Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
1 juillet 2011 5 01 /07 /juillet /2011 23:07

Courriel reçu le 01/07/2011 03:48 :

 

Objet :

Video intimo de Deborah Secco com jogador Roger cai na internet! Assista com exclusividade o video que pode retirar a atriz da novela Insensato Coracao

 

Texte :

http://noticias.terra.com.br/mundo/noticias/0-OI5211810-EI8141-00-Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net.html-0.11290

 

 

En fait, le vrai lien est :

http://videos.urgentes.hrcfoundation .org/noticias/terra.com.br/videos/Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net-html.php?0.11290

 

L'accès à ce lien provoque un téléchargement d'un fichier nommé : Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net-AVI.exe

 

Voici ce que donne Kaspersky 2011 :

 

KAV20011_videos.urgentes.hrcfoundation.org_010711.jpg

 

Si l'on force l'accès à l'URL, avec IE9, alors c'est la vérification automatique du téléchargement par Windows Defender qui émet une alerte (cf. bas de l'écran de la capture).

 

Pour les autres navigateurs :

- Firefox 5 : aucune alerte

- Safari 5.0.5 : aucune alerte

- Opéra 11.11 : alerte AVG (cf. ci-dessous)

 

- Netcraft : aucune alerte, mais ce n'est effectivement pas un site de hameçonnage...

- Web Of Trust : réputation "faible", mais pour autant, l'accès à l'URL a été possible. Donc protection inefficiente.

- Webreputation.net : score de 80/100, donc plutôt positif...

- Google SafeBrowsing : site "sûr" !

 

webreputation.net_010711.jpg

 

------------------------------------------------------------------------------------------------------------------------------------ 

A propos du site lui-même :

 

FF5_apache_WOT_010711.jpg

 

Avec un Apache 2.0.59, le composant ModDAV, et surtout un PHP 4.4.5, il n'y a peu de doute sur le fait qu'il était relativement aisé de compromettre ce serveur.

 

Niveau adresse IP, la situation est assez simple :

> videos.urgentes.hrcfoundation.org
Serveur :   resolver1.opendns.com
Address:  208.67.222.222

Réponse ne faisant pas autorité :
Nom :    videos.urgentes.hrcfoundation.org
Address:  67.215.77.132

 

Pas de CDN ou de BotNet d'hébergement...

 

Pourtant, tout n'est pas aussi simple. La même résolution DNS chez SFR donne :

 

> videos.urgentes.hrcfoundation.org
Serveur :   UnKnown
Address:  192.168.1.254

Réponse ne faisant pas autorité :
Nom :    videos.urgentes.hrcfoundation.org
Address:  210.125.88.6

 

Ceci est confirmé par l'analyse Robtex :

http://www.robtex.com/dns/videos.urgentes.hrcfoundation.org.html#summary

 

Si l'on accède au serveur webp ar son IP, le même message avec la version Apache/PHP apparaît :

http://210.125.88.6./noticias/terra.com.br/

 

Donc il y avait visiblement un problème de synchro DNS (OpenDNS ayant renvoyé une information erronée).

 

 

Cette IP :

- n'a pas "mauvaise réputation" chez CISCO Senderbase :

http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=210.125.88.6&action%3ASearch=Search

- n'est pas listée à malwareurl.com (tout comme le domaine)

- n'est pas listée à malwaredomains.com (tout comme le domaine)

 

Au niveau géographique, il semble que l'on soit en Korée :

http://whois.domaintools.com/210.125.88.6

 

 

----------------------------------------------------------------------------------------------------------------------

 

Côté antivirus, 24 moteurs (version ligne de commande) sur 42 détectent le fichier exécutable :

