Overblog
Suivre ce blog Administration + Créer mon blog
12 juillet 2011 2 12 /07 /juillet /2011 01:15

 

 

Capture_MSG_outlook.JPG

 

En fait, le lien pointe sur:

http://199.16.130. 102/~vlallala/vbv2012/authentification/VerifierVisa/

 

NB : le lien ne semble plus marcher actuellement...

 

Bilan du filtrage par les navigateurs :

- Firefox 5: alerte "page contrefaite"

- IE9, avec module TrendMicro BrowserGuard: aucune alerte

- Safari 5 : aucune alerte

- Opéra 11.50 : aucune alerte

 

Pour les filtrages additionnels:

- WOT : site avec mauvaise réputation

- Netcraft : risque maximum (barre toute rouge)

- Senderbase.org : aucune alerte (http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=&action%3ASearch=Search)

 

Quelques captures :

url_FF5_alerte_110711.JPG

 

url_IE9_ok_110711.JPG

 

 

Concernant l'adresse IP hébergeant le hameçonnage :

http://whois.domaintools.com/199.16.130.102

C'est Canadien !

 

Et d'après Robtex, cette IP faite partie d'une infra mutualisée, avec déjà des signalements en liste noire :

http://www.robtex.com/ip/199.16.130.102.html#blacklists

Partager cet article

Repost0
11 juillet 2011 1 11 /07 /juillet /2011 23:10

NB: for non English speaking people, use a translator such as translate.google.com

 

Once I had (last!) received my invitation to Google+, I started to play around with it. I will not describe here my feeling about the concept by itself, but will go straight to the point: the privacy.

 

One of my contacts told me he could see some others contacts, on my Google+ profile, that he does not know, and that were said to be "In Philippe's circles"...

 

Wow, I realized he was seeing some of my contacts, personal and/or professional ones, and I did not say Yes for that first, to my knowledge...

 

At once, I went to Google+ settings (on the upper right corner), and then: "Profile and privacy":

setting_privacy_Google-plus_110711.jpg

 

It is true to say that Google offers a mean to understand how you own profile will be seen by others: just enter their name, and click Preview.

 

Then came the real issue: yes my contacts, mixed pro/perso, were visible to anybody, on my profile... Is there a particular setting for that? fortunately, yes!

 

Click on "edit profile", then on the area where your contacts are being displayed to others, on your own profile:

 

contact_visibility_default_Google-plus_flou_110711.jpg

 

 

No, you do read right... by default, all your contacts will be prompted to "anyone on the web", and above all, your last activity (people adding you to circles), will also be there...

 

In a nutshell, I do recommend you to:

- either choose the circles of people you accept to be shown on your profile, or just disable the "show people"

- disable the "show people who have added you to circles", if you think you'll be part of confidential circles...

 

Partager cet article

Repost0
3 juillet 2011 7 03 /07 /juillet /2011 23:51

Even if you use a NAS to store your files, it does not prevent from deleting files by yourself, as a mistake.

 

Okay so let's open the box, and pick a HDD up. Then use a USB to SATA adaptor, and plug it on a computer.

 

On Win 7, here is what disk management says:

 

gest_disk_Win7_030711.JPG

 

A bit strange partitioning, isn't it?

 

In fact, there are "only" 455.38GB, out of 500, that are really available as usable storage on the NAS. 10 GB are just not even allocated.

 

Windows does not recognize the file system. Well, either they used a proprietary one, or a pure Linux one...

 

Let's give BackTrack a try. BTW, welcome BT5 :)

 

Qnap_BT5_disk_040711.JPG

 

Ermf... Ext2, ext3 and... ext4!

 

While I'd indeed suggest to consider ext4 as a good FS solution, in this case, it will complicate a bit the investigation: most of the forensics tools were built for ext2 and 3.

 

I wanted to try ext3undel, see http://projects.izzysoft.de/trac/ext3undel, on BT5:

- wget http://apt.izzysoft.de/ubuntu/dists/generic/index.php?file=ext3undel_0.1.6-izzy1_all.deb

- then dpkg -i ext3undel_0.1.6-izzy1_all.deb

 

But I don't know for now if this tools suite can be used on ext4, meaning without destroying the data.

 

More to come later on...

 

Update 1:

 

First results using the Gabi tools suite:

- lots of BMP files recovered, almost all of the same size, but none of them usable...

gabi_rec_bmp_050711.jpg

 

- lots of zip files also... but still none usable

 

- lots of jpg fies, ah... most of them are okay, but they lost their names (only numbers right now):

gabi_rec_jpg_050711.jpg

 

Will try others tools... since photographers don't like JPG files as they loose data information (describing the picture)....

