MAD: Informations » Hijacking: Antivirus XP 2008

Auteur	Sujet
¥ω₪h	#0 Fri 27 Jun 2008 (7:10)
Expert	Alex sur le Sunbelt Blog, dans un article intitulé: Hijacking Google rapporte une chose "amusante". Antivirus XP 2008, un faux logiciel de sécurité, perturbe la navigation sur certains sites à forte affluence. A son exécution, le faux logiciel dépose un fichier ayant un nom semi-aléatoire dans %windir%\system32. La génération des noms de fichiers se base sur une routine impliquant le type de volume et le numéro de série ce qui explique les différents noms affichés dans les rapports. Il est cependant possible d'isoler les masques: • Répertoire d'installation: %programfiles%\rhc*j0e* • Fichier droppé: %windir%\system32\phcj0e* Ci-dessous, la liste des DNS pouvant être détournés (Hijack). mac.com, nytimes.com, download.com, gamespot.com, partypoker.com, mediafire.com, geocities.com, megaupload.com, about.com, deviantart.com, yourfilehost.com, 56.com, apple.com, adobe.com, imagevenue.com, livejournal.com, mininova.com, redtube.com, craigslist.com, tinyurl.com, go.com, adultfriendfinder.com, skyrock.com, friendster.com, flickr.com, wordpress.com, youporn.com, imdb.com, amazon.com, photobucket.com, aol.com, hi5.com, ebay.com, rapidshare.com, orkut.com, blogger.com, facebook.com, wikipedia.org, microsoft.com, myspace.com, msn.com, live.com, yahoo.com, google, google.com Les "actions" pouvant être employées sur la page détournée: + GOOGLE + BAR + IDR_WARN Par exemple, lorsque les utilisateurs souhaitent visiter Google.com Des requêtes sont effectuées en background: http://www.malwareprotector2008.com/pr/item1.gif http://www.malwareprotector2008.com/pr/item2.gif http://www.malwareprotector2008.com/pr/item3.gif http://www.antivirusxp08.com/buy/ http://www.antivirusxp08.com/updates/check.html <pre> APP_VER=3.5.1.20 DATABASE_VER=3.5.1.20 SIGNATURES=60532 DATE=17/12/07 </pre> A noter que le user-agent du navigateur IE se voit ajouter la chaîne ; AntivirXP08; DNS: ANTIVIRUSXP08.COM : 85.255.120.115 NS1.ANTIVIRUSXP08.COM NS2.ANTIVIRUSXP08.COM Creation: 24-jun-2008 Updated: 24-jun-2008 Expiration: 24-jun-2009 _______________ « Let's try to subvert our brains, today. » SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Sun 29 Jun 2008 (8:55). »

Alex sur le Sunbelt Blog, dans un article intitulé: Hijacking Google rapporte une chose "amusante".
Antivirus XP 2008, un faux logiciel de sécurité, perturbe la navigation sur certains sites à forte affluence.

A son exécution, le faux logiciel dépose un fichier ayant un nom semi-aléatoire dans %windir%\system32. La génération des noms de fichiers se base sur une routine impliquant le type de volume et le numéro de série ce qui explique les différents noms affichés dans les rapports. Il est cependant possible d'isoler les masques:

• Répertoire d'installation: %programfiles%\rhc***j0e***
• Fichier droppé: %windir%\system32\*phc***j0e***

Ci-dessous, la liste des DNS pouvant être détournés (Hijack).

mac.com, nytimes.com, download.com, gamespot.com, partypoker.com, mediafire.com, geocities.com, 
megaupload.com, about.com, deviantart.com, yourfilehost.com, 56.com, apple.com, adobe.com, 
imagevenue.com, livejournal.com, mininova.com, redtube.com, craigslist.com, tinyurl.com, 
go.com, adultfriendfinder.com, skyrock.com, friendster.com, flickr.com, wordpress.com, 
youporn.com, imdb.com, amazon.com, photobucket.com, aol.com, hi5.com, ebay.com, rapidshare.com, 
orkut.com, blogger.com, facebook.com, wikipedia.org, microsoft.com, myspace.com, msn.com, 
live.com, yahoo.com, google, google.com

Les "actions" pouvant être employées sur la page détournée:
+ GOOGLE
+ BAR
+ IDR_WARN

Par exemple, lorsque les utilisateurs souhaitent visiter Google.com

Des requêtes sont effectuées en background:
http://www.malwareprotector2008.com/pr/item1.gif
http://www.malwareprotector2008.com/pr/item2.gif
http://www.malwareprotector2008.com/pr/item3.gif
http://www.antivirusxp08.com/buy/
http://www.antivirusxp08.com/updates/check.html

<pre>
APP_VER=3.5.1.20
DATABASE_VER=3.5.1.20
SIGNATURES=60532
DATE=17/12/07
</pre>

A noter que le user-agent du navigateur IE se voit ajouter la chaîne ; AntivirXP08;

DNS: ANTIVIRUSXP08.COM : 85.255.120.115
NS1.ANTIVIRUSXP08.COM
NS2.ANTIVIRUSXP08.COM
Creation: 24-jun-2008
Updated: 24-jun-2008
Expiration: 24-jun-2009

_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE

« Dernière édition par ¥ω₪h le Sun 29 Jun 2008 (8:55). »