on tombe invariablement sur une page Web piégée (Javascript cherchant à exploiter un dépassement de tampon pour faire télécharger un dropper (C:\U.exe), peut-être en rapport avec une faille Windows Media Player, mais le fichier malicieux semble souvent absent), et une proposition de télécharger, cette fois-ci, votre "applet de connexion sécurisée" :

Bien sur c'est un malware, et au moment de la rédaction de ce billet, le binaire proposé n'est détecté que par 6 solutions antivirales sur 15 testées (et le dropper par 2 d'entre elles) : Comme d'habitude (et c'est une lapalissade), il ne faut pas suivre ce type de sollicitations ...

** Mise à jour **
La vulnérabilité utilisé par le ver est la Réf Lexsi (Ref. Lexsi 6652) : "Microsoft Media Player Plug-in with Non-Microsoft Internet Browsers Code Execution Vulnerability (MS06-006) "

Microsoft vient de publier ses traditionnels correctifs mensuels. Les principaux produits ou composants impactés ce mois-ci sont Internet Explorer, Windows Vista, Excel, la librairie GDI, Media player, Virtual PC et Virtual Server.

Six bulletins sont qualifiés de critiques et permettent d'exécuter du code arbitraire sur les systèmes vulnérables :
MS07-042 : Une vulnérabilité dans les services XML Core pouvant être exploitée via une page web malicieuse (Ref. Lexsi 8925).
MS07-043 : Une vulnérabilité dans l'automatisation OLE pouvant être exploitée via une page web malicieuse (Ref. Lexsi 8926).
MS07-044 : Trois vulnérabilités dans Excel pouvant être exploitées via un fichier Excel Workspace (XLW) malicieusement formé (Ref. Lexsi 8927).

MS07-045 : Trois vulnérabilités dans des composants ActiveX et dans Internet Explorer pouvant être exploitées via une page web malicieuse (Ref. Lexsi 8928).

MS07-046 : Une vulnérabilité dans le moteur de rendu d'image de Windows (le retour de la GDI) pouvant être exploitée via un fichier image malicieusement formé (Ref. Lexsi 8929).

MS07-050 : Une vulnérabilité dans l'implémentation du standard VML pouvant être exploitée via une page web malicieuse (Ref. Lexsi 8933).

Trois bulletins sont qualifiés d'importants et permettent d'exécuter du code arbitraire sur les systèmes vulnérables :
MS07-047 : Deux vulnérabilités dans le traitement des fichiers de "skin" (extension wmz ou wmd) par Windows Media Player pouvant être exploitées via des fichier "skin" malicieusement formés (Ref. Lexsi 8930).

MS07-048 : Trois vulnérabilités dans trois composants ("widgets") de Microsoft Windows Vista pouvant être exploitées selon la nature de chaque composant (dont flux RSS malicieux) (Ref. Lexsi 8931).

MS07-049 : Une vulnérabilité dans Microsoft Virtual PC et Virtual Server permettant de sortir d'un système "guest" (exécution de code sur le système "host" ou sur les autres systèmes "guest" (Ref. Lexsi 8932).

Back in the beginning of the 70s, phone lines and phone operators were not as secure as they can be nowadays.

Moreover, taking a phone and sending calls was very expensive. Of course, as for every new technology, there were people involved in trying to understand it (and you can imagine how hard it was, Google wasn't a friend you could ping at that time) ... And also people involved in trying to get it for free. These people were called "phreakers".

The slang "phreaker" is derived from "phone" and "freak". A famous phreaker was John Draper, aka Captain Crunch. He was the first person in the world to notice that the whistle offered by Cap'n Crunch cereals boxes were producing a perfect 2600 Hertz tone.

This tone, when blown into some phone lines, would identify one as a phone line operator, and giving him possibilities like giving free international calls. The process was widely spread amongst the phreaker's community, and it became what phreakers are still calling the "Blue Box".

Using computers or whatever could produce a 2600Hz frequency on the phone, the phreakers were calling an international toll-free number, sending the 2600Hz, and then hourray, they were able to compose another number and call it for free !

The golden years of phreaking were the 80s, used widely to send data via the first computer modems, or to call friends internationally. Different boxes appeared : the Beige Box, the Black Box, and many other...

Anyway, what people are knowing less is the story of Joe Engressia.<br><br>Joe Engressia, back in 1957, was a small blind eight-years old kid, skilled with perfect pitch. He was always whistling around, and quickly got interested in phones. One day, whistling on the phone, he discovered he was resetting the phone line when whistling a certain frequency. He called an operator, and explained the problem. It was the first ever "Blue Box" system.

Joe, aka Joybubbles, aka Joe The Whistler, has inspired a lot of phreakers, including Captain Crunch. He was born May 25, 1949, in Richmond, Virginia, USA. In the date 60s he was caught by law enforcement, charged with malicious mischief and given a suspended sentence and quickly abandoned phreaking.

An article in Esquire magazine provides more information about Joe and the "Blue Box" : http://www.lospadres.info/thorg/lbb.htm

Joe studied scriptures and philosophy and got a ministerial certificate from what he called a "community of spiritual seekers" in Florida.

But Joe was more than this funny kid whistling around, he was a true inspiration for many. Sexually abused as a child, he reverted to childhood in the end of the 80s and lived the rest of his life saying he was five. He spent all his time with kids, sharing songs and poetry, also...by phone. He ran a one-man nonprofit support organization for people rediscovering and reexperiencing childhood, called "We Won’t Grow Up". He was giving readings at the local library and setting up phonecalls to terminally ill children around the world.

Joe left us some days ago, but will remain in the heart of the computer geeks and phreakers community.

---

Joe's Wikipedia page : http://en.wikipedia.org/wiki/Joe_Engressia

Le nom d'une chaîne de magasins britanniques de revente de matériel Apple a été usurpé dans une tentative récente de recrutement de mules.

Le site légitime de Next Level Ltd a été dupliqué sur un domaine récemment déposé avec les coordonnées postales de la société, mais avec une adresse email AOL : nextlevel-ltd.com. Une page PHP "/job.php" a été ajoutée au site originel, et propose ces annonces de travail à temps partiel frauduleuses :

Le numéro de téléphone de contact fourni sur le site malveillant a été modifié par rapport à l'original. Le SOCA pourra ainsi se renseigner sur le numéro "20 8133 2803", potentiellement détenu par le(s) scammeur(s). Le site est hébergé sur une IP appartenant à un hébergeur turc et une large campagne de spams de promotion de ce site a été identifiée.

La qualité des sites "vitrines" crédibilisant les campagnes de recrutement de mules s'améliore de plus en plus. Nous vous conseillons évidemment de ne jamais répondre à ce type de sollicitations par email.