Le spam en 2008 : 4. des sites Web malveillants, piégés

Cet été a été marqué par une forte augmentation des spams malveillants, référençant des sites Web piégés avec des programmes malveillants actifs. Plus précisément des virus et chevaux de Troie sont téléchargés et exécutés sur le PC du visiteur du site Web.

Cette page est la suite de : le spam vante les imitations de la mode française et étrangère.

Les spams malveillants incitent à cliquer sur les liens

Après avoir envoyé les spams au plus grand nombre à travers le monde, les « spammers-pirates » ont pour but d’inciter un maximum de destinaires à cliquer sur les liens contenus dans les emails. Parmi les incitations à visiter les pages Web malveillantes : (les adresses Web des citations ont été maquillées et rendues inutilisables)

  • les actualités internationales sont autant d’occasions saisies par les pirates pour viser le plus grand
    nombre, ici provenant soi-disant de CNN :

CNN Alerts: My Custom Alert

President Bush withdraws from Iraq <http://www.cnn.com/2008/WORLD/XXX/index.html>
Sat, 9 Aug 2008 08:18:28 +0700
FULL STORY <http://henderson.com.XXX/cnnplus.html>

CNN International

Le premier lien ressemble à un blog public du portail de CNN, ouvert par un pirate pour que l’adresse donne confiance aux destinataires, et ainsi les piéger plus facilement.

  • Il existe d’autres formes de spam d’actualité, en particulier les élections présidentielles aux États-Unis sont une aubaine choisie par les « spammers-pirates » pour piéger un maximum de victimes dans le monde :

Astonishing! Please take a look

Obama ‘Airs’ His Criticism of John Edwards READ FULL STORY <http://wwwebtradeXXX.com/index97.html>

  • Nous avons aussi droit à une fausse mise à jour de sécurité de Windows XP et Windows Vista, tandis que Microsoft vient de sortir le « Service Pack 3 » de son système d’exploitation :

RE: ® Official UPDATE 2008!

Free UPDATE Windows XP,Vista <http://89.187.49.XXX/install.exe>
[…]
©2008 Microsoft | Unsubscribe | More Newsletters | Privacy
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

Cliquer sur un de ces liens amène l’internaute sur une page piégée d’un site Web.

Les sites Web piégés (une page Web)

Il s’agit souvent au départ de sites Web légitimes et sains, piratés par la suite pour y ajouter une page contenant un code téléchargeur (en JavaScript). C’est un petit programme
inséré dans la page Web piratée, qui n’est pas nuisible en soi. Mais ici son rôle est de télécharger et exécuter un programme malveillant sur le PC du visiteur.
Pour augmenter encore le nombre de victimes, les pirates font en sorte que le visiteur n’ait rien à faire pour activer ces logiciels nuisibles : parfois l’infection démarre dès l’affichage de la page Web dans le navigateur.
Ou alors ils bloquent le navigateur tant que le visiteur ne lance pas le téléchargement.
Dès que le propriétaire du site ou son hébergeur est prévenu de la présence de cette page indésirable, il doit la supprimer au plus vite. L’hébergeur risque aussi de fermer le site Web complétement, rendant toutes les pages inaccessibles aux internautes.
Pour augmenter la possibilité d’exécuter ce programme malveillant, une page Web peut contenir plusieurs codes téléchargeurs, chacun essayant d’exploiter une faille de sécurité : si telle faille n’est pas exploitable sur tel ordi., la suivante peut l’être.

Les codes téléchargeurs dans la page Web piégée

Les codes téléchargeurs en JavaScript ne sont pas nuisibles par eux-mêmes, mais ils sont utilisés ici dans un but nuisible. Il ne s’agit pas de virus, ces petits programmes de
téléchargement ne pouvant pas se reproduire par eux-mêmes.
Certains codes de téléchargement sont cryptés pour être aussi indétectable que possible aux antivirus et autres logiciels de sécurité.
Quelques noms de code téléchargeur en JavaScript, parmi les réjouissances en circulation actuellement :

  • JS/Dldr.Agent.PV
  • JS/Dldr.Agent.cfc (celui-ci est entièrement crypté)
  • JS/Psyme.HO
  • JS/Dldr.Agent.PU
  • HTML/Silly.Gen
  • HTML/Dldr.Agent.afw (ici le cryptage remplace certains caractères).

S’il n’est pas bloqué par le logiciel antivirus, ce mécanisme de téléchargement permet d’installer sur la machine ciblée un virus, un cheval de Troie ou n’importe quel type de programme malveillant. Le logiciel antivirus peut aussi l’intercepter dans un deuxième temps, à son lancement.

Quelques virus et chevaux de Troie concernés

« TR/Crypt.XPACK.Gen », connu aussi sous le nom poétique « Trojan.Win32.Restarter.f », est une combinaison de virus et de cheval de Troie :

  • il se reproduit par la messagerie instantanée MSN Messenger, en s’envoyant aux contacts MSN de la victime
  • il ouvre une porte dérobée (backdoor) sur l’ordi. de la victime en attendant qu’un pirate en prenne le contrôle à distance
  • il a pour vocation d’inclure le PC victime dans un réseau de zombies appelé « Shadow bot ».

Quelques chevaux de Troie en circulation :

  • TR/Dldr.Agent.ytu.1
  • TR/Dldr.Small.aaky
  • TR/Small.BQN

Sur le PC de la victime ils sont chargés :

  • d’ouvrir une porte dérobée (backdoor) pour qu’un pirate en prenne le contrôle à distance,
  • ou de télécharger et d’exécuter n’importe quel programme malveillant, par exemple un relai de spams.

Ce ne sont pas des virus, même si les spams permettent de diffuser ces chevaux de Troie à grande échelle.

Lire la suite : Les Logiciels de Spam et le crédit auto, moto et immobilier.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *