MAD: Informations » Banco: ça banque illico !

Auteur	Sujet
¥ω₪h	#0 Thu 24 Jul 2008 (1:45)
Expert	Hier en début de soirée, un internaute nous a signalé une adresse suspecte via notre SecuGate. Il s'est avéré que plusieurs serveurs web ont été compromis afin de diffuser des programmes malveillants de la famille des Bancos en exploitant des versions de Joomla! vulnérables . L'adresse notifiée était la suivante: http://www.movens.com/**/Fotos_07-2008.php MOVENS.COM** (217.22.207.247:80/TCP) effectue une redirection automatique sur un site perso, également piraté. Redirection: http://studio100.free.fr/cache/Fotos.zip L'archive au format ZIP contient un programme nommé "Fotos.exe" (1ae7757be4c40f059a4fefab09b1e086f8f15330) écrit en Visual Basic et compilé le Mardi 22 Juillet 2008 à 03:50:36. (Détections: 10/35 (28.57%)). Une fois exécuté, ce downloader va récupérer, sur un serveur professionnel piraté, un fichier à l'adresse http://www.chinamedic.ch/wallpaper/img62.jpg DNS: CHINAMEDIC.CH (217.197.213.230:80/TCP) [217.197.208.0/20] ISP Solutions SA Genève, Suisse RAMSES.SIW.CH [213.242.101.196] SIW.SIW.CH [217.197.208.12] En réalité, "img62.jpg" n'est bien évidement pas une image mais une autre archive de type RAR SFX (14092dd9460dd806a23e48840e39299338a69174) qui a été déposée sur le serveur distant le 22 Juillet 2008 à 03:31:50 GMT et qui contient une multitude de fichiers (Trojan-Downloader, Backdoor, Bancos,...) ainsi qu'un script d'auto-exécution. ( Détection: 14/34 (41.18%)). L'archive ZIP "Fotos.zip", le programme "Fotos.exe", les pages internet, les réponses serveurs, les piratages des différents serveurs, ... tout semble avoir été bien coordonné et synchronisé, le timing est plutôt bon, ce qui laisse à penser que les auteurs n'en sont pas à leurs premiers méfaits du genre. Veillez à bien administrer vos sites personnels ou professionnels en appliquant les mises à jour, en vous informant par flux RSS spécialisés (comme par exemple: SecurityFocus, Secunia, etc...), et/ou en renforçant les mesures de sécurité existantes, de plus, n'oubliez pas de toujours faire en sorte d'indiquer comment contacter le responsable légal du site. edit: Mise à jour. Nouveau portail Joomla! piraté: POTOMACPORTFOLIOS.COM (205.178.145.65:80/TCP) L'archive http://potomacportfolios.com/cache/Fotos.zip contient le programme "Fotos.exe" (1d6b5e4f1025b39b976a6581b56acc3705df33a1) écrit en Visual Basic et compilé le Vendredi 25 Juillet 2008 à 03:35:32 (Détection: 3/35 (8.58%)) puis télécharge "img62.jpg" (cd4efbc4707fdb18b63f5d1afa67c8d5a63b8b34) (Détection: 10/34 (29.42%)) _______________ « Let's try to subvert our brains, today. » SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Fri 25 Jul 2008 (4:10). »

Hier en début de soirée, un internaute nous a signalé une adresse suspecte via notre SecuGate. Il s'est avéré que plusieurs serveurs web ont été compromis afin de diffuser des programmes malveillants de la famille des Bancos en exploitant des versions de Joomla! vulnérables .

L'adresse notifiée était la suivante:
http://www.movens.com/****/Fotos_07-2008.php

MOVENS.COM (217.22.207.247:80/TCP) effectue une redirection automatique sur un site perso, également piraté.
Redirection: http://studio100.free.fr/cache/Fotos.zip
L'archive au format ZIP contient un programme nommé "Fotos.exe" (1ae7757be4c40f059a4fefab09b1e086f8f15330) écrit en Visual Basic et compilé le Mardi 22 Juillet 2008 à 03:50:36. (Détections: 10/35 (28.57%)). Une fois exécuté, ce downloader va récupérer, sur un serveur professionnel piraté, un fichier à l'adresse http://www.chinamedic.ch/wallpaper/img62.jpg

DNS: CHINAMEDIC.CH (217.197.213.230:80/TCP)
[217.197.208.0/20] ISP Solutions SA Genève, Suisse
RAMSES.SIW.CH [213.242.101.196]
SIW.SIW.CH [217.197.208.12]

En réalité, "img62.jpg" n'est bien évidement pas une image mais une autre archive de type RAR SFX (14092dd9460dd806a23e48840e39299338a69174) qui a été déposée sur le serveur distant le 22 Juillet 2008 à 03:31:50 GMT et qui contient une multitude de fichiers (Trojan-Downloader, Backdoor, Bancos,...) ainsi qu'un script d'auto-exécution. ( Détection: 14/34 (41.18%)).

L'archive ZIP "Fotos.zip", le programme "Fotos.exe", les pages internet, les réponses serveurs, les piratages des différents serveurs, ... tout semble avoir été bien coordonné et synchronisé, le timing est plutôt bon, ce qui laisse à penser que les auteurs n'en sont pas à leurs premiers méfaits du genre.

Veillez à bien administrer vos sites personnels ou professionnels en appliquant les mises à jour, en vous informant par flux RSS spécialisés (comme par exemple: SecurityFocus, Secunia, etc...), et/ou en renforçant les mesures de sécurité existantes, de plus, n'oubliez pas de toujours faire en sorte d'indiquer comment contacter le responsable légal du site.

edit: Mise à jour.
Nouveau portail Joomla! piraté: POTOMACPORTFOLIOS.COM (205.178.145.65:80/TCP)

L'archive http://potomacportfolios.com/cache/Fotos.zip contient le programme "Fotos.exe" (1d6b5e4f1025b39b976a6581b56acc3705df33a1) écrit en Visual Basic et compilé le Vendredi 25 Juillet 2008 à 03:35:32 (Détection: 3/35 (8.58%)) puis télécharge "img62.jpg" (cd4efbc4707fdb18b63f5d1afa67c8d5a63b8b34) (Détection: 10/34 (29.42%))

_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE

« Dernière édition par ¥ω₪h le Fri 25 Jul 2008 (4:10). »