Partager cet article

Repost0
1 juillet 2011 5 01 /07 /juillet /2011 23:07

Courriel reçu le 01/07/2011 03:48 :

 

Objet :

Video intimo de Deborah Secco com jogador Roger cai na internet! Assista com exclusividade o video que pode retirar a atriz da novela Insensato Coracao

 

Texte :

http://noticias.terra.com.br/mundo/noticias/0-OI5211810-EI8141-00-Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net.html-0.11290

 

 

En fait, le vrai lien est :

http://videos.urgentes.hrcfoundation .org/noticias/terra.com.br/videos/Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net-html.php?0.11290

 

L'accès à ce lien provoque un téléchargement d'un fichier nommé : Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net-AVI.exe

 

Voici ce que donne Kaspersky 2011 :

 

KAV20011_videos.urgentes.hrcfoundation.org_010711.jpg

 

Si l'on force l'accès à l'URL, avec IE9, alors c'est la vérification automatique du téléchargement par Windows Defender qui émet une alerte (cf. bas de l'écran de la capture).

 

Pour les autres navigateurs :

- Firefox 5 : aucune alerte

- Safari 5.0.5 : aucune alerte

- Opéra 11.11 : alerte AVG (cf. ci-dessous)

 

- Netcraft : aucune alerte, mais ce n'est effectivement pas un site de hameçonnage...

- Web Of Trust : réputation "faible", mais pour autant, l'accès à l'URL a été possible. Donc protection inefficiente.

- Webreputation.net : score de 80/100, donc plutôt positif...

- Google SafeBrowsing : site "sûr" !

 

webreputation.net_010711.jpg

 

------------------------------------------------------------------------------------------------------------------------------------ 

A propos du site lui-même :

 

FF5_apache_WOT_010711.jpg

 

Avec un Apache 2.0.59, le composant ModDAV, et surtout un PHP 4.4.5, il n'y a peu de doute sur le fait qu'il était relativement aisé de compromettre ce serveur.

 

Niveau adresse IP, la situation est assez simple :

> videos.urgentes.hrcfoundation.org
Serveur :   resolver1.opendns.com
Address:  208.67.222.222

Réponse ne faisant pas autorité :
Nom :    videos.urgentes.hrcfoundation.org
Address:  67.215.77.132

 

Pas de CDN ou de BotNet d'hébergement...

 

Pourtant, tout n'est pas aussi simple. La même résolution DNS chez SFR donne :

 

> videos.urgentes.hrcfoundation.org
Serveur :   UnKnown
Address:  192.168.1.254

Réponse ne faisant pas autorité :
Nom :    videos.urgentes.hrcfoundation.org
Address:  210.125.88.6

 

Ceci est confirmé par l'analyse Robtex :

http://www.robtex.com/dns/videos.urgentes.hrcfoundation.org.html#summary

 

Si l'on accède au serveur webp ar son IP, le même message avec la version Apache/PHP apparaît :

http://210.125.88.6./noticias/terra.com.br/

 

Donc il y avait visiblement un problème de synchro DNS (OpenDNS ayant renvoyé une information erronée).

 

 

Cette IP :

- n'a pas "mauvaise réputation" chez CISCO Senderbase :

http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=210.125.88.6&action%3ASearch=Search

- n'est pas listée à malwareurl.com (tout comme le domaine)

- n'est pas listée à malwaredomains.com (tout comme le domaine)

 

Au niveau géographique, il semble que l'on soit en Korée :

http://whois.domaintools.com/210.125.88.6

 

 

----------------------------------------------------------------------------------------------------------------------

 

Côté antivirus, 24 moteurs (version ligne de commande) sur 42 détectent le fichier exécutable :

Antivirus Version Last update Result
AhnLab-V3 2011.07.02.00 2011.07.01 Downloader/Win32.Genome
AntiVir 7.11.10.197 2011.07.01 TR/Spy.284160.29
Antiy-AVL 2.0.3.7 2011.07.01 -
Avast 4.8.1351.0 2011.07.01 Win32:Delf-PUI
Avast5 5.0.677.0 2011.07.01 Win32:Delf-PUI
AVG 10.0.0.1190 2011.07.01 Downloader.Banload.BLBR
BitDefender 7.2 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
CAT-QuickHeal 11.00 2011.07.01 -
ClamAV 0.97.0.0 2011.07.01 -
Commtouch 5.3.2.6 2011.07.01 -
Comodo 9244 2011.07.01 TrojWare.Win32.TrojanDownloader.Dadobra.~JN12
DrWeb 5.0.2.03300 2011.07.01 Trojan.DownLoader3.60177
eSafe 7.0.17.0 2011.06.29 -
eTrust-Vet 36.1.8421 2011.07.01 -
F-Prot 4.6.2.117 2011.07.01 -
F-Secure 9.0.16440.0 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
Fortinet 4.2.257.0 2011.07.01 -
GData 22 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
Ikarus T3.1.1.104.0 2011.07.01 Trojan-Downloader.SuspectCRC
Jiangmin 13.0.900 2011.07.01 -
K7AntiVirus 9.107.4863 2011.07.01 -
Kaspersky 9.0.0.837 2011.07.01 Trojan-Downloader.Win32.Genome.ckxf
McAfee 5.400.0.1158 2011.07.01 Generic.bfr!cg
McAfee-GW-Edition 2010.1D 2011.07.01 Heuristic.BehavesLike.Win32.Obfuscated.B
Microsoft 1.7000 2011.07.01 TrojanDownloader:Win32/Banload.YT
NOD32 6258 2011.07.01 Win32/TrojanDownloader.Banload.QFU
Norman 6.07.10 2011.07.01 W32/Downloader.FRGW
nProtect 2011-07-01.01 2011.07.01 Trojan-Downloader/W32.Genome.284160.B
Panda 10.0.3.5 2011.07.01 Suspicious file
PCTools 8.0.0.5 2011.07.01 -
Prevx 3.0 2011.07.01 Medium Risk Malware Downloader
Rising 23.64.04.03 2011.07.01 -
Sophos 4.67.0 2011.07.01 Mal/Behav-180
SUPERAntiSpyware 4.40.0.1006 2011.07.01 -
Symantec 20111.1.0.186 2011.07.01 -
TheHacker 6.7.0.1.246 2011.07.01 -
TrendMicro 9.200.0.1012 2011.07.01 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.01 TROJ_BANLOAD.VTG
VBA32 3.12.16.4 2011.07.01 -
VIPRE 9743 2011.07.01 Trojan.Win32.Generic!BT
ViRobot 2011.7.1.4544 2011.07.01 Trojan.Win32.S.Downloader.284160.E
VirusBuster 14.0.105.2 2011.07.01 -
MD5: e84f3c2db8e8d88cad78dc9e18509d55
SHA1: f7c4189f039adb06bb0d89490db721d807d007f9
SHA256: e230a757a2dfbb1f1d081db96e323079b3aa9136b236347237443cdddbcdf71f
File size: 284160 bytes
Scan date: 2011-07-01 21:24:39 (UTC)

 

-----------------------------------------------------------------------------------------------------------------------------------

 

Concernant le fichier exécutable, l'analyse ThreatExpert confirme qu'il s'agit d'un BotNet avec un canal de contrôle :

http://www.threatexpert.com/report.aspx?md5=e84f3c2db8e8d88cad78dc9e18509d55

 

Le canal de contrôle serait donc : 218.201.202.76 , port 80

 

-----------------------------------------------------------------------------------------------------------------------------------

 

Concernant le canal de contrôle lui-même :

 

Nmap scan report for 218.201.202.76
Host is up (0.40s latency).
Not shown: 962 closed ports
PORT      STATE    SERVICE
7/tcp     open     echo
9/tcp     open     discard
13/tcp    open     daytime
19/tcp    open     chargen
21/tcp    open     ftp
22/tcp    open     ssh
23/tcp    open     telnet
25/tcp    filtered smtp
37/tcp    open     time
79/tcp    open     finger
80/tcp    open     http
111/tcp   open     rpcbind
512/tcp   open     exec
513/tcp   open     login
514/tcp   open     shell
515/tcp   open     printer
587/tcp   open     submission
898/tcp   open     sun-manageconsole
3306/tcp  open     mysql
5987/tcp  open     wbem-rmi
5988/tcp  open     wbem-http
6112/tcp  open     dtspc
7100/tcp  open     font-service
8080/tcp  open     http-proxy
8082/tcp  open     blackice-alerts
8083/tcp  open     us-srv
8084/tcp  open     unknown
8085/tcp  open     unknown
9010/tcp  open     sdr
9090/tcp  open     zeus-admin
9999/tcp  open     abyss
32771/tcp open     sometimes-rpc5
32772/tcp open     sometimes-rpc7
32773/tcp open     sometimes-rpc9
32774/tcp open     sometimes-rpc11
32775/tcp open     sometimes-rpc13
32776/tcp open     sometimes-rpc15
32785/tcp open     unknown
Device type: general purpose
Running: Sun Solaris 10
OS details: Sun Solaris 10
Network Distance: 27 hops

 

 

Le nombre de ports ouverts est assez impressionnant. Et d'autre part, un système d'exploitation Solaris 10 (donc assez récent) n'est relativement pas courant, comme "serveur" de BotNet.

La fonction "proxy", sur le port 8080, n'accepte visiblement pas la navigation de tout le monde.

Partager cet article

Repost0
29 juin 2011 3 29 /06 /juin /2011 00:07

To those whom may be concerned by such a migration... I'm gonna give here a few hints to avoid, or fix, a potential Cyrus-Imap crash while upgrading from Debian lenny to Squeeze.

 

What is the configuration I'm talking about?

Debian Lenny, fully patched except Cyrus, which packages had been kept back (ie: no automatic update of Cyrus with APT), to be more accurate:

- cyrus-common-2.2 2.2.13-14+lenny3  (to be upgraded to: 2.2.13-19+squeeze1)

- Cyrus Imap Berkeley DB 4.2 (to be upgraded to: 4.7)

 

First, a good read, for general culture regarding Cyrus Imap:

http://www.ibiblio.org/oswg/oswg-nightly/oswg/en_US.ISO_8859-1/articles/exchange-replacement-howto/exchange-replacement-howto/x284.html

and:

http://www.gradstein.info/software/how-to-recover-from-cyrus-when-you-have-some-db-errors/

 

Then Isuggest you to read this, it may help you if you are using or upgrading from a particular version of Cyrus:

http://cyrusimap.web.cmu.edu/docs/cyrus-imapd/2.4.0/install-upgrade.php

They often say that Cyrus' index files need to be reconstructed. This will be important later on.

 

In fact, here is the bug you may face while upgrading from Cyrus Lenny to Cyrus Squeeze:

http://www.mail-archive.com/pkg-cyrus-imapd-debian-devel@lists.alioth.debian.org/msg01388.html

Warning: this may also happen even if you did select the main Cyrus packages to be kept back in APT! Cyrus-Imap may not restart after global Squeeze upgrade!

 

As you can see, there is a problem that is not said to be fixed before the future Debian stable!

You may try the script they gave, but it did not really helped me out.

 

 

After all of that, Step 0:

- Check that there is no imapd process still running, even if you used /etc/init.d/cyrus2.2 stop !

step 1:

- check what version of Cyrus libs you are using: ldd  /usr/sbin/ctl_mboxlist

Update the db4.x_util tool, accordingly, with APT.

Step 2:

- check what file format of cyrus mailboxes.db file you have: file mailboxes.db

It has to be coherent with the Cyrus' conf files. Change the conf files accordingly, if needed.

Step 3:

- compare the version of Cyrus components/database :

diff /usr/lib/cyrus/cyrus-db-types.active /usr/lib/cyrus/cyrus-db-types.txt

If there are differences, update the file types.active with the new settings (from types.txt).

Step 4:

- backup, then move/delete Cyrus db files, generaly located in /var/lib/cyrus (mailboxes.db, recover.db, ...)

Step 5:

- check that you have the last version of Cyrus Imap: apt-show-versions cyrus2.2

Step 6:

start Cyrus! and watch it rebuilding its working folder, and the most important file: mailboxes.db...

 

Hope this helps.

Last, in case of, I suggest you to read: http://www.gradstein.info/software/how-to-recover-from-cyrus-when-you-have-some-db-errors/

And: http://www.afp548.com/article.php?story=20040824063737872

 

Partager cet article

Repost0
23 juin 2011 4 23 /06 /juin /2011 15:13

Message reçu le 20 juin à 6h09 :

 

 

Vous avez reçu un nouveau message privé.
Cliquez ici pour lire votre message.

Ce message a été généré automatiquement

Crédit Agricole 2011

 

 

En fait, le lien pointe sur : http://www.seko-gyoseishoshi. net/.credit-agricole.fr/

 

Ce lien est toujours actif, plus de 72h après une des campagnes de diffusion du courriel contrefait.

 

Au niveau filtrage navigateur :

- IE 9 : aucune alerte

- Firefox 5 : aucune alerte

- Opéra 11.11 : aucune alerte

- Safari 5.0.5 : aucune alerte

- Chromium 0.9.58.471 : aucune alerte.

Module Netcraft : aucune alerte.

 

 

Voici ce que donne la page contrefaite :

site_contrefait_C-Agri_230611.jpg

 

 

Pour mieux comprendre ce qu'il se passe, faisons un accès à la ressource "index", avec capture des requêtes HTTP :

 

RQ_http_seko-gyoseishoshi.net_230611.jpg

 

Comme on peut le voir, les requêtes HTTP basculent sur  https://www.paris-enligne.credit-agricole.fr

 

Mais, un "get aaa.html", sur le domaine parent (doncseko-gyoseishoshi.net) semble surprenant.

 

Le code source de la page index.html révèle la supercherie technique :

  <iframe src="aaa.html" name="pageIdent" width="195" height="235" frameborder="0" scrolling="no">Votre navigateur ne supporte pas les IFRAME ......</iframe>  

Injection de page, via balise iFrame.

 

Effectivement, le formulaire contrefait apparaît tout de suite :

formulaire_seko-gyoseishoshi.net_230611.jpg

 

Malheureusement pour les utilisateurs dupés, les données saisies dans le formulaire sont renvoyées par formulaire sur login.php, mais qui n'est pas hébergé chez Crédit Agricole :

 <form style="display:inline;" name="loginForm" method="POST" action="login.php" autocomplete="off" onsubmit="return checkData();">  

 

Un accès à la page index.php renvoie immédiatement sur : https://www.paris-enligne.credit-agricole.fr/g1/ssl/identification/nav1/acc_ide1_1.htm

C'est plus discret, effectivement.

 

----------------------------------------------------------------------------------------------------------------------------------------------

 

Par rapport au site compromis lui-même :

 

site-gyoseishoshi.net_230611.jpg

 

Il n'y a visiblement pas de réel gestionnnaire d'erreur. Du coup, il est facile de faire sortir la version du serveur HTTP...

 

Apache 2.0.51 sur Fedora, pas de doute, le site a quelques mises à jour de retard.

