La génération de spams à l'aide de caractères ASCII (American Standard Code for Information Interchange) n'est pas une nouveauté en soi, mais certains analystes ont observé depuis quelques semaines une résurgence de "messages non sollicités" de ce type.

Même si ces emails présentent l'avantage de passer plus aisément les filtres anti-spams, ils sont aussi bien souvent difficilement lisibles et dépendants de l'interprétation des différents clients de messagerie, et donc d’une efficacité réduite.

On peut donc se demander ce qui motive les spammeurs et les poussent à réutiliser une technique obsolète et sans doute peu rentable. Ce sont peut-être de simples nostalgiques amoureux de "l'ASCII art". Cette technique qui permet de représenter un élément en utilisant uniquement les 255 caractères/symboles du code ASCII. Soit sous sa forme la plus simple, autrement appelée "emoticon" , soit de manière beaucoup plus complexe en créant des outils permettant de transcoder des éléments détaillés en images et en vidéos.

F-Secure présentait il y a quelques jours une annonce en provenance du forum de carding russophone Mazafaka pour un service de fourniture de "drops" : des mules qui permettent de réexpédier des colis contenant des marchandises achetées frauduleusement ou des produits contrefaits.

Le dernier cas en date en Français de recherches de ce type de mules date de la semaine dernière. Un email provenant d'une société baptisée TrustShippingComp, spécialisée dans le "transport", proposait ainsi un job à "40 euros le paquet renvoyé" :

Objet : Poste de directeur a la compagnie importante

La nouvelle compagnie perspective "TrustShippingCompany" - la societe de commerce globale vendant et livrant des produits differents comme l'equipement electrique, les cables, les parties automotrices, les systemes de conditionnement d'air, les pneus, les fourgonnettes, absorbers, couplings, les demarreurs, l'equipement de transport, le produit de base automoteur, aussi bien que d'autres produits comme les conseils de bois, flooring, le parquet, es meubles, les portes, les pieces de rechange, les marchandises chimiques. Notre compagnie realise la livraison en Grande-Bretagne, Canada, Nord et Amerique du Sud, Asie, Australie et Europe. Notre compagnie exige des membres du personnel pour etablir les livraisons a nos clients en Grande-Bretagne, Canada, Amerique, Asie et Europe. Il n'a pas d'importance si vous travaillez a plein temps ou non. C'est une position d'emploi a mi-temps, qui deviendrait constante pour les employes responsables et travailleurs. Pour votre avantage, vous serez capables a a choisi une methode de paiement de recevoir votre salaire. Nous vous paierons pour vos services etant notre representant. Nous vous offrons 40 euros pour chaque paquet. La compagnie prend toutes les charges et fournit le soutien informationnel complet. Votre emploi comme notre representant inclut:

1. La reception de la correspondance de notre compagnie et c'est des clients a sa/son adresse residentielle.
2. Les reportages a notre directeur. (chaque candidat sera inclus dans les listes d'un directeur)
3. L'expedition des articles recus selon les instructions de notre directeur. (Nous l'offre 40 EUR pour chaque paquet expedie.)
4. En remplissant dans les formes et les papiers comme indique dans les instructions de notre directeur (vous recevrez un e-mail avec les instructions pour chaque paquet).
5. Le fait d'expedier des paquets.

Cet emploi n'est pas difficile et ne prendra pas beaucoup de temps. Contactez-nous s'il vous plait si vous vous interessez a cette position d'emploi. Vous pouvez remplir la forme d'emploi de notre directeur et recevoir des renseignements supplementaires sur notre compagnie en visitant (www.trustshippingcomp.com), vous pouvez aussi envoyer votre CV avec l'instruction de votre: NOM:
PRENOM:
PAYS:
ADRESSE:
LA FERMETURE A GLISSIERE CODEE / POSTALE CODE:
VILLE:
TEL:
TEL MOBILE:
E-mail:

Contactez-nous s'il vous plait pour les renseignements supplementaires: Le nom : Bill Armstrong, Directeur

Site: www.trustshippingcomp.com
Courrier electronique: trustsippingcompanymail@gmail.com
Tel: +1-516-498-9372''

Il s'agit bien sûr d'une usurpation grossière du site Web de la société américano-norvégienne "American Shipping Company" :

L'utilisation de traducteurs automatiques réservent toujours bien des surprises ; ceux-ci ont donné une version "savoureuse" de notre code postal (ZIP CODE) : LA FERMETURE A GLISSIERE CODEE !! Yahoo Babelfish, Google Translate, Reverso et les autres principaux outils de traduction automatique que nous avons consultés ne se trompent pourtant pas sur ce terme.

Ces pirates n'ont donc visiblement pas intégré toutes les subtilités de la langue française. Cette erreur est presque aussi pathétique que les spams destinés aux "ventilateurs de tasse mondiale" (World Cup fans).

