Un spam est-il dangereux ? Attention !

Un spam est-il dangereux ? Peut-il contenir autre chose que du texte ou du contenu multimédia ? Est-ce qu’un lien dans un email peut référencer une page Web malveillante ? C’est que vous allez voir dans cet article, qui est la suite de la définition du spam. Il s’agit ici du spam de boite email, sur messagerie accessible par ordi, PC ou Mac.
L’année 2008 a été marqué par une forte augmentation des spams malveillants, référençant des sites Web piégés avec des programmes malveillants actifs. Plus précisément des virus et chevaux de Troie sont téléchargés et exécutés sur le PC du visiteur du site Web.

Vous faire envahir la boite mail par du spam c'est pénible. Mais un spam est-il dangereux ?

Les spams malveillants incitent à cliquer sur les liens

Pour répondre à la question « Un spam est-il dangereux ? », il faut faire attention aussi aux liens contenus dans l’email.

Après avoir envoyé les spams au plus grand nombre à travers le monde, les « spammers-pirates » ont pour but d’inciter un maximum de destinaires à cliquer sur les liens contenus dans les emails. Parmi les incitations à visiter les pages Web malveillantes : (les adresses Web des citations ont été maquillées et rendues inutilisables)

  • les actualités internationales sont autant d’occasions saisies par les pirates pour viser le plus grand
    nombre, ici provenant soi-disant de CNN :

CNN Alerts: My Custom Alert

President Bush withdraws from Iraq <http://www.cnn.com/2008/WORLD/XXX/index.html>
Sat, 9 Aug 2008 08:18:28 +0700
FULL STORY <http://henderson.com.XXX/cnnplus.html>

CNN International

Le premier lien ressemble à un blog public du portail de CNN, ouvert par un pirate pour que l’adresse donne confiance aux destinataires, et ainsi les piéger plus facilement.

  • Il existe d’autres formes de spam d’actualité, en particulier les élections présidentielles aux États-Unis sont une aubaine choisie par les « spammers-pirates » pour piéger un maximum de victimes dans le monde :

Astonishing! Please take a look

Obama ‘Airs’ His Criticism of John Edwards READ FULL STORY <http://wwwebtradeXXX.com/index97.html>

  • Nous avons aussi droit à une fausse mise à jour de sécurité de Windows XP et Windows Vista, tandis que Microsoft vient de sortir le « Service Pack 3 » de son système d’exploitation :

RE: ® Official UPDATE 2008!

Free UPDATE Windows XP,Vista <http://89.187.49.XXX/install.exe>
[…]
©2008 Microsoft | Unsubscribe | More Newsletters | Privacy
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

Cliquer sur un de ces liens amène l’internaute sur une page piégée d’un site Web.

Les sites Web piégés (une page Web)

Pour répondre à la question « Un spam est-il dangereux ? », l’idée qui vous vient sans doute à l’esprit est que le spam peut contenir un virus.

Il s’agit souvent au départ de sites Web légitimes et sains, piratés par la suite pour y ajouter une page contenant un code télé-chargeur (en JavaScript). C’est un petit programme inséré dans la page Web piratée, qui n’est pas nuisible en soi. Mais ici son rôle est de télécharger et exécuter un programme malveillant sur le PC du visiteur.

Pour augmenter encore le nombre de victimes, les pirates font en sorte que le visiteur n’ait rien à faire pour activer ces logiciels nuisibles : parfois l’infection démarre dès l’affichage de la page Web dans le navigateur. Ou alors ils bloquent le navigateur tant que le visiteur ne lance pas le téléchargement.

Dès que le propriétaire du site ou son hébergeur est prévenu de la présence de cette page indésirable, il doit la supprimer au plus vite. L’hébergeur risque aussi de fermer le site Web complétement, rendant toutes les pages inaccessibles aux internautes.

Pour augmenter la possibilité d’exécuter ce programme malveillant, une page Web peut contenir plusieurs codes télé-chargeurs, chacun essayant d’exploiter une faille de sécurité : si telle faille n’est pas exploitable sur tel ordi., la suivante peut l’être.

Les codes télé-chargeurs dans la page Web piégée

Les codes télé-chargeurs en JavaScript ne sont pas nuisibles par eux-mêmes, mais ils sont utilisés ici dans un but nuisible. Il ne s’agit pas de virus, ces petits programmes de
téléchargement ne pouvant pas se reproduire par eux-mêmes.
Certains codes de téléchargement sont cryptés pour être aussi indétectable que possible aux antivirus et autres logiciels de sécurité.
Quelques noms de code téléchargeur en JavaScript, parmi les réjouissances en circulation actuellement :

  • JS/Dldr.Agent.PV
  • JS/Dldr.Agent.cfc (celui-ci est entièrement crypté)
  • JS/Psyme.HO
  • JS/Dldr.Agent.PU
  • HTML/Silly.Gen
  • HTML/Dldr.Agent.afw (ici le cryptage remplace certains caractères).

S’il n’est pas bloqué par le logiciel antivirus, ce mécanisme de téléchargement permet d’installer sur la machine ciblée un virus, un cheval de Troie ou n’importe quel type de programme malveillant. Le logiciel antivirus peut aussi l’intercepter dans un deuxième temps, à son lancement.

Quelques virus et chevaux de Troie concernés

« TR/Crypt.XPACK.Gen », connu aussi sous le nom poétique « Trojan.Win32.Restarter.f », est une combinaison de virus et de cheval de Troie :

  • il se reproduit par la messagerie instantanée MSN Messenger, en s’envoyant aux contacts MSN de la victime
  • il ouvre une porte dérobée (backdoor) sur l’ordi. de la victime en attendant qu’un pirate en prenne le contrôle à distance
  • il a pour vocation d’inclure le PC victime dans un réseau de zombies appelé « Shadow bot ».

Quelques chevaux de Troie en circulation :

  • TR/Dldr.Agent.ytu.1
  • TR/Dldr.Small.aaky
  • TR/Small.BQN

Sur le PC de la victime ils sont chargés :

  • d’ouvrir une porte dérobée (backdoor) pour qu’un pirate en prenne le contrôle à distance,
  • ou de télécharger et d’exécuter n’importe quel programme malveillant, par exemple un relai de spams.

Ce ne sont pas des virus, même si les spams permettent de diffuser ces chevaux de Troie à grande échelle.

En conclusion vous voyez que la réponse à la question « Un spam est-il dangereux ? » est clairement oui, malheureusement.

Le pourriel sur le rachat de crédit et les logiciel de spam

Vous verrez en suivant ce lien, le pourriel peut porter sur le rachat de crédit. Et quels logiciels de spam les spammers utilisent pour pourrir votre boite aux lettres.

Infos complémentaires

Voici un autre article sur les dangers du spam nuisible. Il présente les principaux risques des pourriels malveillants : les malwares, les pages Web malveillantes, le phishing et les arnaques.