 

D'après ce site, le serveur serait en Fedora Core 4, par rapport à la version d'Apache correspondante :

http://doc.fedora-fr.org/wiki/Installation_et_configuration_d'Apache

 

Par rapport à la ligne éditoriale de HTTPd, il semble qu'il y ait 13 versions ultérieures, corrigeant bogues et failles de sécurité, pour la branche 2.0 :

http://httpd.apache.org/security/vulnerabilities_20.html

 

En cherchant les paquetages Fedora pour HTTPd, il semble que la version 2.0 ("non recommandée" par Apache) ne soit plus proposée pour Fedora :  http://www.rpmfind.net/linux/rpm2html/search.php?query=httpd&submit=Search+...&system=fedora&arch=

 

Autant dire donc que ce site devait certainement avoir plusieurs failles de sécurité permettant de le compromettre et d'y poser le nécessaire au hameçonnage.

Enfin, hébergé au Japon, selon Netcraft, il sera certainement compliqué de demander réparation ou de leur imposer une correction rapide par voie officielle... les fameuses lois du sol.

 

 

------------------------------------------------------------------------------------------------------------------------------------------------

 

Suite à mes signalements, voici quelques retours :

 

Netcraft n'a pas validé le signalement... (23/06/11)

 

The URL you recently submitted could not be accepted as a phishing
site by the Netcraft Anti-Phishing Team, for the following reason:

This is not a phishing site.

URL:
http://www.seko-gyoseishoshi.net/.credit-agricole.fr/

The Netcraft Anti-Phishing Team

Partager cet article

Repost0
23 juin 2011 4 23 /06 /juin /2011 00:24

For non-French speaking people, I suggest you to use http://translate.google.com/translate?js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&sl=fr&tl=en&u=http%3A%2F%2Fwww.ph-v.net%2Farticle-socialbox-de-facebook-et-la-securite-77526428.html

 

 

Ayant reçu l'invitation suivante, j'ai préféré ne pas la jeter aux indésirables et jouer le jeu :


invit_FB_appli-SocialBox_230611.JPG

 

J'ai donc cliqué sur le lien "de téléchargement". Au passage, je ne sais toujours pas qui, de mes contacts, m'a invité sur SocialBox...

 

Première surprise, un clic sur le lien m'amène sur l'avertissement Facebook suivant :

acces_FB_appli-SocialBox_230611.JPG

 

Je ne vois pas trop le lien avec l'application SocialBox, mais il semble qu'il faille rabaisser la sécurité de Facebook (ie désactiver le HTTPS) pour y accéder. Pas très rassurant. Je tente quand même...

 

Là, on me demande mon accord pour que l'application, que je n'ai pas vue, accède à mes données. Ok sur le principe, mais concrètement, je ne sais toujours pas où je vais...

 

autor_FB_appli-SocialBox_230611.JPG

 

Ok, je tente (toujours)...

 

J'arrive enfin au téléchargement de l'application. Tiens, un avertissement Adobe AIR apparaît. C'est du du Flash, porté à l'extérieur du navigateur.

 

telecharg_appli-SocialBox_230611.JPG

 

On remarquera qu l'avertissement parle de SocialBox, avec sa version (1.96.23.air), mais surtout, que l'application est sur le nuage d'Amazon : s3.amazonaws.com. Donc, l'application n'est en soi pas hébergée par Facebook. Est-ce une application officielle ? difficile à dire en l'état.


Je vais donc pousser plus loin et faire "ouvrir".

 

A ce moment-là, la sécurité applicative AIR intervient. Un message me demande de confirmer que je veux installer l'application sur mon ordinateur :

 

verif_appli-SocialBox_230611.JPG

 

Il apparaît donc qu'en fait, c'est Zoosk qui a signé l'application. Pas Facebook, pas Amazon. Comment faire le lien, comment être sûr qu'il s'agit bien d'une application légitime et officielle ?

Zoosk est plus connu pour son système de rencontres amoureuses proche de meetic...

 

Je tente encore en faisant "installer".

 

La, c'est une acceptation de la licence d'utilisation qui est nécessaire, la fameuse EULA. Tout en anglais, je me demande comment les non anglophones et non juristes, pourront s'y retrouver.

Mais toujours OK sur le principe.

EULA_appli-SocialBox_230611.JPG

 

Je vais donc accepter !

 

Bilan : ai-je installé une application officielle Facebook ? aucune idée réelle.

Cette application a demandé des accès à mon compte, que j'ai du valider avant d'apprendre qu'elle n'était pas signée par Facebook... mes données personnelles vont-elles être compromises ? je ne le sais.

 

Bref, en l'état, je ne peux recommander d'utiliser cette application ni ce mode de publication d'applications facebook !

 

--------------------------------------------------------------------------------------------------------------------------------------------------

 

Niveau protocolaire :

 

Quelques surprises, bonnes et mauvaises :

 

Les destinations des requêtes :

Non, il n'y a pas que Facebook...Voici une capture réalisée en lançant SocialBox, session préalablement fermée :

proto_DNS-SocialBox_230611-copie-3.JPG

 

Le cache DNS local de la machine jouant, les réponses ne sont pas toutes visibles.

 

Voici la liste miniale des domaines qui semblent nécessaires :

- canary.msg.zoosk.com

- api.facebook.com

- www.google-analytics.com

- dodafhx8iz0gg.cloudfront.net

- login.socialbox.com

- chat.facebook.com

- graph.facebook.com

- www.facebook.com

- static.ak.fbcdn.net

- chat.facebook.com

 

Au passage, il est notable que l'authentification de session se fait avec login.socialbox.net. Facebook aurait donc mis un SSO entre leurs infrastructures et celles de socialbox.net ?

 

 

Le protocole de chat :

C'est du Jabber !

Port destination TCP 5222. Je doute qu'il soit ouvert sur les pare-feux des entreprises ayant une vraie architecture de filtrage des accès vers Internet... une charge en perspective pour les administrateurs réseau, les assistances utilisateurs, et les acteurs sécurité !

 

Mais surtout, le chat se fait en clair !

 

proto_msg-SocialBox_230611-copie-1.JPG

Comme on peut le voir, le mot "bye" a bien été envoyé au contact de la session Facebook.

 

 

L'authentification :

Est bien chiffrée en TLS v1, donc cela semble plutôt sérieux.

Elle se fait avec api.facebook.com au départ. Puis, avec login.socialbox.com.


 

 

Les autres requêtes :

En fait, la toute première requête pour ouvrir l'interface d'authentification, se fait vers canary.msg.zoosk.com.

Elle indique en "agent utilisateur" :

Mozilla/5.0 (Windows; U; fr-FR) AppleWebKit/531.9 (KHTML, like Gecko) AdobeAIR/2.7

Tiens, pourtant, Safari (pour Webkit ?) n'est pas installé sur la machine.

 

 

Après authentification, il semble que SocialBox envoie régulièrement ce qui pourrait être une signature de la configuration de l'utilisateur. Exemple de requête :

 GET /__utm.gif?utmwv=4.3as&utmn=2107487742&utmt=event&utme=5(login*login%20-%201.96.13)&utmcs=UTF-8&utmsr=1680x1050&utmsc=24-bit&utmul=fr&utmje=0&utmfl=10.3%20r181&utmhid=1232853870&utmr=-&utmp=&utmac=UA-20714458-3&utmcc=__utma

Eléments reconnaissables, par extrapolation :

- &utmfl=10.3 : Flash, effectivement en version 10.3 sur la machine

- &utmsr=1680x1050&utmsc=24-bit : configuration écran, 24 bits en 1680 par 1050...

- &utmcs=UTF-8 : encoage des caractères par défaut accepté sur le système ?

- &utme=5(login*login%20-%201.96.13) : version de l'application SocialBox, effectivement en 1.96.13

 

En fait, cette requête est envoyée à l'adresse IP : 74.125.39.139   qui est, comme l'indique le champ "host" de HTTP : www.google-analytics.com !


Ainsi donc, Facebook et/ou l'application SocialBox, feraient des statistiques d'audience via Google Analytics ?

 

 

Mise à jour 1 :

 

Il semble que Facebook ait adopté la logique de Google, pour le déploiement automatique et "forcé" des mises à jour de son application.

 

Ci-dessous, quelques exemples de notification :

 

Le 24/06/2011 :

MaJ-SocialBox_240611.JPG

 

 

Les notes de publication ne sont pas très bavardes...

 

Puis, le 01/07/11 :


MaJ-SocialBox_010711.JPG

 

A ce rythme-là, on sera en version 10 en moins de 6 mois... mais quels sont réellement les changements apportés à l'application ? cela semble opaque.

 

Le 23/07/11:

 

MaJ-SocialBox_230711.JPG

 

Toujours aucune info sur les modifications apportées à l'application... par contre, les privilèges administrateur sont encore nécessaires pour l'installation...

 

 

-------------------------------------------------------------------------------------------------

 

Côté antivirus

 

42 moteurs antiviraux différents (en version ligne de commande) ne disent rien pour la version 2.108.5 de SocialBox :