(Rédacteurs : Nicolas Collery - Sylvain Sarméjeanne - Fabien Périgaud ; Relecture : Thomas Gayet)

Introduction

Les attaques basées sur des pages Web légitimes modifiées, en incluant tout un lot de vulnérabilités spécifiques aux applications des postes clients (navigateurs, lecteur multimédias) s'inscrivent dans la durée et nécessitent du temps d'analyse.

Dernièrement, nos recherches concernant l'étude de vulnérabilités exploitées "dans la nature" nous ont mené vers le répertoire ouvert d'un site Web contenant quatre fichiers, dont nous allons maintenant partager l'analyse.

Lire la suite

Vous aviez peut-être reçu en Juillet (qui ne l'a pas reçu ?) le fameux courriel ayant pour objet un soit-disant problème de livraison d'un paquet UPS. Réjouissez-vous, la version francisée est arrivée ! :

La détection antivirale étant sensiblement meilleure et le langage utilisé laissant à désirer, on peut espérer que les utilisateurs ne se laisseront pas berner.

Le conflit aux enjeux complexes qui vient d'éclater au Caucase, et l'intervention militaire russe en Georgie qui fait suite aux tensions en Ossetie du Sud et en Abkhazie a été l'occasion de l'ouverture d'un second front sur le terrain numérique. Contrairement aux attaques qui ont ciblé l'Estonie, l'Ukraine et dans une moindre mesure les différentes attaques à caractère politique contres des sites gouvernementaux ou associatifs dont il est difficile de prouver l'implication d'un pouvoir étatique, ici la conjonction de l'intervention militaire et des cyber-attaques observées ou en cours donnent une vision intéressante des méthodes et des contre-mesures en action sur ce nouveau terrain.

Dès le 22 juillet 2008, et faisant suite à la violation de l'espace aérien géorgien par des avions de chasse russes, le site du président georgien Mikhail Saakashvili a fait l'objet d'une attaque DDoS et s'est retrouvé inaccessible durant 24 heures. José Nazario, expert chez Arbor Networks, a analysé l'activité réseau durant l'attaque et révélé qu'un message était accessible dans les flux (HTTP, SYN, ICMP) durant l'attaque : “win+love+in+Rusia”. Le site est d'ailleurs toujours inaccessible au moment de la rédaction de cette note.

Depuis, l'escalade militaire a été suivi du défacement du ministère des affaires étrangères georgien (ou le portrait de Mr Saakashvili faisait face à celui d'Hitler) ainsi que de celui de la banque nationale. De plus, plusieurs portails d'informations ont été rendus indisponibles suite à des attaques de type DDoS. Jart Armin, qui s'intéresse de près au trafic réseau lié à cette guerre évoque sur son blog un contrôle russe des points clés de l'infrastructure Web géorgienne :

the latest server routing map... shows the Russian based servers AS12389 ROSTELECOM, AS8342 RTCOMM, and AS8359 COMSTAR, controlling all traffic to Georgia’s key servers. For example here AS28751 CAUCASUS NET AS Caucasus Network Tbilisi, Georgia & AS20771 DeltaNet Autonomous System DeltaNet ltd 0179 Tbilisi Georgia.

Tandis que Gadi Evron n'y voit qu'une suite de phénomènes logiques en période de crises diplomatiques et indépendante du pouvoir en place.

Ces multiples attaques sont-elles coordonnées par le pouvoir central à Moscou ou le fait de groupuscules patriotiques isolés ? Difficile à dire à l'heure actuelle, la prudence s'impose et je me garderais bien d'avancer une hypothèse bancale même si pour le pouvoir géorgien le doute n'est plus permis :

"Georgia has been attacked by a formidable force, it is a brutal attack with the use of air force, tanks and even the trademark cyber attack."

Quoiqu'il en soit, il n'est pas fréquent de voir un pays limitrophe, en l'occurence l'Estonie, envoyer officiellement ses experts du CERT pour panser les plaies sur le terrain numérique, et encore moins voir un ministère des affaires étrangères contraint de faire ses annonces officielles à partir d'une plateforme Blogspot.

Voir également le blog de Renesys pour des compléments sur l'infrastructure géeorgienne et les enjeux en cours dans la région :

(...)What many people don't realize is that the cyber world is often built alongside the physical one. That is, those fiber optic cables that carry Internet traffic tend to follow the world's pipelines, bridges, and railroad tracks. Loss of Internet connectivity can therefore imply the physical destruction of vital pathways for trade.

Adobe a posté hier un avertissement sur son blog concernant un ver postant sur des sites web de réseaux sociaux des liens vers un site malveillant. Le site en question incite les utilisateurs à installer une nouvelle version de Flash Player, afin de visionner une vidéo des 10 meilleures actualités de CNN.

Le côté "social engineering" est cette fois-ci un peu plus poussé que lors des campagnes précédentes.
Le code source de la page révèle lui aussi des informations intéressantes, puisque ce ne sont pas moins de 9 codes d'exploitations pour des vulnérabilités connues qui s'y cachent. Et contrairement à la campagne précédente, ceux-ci contiennent une charge d'exploitation fonctionnelle, visant à faire installer automatiquement la présumée mise à jour de Flash.