Antivirus Version Last update Result
AhnLab-V3 2011.07.02.00 2011.07.01 Downloader/Win32.Genome
AntiVir 7.11.10.197 2011.07.01 TR/Spy.284160.29
Antiy-AVL 2.0.3.7 2011.07.01 -
Avast 4.8.1351.0 2011.07.01 Win32:Delf-PUI
Avast5 5.0.677.0 2011.07.01 Win32:Delf-PUI
AVG 10.0.0.1190 2011.07.01 Downloader.Banload.BLBR
BitDefender 7.2 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
CAT-QuickHeal 11.00 2011.07.01 -
ClamAV 0.97.0.0 2011.07.01 -
Commtouch 5.3.2.6 2011.07.01 -
Comodo 9244 2011.07.01 TrojWare.Win32.TrojanDownloader.Dadobra.~JN12
DrWeb 5.0.2.03300 2011.07.01 Trojan.DownLoader3.60177
eSafe 7.0.17.0 2011.06.29 -
eTrust-Vet 36.1.8421 2011.07.01 -
F-Prot 4.6.2.117 2011.07.01 -
F-Secure 9.0.16440.0 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
Fortinet 4.2.257.0 2011.07.01 -
GData 22 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
Ikarus T3.1.1.104.0 2011.07.01 Trojan-Downloader.SuspectCRC
Jiangmin 13.0.900 2011.07.01 -
K7AntiVirus 9.107.4863 2011.07.01 -
Kaspersky 9.0.0.837 2011.07.01 Trojan-Downloader.Win32.Genome.ckxf
McAfee 5.400.0.1158 2011.07.01 Generic.bfr!cg
McAfee-GW-Edition 2010.1D 2011.07.01 Heuristic.BehavesLike.Win32.Obfuscated.B
Microsoft 1.7000 2011.07.01 TrojanDownloader:Win32/Banload.YT
NOD32 6258 2011.07.01 Win32/TrojanDownloader.Banload.QFU
Norman 6.07.10 2011.07.01 W32/Downloader.FRGW
nProtect 2011-07-01.01 2011.07.01 Trojan-Downloader/W32.Genome.284160.B
Panda 10.0.3.5 2011.07.01 Suspicious file
PCTools 8.0.0.5 2011.07.01 -
Prevx 3.0 2011.07.01 Medium Risk Malware Downloader
Rising 23.64.04.03 2011.07.01 -
Sophos 4.67.0 2011.07.01 Mal/Behav-180
SUPERAntiSpyware 4.40.0.1006 2011.07.01 -
Symantec 20111.1.0.186 2011.07.01 -
TheHacker 6.7.0.1.246 2011.07.01 -
TrendMicro 9.200.0.1012 2011.07.01 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.01 TROJ_BANLOAD.VTG
VBA32 3.12.16.4 2011.07.01 -
VIPRE 9743 2011.07.01 Trojan.Win32.Generic!BT
ViRobot 2011.7.1.4544 2011.07.01 Trojan.Win32.S.Downloader.284160.E
VirusBuster 14.0.105.2 2011.07.01 -
MD5: e84f3c2db8e8d88cad78dc9e18509d55
SHA1: f7c4189f039adb06bb0d89490db721d807d007f9
SHA256: e230a757a2dfbb1f1d081db96e323079b3aa9136b236347237443cdddbcdf71f
File size: 284160 bytes
Scan date: 2011-07-01 21:24:39 (UTC)

 

-----------------------------------------------------------------------------------------------------------------------------------

 

Concernant le fichier exécutable, l'analyse ThreatExpert confirme qu'il s'agit d'un BotNet avec un canal de contrôle :

http://www.threatexpert.com/report.aspx?md5=e84f3c2db8e8d88cad78dc9e18509d55

 

Le canal de contrôle serait donc : 218.201.202.76 , port 80

 

-----------------------------------------------------------------------------------------------------------------------------------

 

Concernant le canal de contrôle lui-même :

 

Nmap scan report for 218.201.202.76
Host is up (0.40s latency).
Not shown: 962 closed ports
PORT      STATE    SERVICE
7/tcp     open     echo
9/tcp     open     discard
13/tcp    open     daytime
19/tcp    open     chargen
21/tcp    open     ftp
22/tcp    open     ssh
23/tcp    open     telnet
25/tcp    filtered smtp
37/tcp    open     time
79/tcp    open     finger
80/tcp    open     http
111/tcp   open     rpcbind
512/tcp   open     exec
513/tcp   open     login
514/tcp   open     shell
515/tcp   open     printer
587/tcp   open     submission
898/tcp   open     sun-manageconsole
3306/tcp  open     mysql
5987/tcp  open     wbem-rmi
5988/tcp  open     wbem-http
6112/tcp  open     dtspc
7100/tcp  open     font-service
8080/tcp  open     http-proxy
8082/tcp  open     blackice-alerts
8083/tcp  open     us-srv
8084/tcp  open     unknown
8085/tcp  open     unknown
9010/tcp  open     sdr
9090/tcp  open     zeus-admin
9999/tcp  open     abyss
32771/tcp open     sometimes-rpc5
32772/tcp open     sometimes-rpc7
32773/tcp open     sometimes-rpc9
32774/tcp open     sometimes-rpc11
32775/tcp open     sometimes-rpc13
32776/tcp open     sometimes-rpc15
32785/tcp open     unknown
Device type: general purpose
Running: Sun Solaris 10
OS details: Sun Solaris 10
Network Distance: 27 hops

 

 

Le nombre de ports ouverts est assez impressionnant. Et d'autre part, un système d'exploitation Solaris 10 (donc assez récent) n'est relativement pas courant, comme "serveur" de BotNet.

La fonction "proxy", sur le port 8080, n'accepte visiblement pas la navigation de tout le monde.

Partager cet article

Repost0

commentaires