Antivirus Version Last update Result
AhnLab-V3 2011.07.02.00 2011.07.01 -
AntiVir 7.11.10.197 2011.07.01 -
Antiy-AVL 2.0.3.7 2011.07.01 -
Avast 4.8.1351.0 2011.07.01 -
Avast5 5.0.677.0 2011.07.01 -
AVG 10.0.0.1190 2011.07.01 -
BitDefender 7.2 2011.07.01 -
CAT-QuickHeal 11.00 2011.07.01 -
ClamAV 0.97.0.0 2011.07.01 -
Commtouch 5.3.2.6 2011.07.01 -
Comodo 9244 2011.07.01 -
DrWeb 5.0.2.03300 2011.07.01 -
eSafe 7.0.17.0 2011.06.29 -
eTrust-Vet 36.1.8421 2011.07.01 -
F-Prot 4.6.2.117 2011.07.01 -
F-Secure 9.0.16440.0 2011.07.01 -
Fortinet 4.2.257.0 2011.07.01 -
GData 22 2011.07.01 -
Ikarus T3.1.1.104.0 2011.07.01 -
Jiangmin 13.0.900 2011.07.01 -
K7AntiVirus 9.107.4863 2011.07.01 -
Kaspersky 9.0.0.837 2011.07.01 -
McAfee 5.400.0.1158 2011.07.01 -
McAfee-GW-Edition 2010.1D 2011.07.01 -
Microsoft 1.7000 2011.07.01 -
NOD32 6258 2011.07.01 -
Norman 6.07.10 2011.07.01 -
nProtect 2011-07-01.01 2011.07.01 -
Panda 10.0.3.5 2011.07.01 -
PCTools 8.0.0.5 2011.07.01 -
Prevx 3.0 2011.07.01 -
Rising 23.64.04.03 2011.07.01 -
Sophos 4.67.0 2011.07.01 -
SUPERAntiSpyware 4.40.0.1006 2011.07.01 -
Symantec 20111.1.0.186 2011.07.01 -
TheHacker 6.7.0.1.246 2011.07.01 -
TrendMicro 9.200.0.1012 2011.07.01 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.01 -
VBA32 3.12.16.4 2011.07.01 -
VIPRE 9743 2011.07.01 -
ViRobot 2011.7.1.4544 2011.07.01 -
VirusBuster 14.0.105.2 2011.07.01 -
MD5: b8489a7be4650d393ee07510bf941190
SHA1: 17becc34c4e3ab8557f82671d692d3c2ad7f9ab7
SHA256: 6f4dfc366db28de862036e92076f1ab275f1d61b14825bc41362689ac06a69fa
File size: 142848 bytes
Scan date: 2011-07-01 20:47:38 (UTC)

 

 

Toutefois, pour Microsoft Windows Defender, socialbox.exe semblerait suspect, et "devrait leur être envoyé", afin d'améliorer l'efficacité du programme :

 

avis_WinDefender_socialbox_010711.jpg

 

Espérons que le support Microsoft est bien dimensionné, car il risque de recevoir une pluie de fichiers "socialbox.exe" !

 

NB : du coup, il me semble intéressant de noter que SocialBox a été déplacé sur le disque, il est passé de users\username\appdata\roaming\socialbox, à  program files (x86)\sociabox

Partager cet article

Repost0
21 juin 2011 2 21 /06 /juin /2011 01:35

Lors d'une simple mise à jour d'un pilote graphique NVidia, j'ai trouvé intéressant le fait qu'une installation imprévue de Kaspersky s'active, et aille même jusqu'à bloquer la procédure en cours pour Nvidia.

 

install_nvidia_KAV11_210611.JPG

 

La version affichée comme devant s'installer est la 11.0.2.556... Pourtant, comme l'indique la capture d'écran, la version déjà installée est justement la 11.0.2.556 !

Donc, Kaspersky lance une ré-installation forcée. Elle court-circuite la procédure de Nvidia, puisque tant que Kaspersky n'est pas réinstallé au moins en partie, l'utilitaire d'installation Nvidia se trouve comme bloqué...

 

Ceci confirme bien l'interaction très forte à présent entre Kaspersky et les pilotes graphiques.

 

Par conséquent, demain, en cas de problème avec la carte graphique (performances, voire crash), que faut-il regarder ?

- problème matériel (classique)

- bogue du jeu/de l'application graphique

- problème de pilote constructeur

- ou... conflit avec Kaspersky ? (bien moins évident à première vue...)

 

 

Pire, la réinstallation de Kaspersky déclenche l'avertissement de Windows 7 qui demande si l'on veut bien faire confiance à KAV :

install2_nvidia_KAV11_210611.JPG

 

 

C'est un peu étonnant pour un produit de sécurité, AMHA.

 

A ceux que cela peut aider...

Partager cet article

Repost0
18 juin 2011 6 18 /06 /juin /2011 02:25

Echantillon reçu il y a quelques temps :

 

CE MESSAGE EST DE NOTRE ÉQUIPE DE SOUTIEN TECHNIQUE

Ce message est envoyé automatiquement par l'ordinateur.

Si vous recevez ce message, cela signifie que votre adresse e-mail a
été mis en attente pour la désactivation, ce qui a été à la suite d'une erreur continue
script (code: 505) a reçu depuis cette adresse email. Pour résoudre ce problème
vous devez réinitialiser votre adresse e-mail. Pour réinitialiser cette adresse e-mail,
vous devez répondre à cet e-mail en fournissant les informations suivantes pour
confirmation.

Nom d'utilisateur actuel Email: {             }
Mot de passe actuel Email: {             }
Re-confirmer Mot de passe: {             }

Note: Fournir une information erronée ou d'ignorer ce message permettra de résoudre
la neutralisation de cette adresse email.

Vous continuez à recevoir ce message d'avertissement périodiquement jusqu'à ce que votre
e-mail est réinitialisé ou désactivée.


Merci d'avoir choisi Orange Mobile!