Du côté des vulnérabilités exploitées, on retrouve quelques grands classiques, et une petite nouvelle :

• Vulnérabilités dans les lecteurs multimédias Real Player, GOM Player et NCT AudioFile2
• Vulnérabilité dans AOL SuperBuddy
• Vulnérabilités MS05-054, MS06-014 et MS06-057
• Vulnérabilité dans ADODB.Stream
• Enfin, la récente vulnérabilité dans Microsoft Access, dont l'exploitation massive était prévisible

La mise à jour proposée est quand à elle la dernière version du ver Storm, pour l'instant assez peu détectée lors d'une analyse antivirale.

L'analyse comportementale nous montre les caractéristiques habituelles du ver, telles que la copie vers "CbEvtSvc.exe" et l'enregistrement de celui-ci en tant que service :

Terminons cette rapide analyse en observant le binaire dans un désassembleur/débogueur. Le packer n'est pas connu par PeID, mais celui-ci se révèle n'être qu'une succession de boucles effectuant des opérations arithmétiques sur des portions de code :

Une fois ces quelques boucles passées, le code du malware apparaît en clair, et la véritable analyse peut commencer

La recommandation du jour sera la suivante : bien vérifier la provenance des mises à jour logicielles. En général, de telles mises à jours sont prises en charge directement au sein du logiciel, et ne sont pas distribuées sous la forme d'exécutables directement téléchargeables. Comme le recommande Adobe, préférez visiter le site officiel du constructeur pour obtenir les mises à jour, plutôt que de faire confiance aux pop-up intempestifs.

We started to receive spam that looked like:

JENNIFER LOPEZ EXTREMLY NAKED!!! http://****/bst/rel.php which in turn downloads a video.avi.exe. So far nothing special!

While loaded manually (after a double-click on it, in my Windows system), it installed a "Spyware"! oh, no?!

Luckily, it soon installed an Antivirus (a known rogue one of course, like many blogged or complained about).

During the process, it tried to get some more files and one of it puzzled me:

> GET /soft3/common/14.gif HTTP/1.1
> Range: bytes=0-
> User-Agent: Internet Explorer
> Connection: Keep-Alive

< Host: stat.av(xxxxxxx).com
< HTTP/1.1 206 Partial Content
< Server: nginx/0.6.26
< Date: Fri, 01 Aug 2008 05:31:54 GMT
< Content-Type: image/gif
< Content-Length: 1401498
< Last-Modified: Thu, 31 Jul 2008 17:16:03 GMT
< Content-Range: bytes 0-1401497/1401498
< Connection: Keep-Alive
< GIF89ad.d....5-":4&855++.-%.$#.#"..&$$.....<;,D:4H@.ID=JLFTNMVL9D(truncated)

Offline, I downloaded it:

This might be a lemur or some sort

Normal GIF file look-a-like. Nothing suspicious for the moment, except the question "why the hell an antivirus (even a rogue one) would need a picture of a lemur?".

In my Microsoft Windows XP SP2, I started XORSearch.exe with the following options:

What looks the most "readable" is the 0x95 key. I suspected that there would be an 'http' inside, but it would have been a good idea to check also for 'program'. Please refer to the PE-COFF files format, or for the collectors, to the original Microsoft.com text.

So let's double-check:

        C:\path_kivabien\XORSearch.exe -i 14.gif program
        Found XOR 95 position 1C38: program cannot be run in DOS mode....$
        Found XOR B5 position 1C38: PROGRAM

Bingo! we can spot the ASCII phrase: "!This program cannot be run in DOS mode."

Note to myself: recreate a similar tool in Python to avoid starting my VM, but big thanks to Didier anyway. Didier made another 'cool' tool called 'Translate' and available here.

Back to my Terminal:

Let's have a look at the decoded file:

Damn, the file doesn't start with 'MZ', soon followed by 'PE', one of the Windows file caracteristics... then let's look for it :

Gotcha! Now we have found the DOS Header "MZ"="4d 5a", followed by the DOS stub, between "MZ" (Mark Zbikowski) and "...DOS mode....$", then our "PE.."="50 45 00 00", at 0x3c away from the DOS Header. So at 0x1be5 + 0x3c = 0x1cb5.

No doubt, it is a Windows executable!

We now need to extract, because, if it doesn't start by the DOS Header, it's unlikely going to start.

Since we noticed that the DOS Header starts at 0x1be5, which some might not be comfortable with, we will convert it to its decimal value, then use dd (from the MAN page, dd -- convert and copy a file) that seems to be the appropriate tool:

We now have our executable ready.

It's a boy "named": e36e9fd88dbb712decc213b98a9d98b4, that weights 1.3Mb.
It's a pretty big baby!

Yesterday, the "baby" was not very well known by AVs, according to this relatively low (6 out of 34) VirusTotal AV detection rate. Our own "home-made" multi-AV scanning engine provided the same bad results: