MAD: Informations » SPAM: Fake PornTube

Auteur	Sujet
¥ω₪h	#0 Fri 20 Jun 2008 (6:57)
Expert	Tôt aujourd'hui, le laboratoire F-Secure a remarqué une forte augmentation du nombre d'e-mails qui circulent avec toutes sortes de sujets intéressants, pas vraiment différents de ceux utilisés par le dernier Storm. Jusqu'à présent, les sujets interceptés sont les suivants: "White House hit by lightning, catches fire", "Italy knocked out of Euro 2008" ou encore "Nokia unveils revolutionary new phone design?". Si vous êtes curieux, vous pouvez consulter la liste des sujets. Les emails contiennent un lien pointant sur différents sites compromis, lesquels ont tous l'apparence d'une page Porntube. Une fois le chargement de la page terminé, l'utilisateur est interpelé par un faux message d'avertissement lui indiquant qu'un composant est manquant pour pouvoir visionner les vidéos proposées. Le fichier qui est téléchargé est un cheval de troie capable d'envoyer en mass des emails. La liste des sites compromis est assez conséquente, l'éditeur anti-virus explique avoir été en mesure d'identifier 74 sites différents et très peu ont été corrigés depuis. Une chose qui n'est pas vraiment normale à propos de cette affaire est que le fichier à télécharger video.exe a été vu pour la première fois il y a deux jours. Pourquoi essayeraient-ils d'envoyer des spams pour promouvoir un fichier qui est déjà détecté ? Source: Lots of subjects and one video Bien que le fichier est hébergé dans les mêmes domaines auxquels le lien du spam fait référence, il se connecte à une adresse IP située à Beijing en Chine à partir duquel le pirate est en mesure d'afficher les statistiques des ordinateurs infectés. Source: Malicious Spam Related to False Porntube Page Le laboratoire Panda, quant à lui, introduit un DIY que nous avions déjà remarqué mais sans l'apercevoir dans un état fonctionnel. Chose étonnante, le créateur ne semble pas très gêné par les traces de son identité qu'il a laissé derrière lui, une remontée d'information dans le cadre d'une enquête semble tout à fait réalisable. http://61.*.230./index.php http://61.*.230./load.php http://61.*.230./test.php http://61.*.230./login.php http://61.*.230./functions.php http://61.*.230./config.php http://61.*.230./install.php http://61.*.230./stat.php etc... Après quelques minutes, un élément nous a troublé, la présence de ce malware: http://61..230./exe.exe* détecté en tant que "Trojan.PWS.Tanspy" et qui d'après les informations contenues dans le binaire, aurait été codé sur une application d'origine russe. En outre, il se connecte pour transmettre les informations qu'il a dérobées sur un serveur basé à Honk Hong. Nous avions déjà rencontré ce fichier un mois avant, précisément. Origine: http://lexus**.com/update2.exe DNS: LEXUS*.COM [IP: 119.42.14.] NS: NS1.LEXUS*.COM, NS2.LEXUS*.COM Enregistrement: 11 Avril 2008, PUBLICDOMAINREGISTRY Propriétaire: Renta (hknont@inbox.ru) Résident: Alger, 423433 Code Pays : DZ (Algerie) Requete: Mardi 20 Mai 2008 à 22:59:27 Taille: 127 192 octets Compilateur: Microsoft VC++ 6.0 MD5: 8bae959b950367c077d3994d42148f77 SHA1: 4f3244e1807255cf5a76dcd1a97aaeaa5cf289dc On es en mesure de se s'interroger: Que fait précisément ce fichier sur ce serveur ?* Les méthodes utilisées sont basées sur le comportement humain. Optez pour une attitude responsable, jouez la carte de la prudence. A la réception de vos emails, même si vous êtes pressé par vos impératifs journaliers, le temps que vous "perdez" n'est pas inutilement gâché comparé au temps que vous perdriez à vous désinfecter. _______________ « Let's try to subvert our brains, today. » SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Fri 20 Jun 2008 (7:02). »

Tôt aujourd'hui, le laboratoire F-Secure a remarqué une forte augmentation du nombre d'e-mails qui circulent avec toutes sortes de sujets intéressants, pas vraiment différents de ceux utilisés par le dernier Storm.