© 2010 Orange Mobile. Tous droits réservés

 

 

Ce qui apparaît dans le client de messagerie (type Mozilla) :

- Adresse de réponse (reply-to) : webhelpdesk20@ymail.com

- Adresse indiquée en émetteur (champ données) : support@orange.fr

 

 

Entêtes :

 

 Received: from mwinf5c08 (mwinf5c08 [10.223.111.58]) by mwinb1501 with LMTPA; Mon, 21 Mar 2011 09:28:35 +0100 X-Sieve: CMU Sieve 2.3 Received: from box1.qn.net ([74.126.21.10])  by mwinf5c08 with ME id MkTq1g0140D3Ef601kTqJp; Mon, 21 Mar 2011 09:28:35 +0100 X-bcc: %%%%%%%@wanadoo.fr X-me-spamrating: 48.00 X-me-spamcause: (40)(0000)gggruggvucftvghtrhhoucdtuddrfeduhedrudeggddvuddthecuteggodetufdouefnucfrrhhofhhilhgvmecuoffgnecuuegrihhlohhuthemucegtddtnecuoghunhguihgtlhhoshgvugculdegtddmnecujfgurhepgggtgfffhffurhfkgigfsehtkehjtddtreejnecuhfhrohhmpefqrhgrnhhgvgcuofhosghilhgvuceoshhuphhpohhrthesohhrrghnghgvrdhfrheqnecuffhomhgrihhnpe X-me-spamlevel: not-spam Received: from localhost ([127.0.0.1] helo=webmail.qn.net) by box1.qn.net with esmtpa (Exim 4.69) (envelope-from <support@orange.fr>)  id 1Q1aSp-0008GF-El; Mon, 21 Mar 2011 04:27:47 -0400 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Date: Mon, 21 Mar 2011 04:27:47 -0400 From: Orange Mobile <support@orange.fr> To: undisclosed-recipients:; Subject: =?UTF-8?Q?D=C3=A9faut=20Mot=20de=20passe?= Reply-To: webhelpdesk20@ymail.com Message-ID: <76d7e32649f7d9a484407936dd4ffec3@qn.net> X-Sender: support@orange.fr User-Agent: Roundcube Webmail/0.4.2 X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - box1.qn.net X-AntiAbuse: Original Domain - wanadoo.fr X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] X-AntiAbuse: Sender Address Domain - orange.fr 

Le domaine émetteur n'est visiblement pas lié à Orange (qn.net). Si l'envelope-from a pu être forcé à support@orange.fr, c'est que visiblement le MTA émetteur est soit totalement ouvert (open relay) soit compromis...

   

Donc, il est recommandé de ne pas répondre à ce message !

Partager cet article

Repost0
9 juin 2011 4 09 /06 /juin /2011 13:41

I have been working on computers viruses for a few years... but when I say "computer virus/threats", I do not only talk about Wintel/x86 ones. Thus I also had to fight against the “well known” idea that MacOS has no virus, no threats. Even worse, 5 years ago, I have seen some Mac OS being the source of infection for Win32 platforms within a LAN... very easy to deal with (what? no antivirus on the shared resources?)

 
Right now, this fight to open customers' eyes, and business guys' eyes, still goes on. As an example, a bit of Google search for the words "macos no virus" brings me to:
http://switchtoamac.com/site/why-are-there-no-viruses-for-mac-os-x.html

and even: http://www.apple.com/macosx/what-is/
Quotation: OS X doesn’t get PC viruses. And with virtually no effort on your part, the operating system protects itself from other malicious applications

 

 

But there are some new public stuff, which I find interesting:
http://www.theinquirer.net/inquirer/news/2029303/virus-mac-invulnerable

 and the now (in)famous MacDefender:
http://www.pcworld.com/article/226846/fake_macdefender_brings_malware_to_macs.html

 

I think it is just outstanding to see Apple developping and releasing what I believe to be an equivalent of the MSRT (Microsft Malicious Software Removal Tool)! See:
http://support.apple.com/kb/HT4651

Regarding an OS which is said not to be concerned by virii, they now update on a daily basis a "fire-and-forget" tool to clean malwares from MacOS computers! That's a victory for Security, to me.

(well, now... I have to put that in application to the IT parks I have got in my security perimeter... that’s another story.)
 

Nonetheless, as we already know that phenomenon in "MS Windows" environments, the VX scene is also able to update the malware, within hours...
http://www.zdnet.com/blog/bott/new-apple-antivirus-signatures-bypassed-within-hours-by-malware-authors-update/3396

As a feedback, Apple could probably take into account the fact that most AV softwares on Windows now automatically update themselves on a hourly basis, by default... this came a few years ago already.
 

Sadly, Apple first refused to give support to the customers calling for help, despite the rise of calls to the support:
http://www.wired.com/gadgetlab/2011/05/apple-malware/

It seems that they changed their mind afterwards, and kindda admit the “malware” on MacOS do exist and above all, could not be just handled by lambda users…

Last, in case of, here are guidelines to remove MacDefender:
http://www.bleepingcomputer.com/virus-removal/remove-mac-defender

And let me remind that Sophos offers a free AV for MacOS (home use).

 
I hope this will prevent IT systems, secured regarding Windows/Linux, to be compromised through Mac OS environements, that did not need security…

Partager cet article

Repost0