Jusqu'à présent, les sujets interceptés sont les suivants: "White House hit by lightning, catches fire", "Italy knocked out of Euro 2008" ou encore "Nokia unveils revolutionary new phone design?". Si vous êtes curieux, vous pouvez consulter la liste des sujets.

Les emails contiennent un lien pointant sur différents sites compromis,
lesquels ont tous l'apparence d'une page Porntube.

Une fois le chargement de la page terminé, l'utilisateur est interpelé par un faux message d'avertissement lui indiquant qu'un composant est manquant pour pouvoir visionner les vidéos proposées. Le fichier qui est téléchargé est un cheval de troie capable d'envoyer en mass des emails. La liste des sites compromis est assez conséquente, l'éditeur anti-virus explique avoir été en mesure d'identifier 74 sites différents et très peu ont été corrigés depuis. Une chose qui n'est pas vraiment normale à propos de cette affaire est que le fichier à télécharger video.exe a été vu pour la première fois il y a deux jours. Pourquoi essayeraient-ils d'envoyer des spams pour promouvoir un fichier qui est déjà détecté ?

Source: Lots of subjects and one video

Bien que le fichier est hébergé dans les mêmes domaines auxquels le lien du spam fait référence, il se connecte à une adresse IP située à Beijing en Chine à partir duquel le pirate est en mesure d'afficher les statistiques des ordinateurs infectés.

Source: Malicious Spam Related to False Porntube Page

Le laboratoire Panda, quant à lui, introduit un DIY que nous avions déjà remarqué mais sans l'apercevoir dans un état fonctionnel. Chose étonnante, le créateur ne semble pas très gêné par les traces de son identité qu'il a laissé derrière lui, une remontée d'information dans le cadre d'une enquête semble tout à fait réalisable.

http://61.***.230.**/index.php
http://61.***.230.**/load.php
http://61.***.230.**/test.php
http://61.***.230.**/login.php
http://61.***.230.**/functions.php
http://61.***.230.**/config.php
http://61.***.230.**/install.php
http://61.***.230.**/stat.php
etc...

Après quelques minutes, un élément nous a troublé, la présence de ce malware: http://61.***.230.**/exe.exe détecté en tant que "Trojan.PWS.Tanspy" et qui d'après les informations contenues dans le binaire, aurait été codé sur une application d'origine russe. En outre, il se connecte pour transmettre les informations qu'il a dérobées sur un serveur basé à Honk Hong.

Nous avions déjà rencontré ce fichier un mois avant, précisément.
Origine: http://lexus****.com/update2.exe
DNS: LEXUS****.COM [IP: 119.42.14*.*]
NS: NS1.LEXUS****.COM, NS2.LEXUS****.COM
Enregistrement: 11 Avril 2008, PUBLICDOMAINREGISTRY
Propriétaire: Renta (hknont@inbox.ru)
Résident: Alger, 423433
Code Pays : DZ (Algerie)
Requete: Mardi 20 Mai 2008 à 22:59:27
Taille: 127 192 octets
Compilateur: Microsoft VC++ 6.0
MD5: 8bae959b950367c077d3994d42148f77
SHA1: 4f3244e1807255cf5a76dcd1a97aaeaa5cf289dc

On es en mesure de se s'interroger: Que fait précisément ce fichier sur ce serveur ?

Les méthodes utilisées sont basées sur le comportement humain. Optez pour une attitude responsable, jouez la carte de la prudence. A la réception de vos emails, même si vous êtes pressé par vos impératifs journaliers, le temps que vous "perdez" n'est pas inutilement gâché comparé au temps que vous perdriez à vous désinfecter.

_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE

« Dernière édition par ¥ω₪h le Fri 20 Jun 2008 (7:02). »