Visiteurs: 2503
Aujourd'hui: 4
 
Rss Spamming et virus sur les forums

Sommaire:

 

2008: Invasion de virus sur les forums.

Protégez vos forums.

Le robot spammer n'est pas une nouveauté mais il atteint maintenant le stade industriel. Depuis la mi-novembre ce robot honore chaque jour des centaines de forums de sa présence et tente d'y créer des comptes utilisateurs fantaisistes.
Ici les comptes utilisateurs créés ne sont pas seulement employés pour arroser ultérieurement le forum de messages de spamming mais placent des liens dans le profil partout ou c'est possible ( Site, web, signature, etc. ) comme par exemple ici:




Chaque lien renvoie sur un site destiné à vous implanter un troyen. Le détail de ces sites figure dans les 2 pages qui suivent celle-ci. Pour l'instant faisons le tour de l'activité de ce robot.

L'activité du robot.

Il ne se contente pas de créer les profils membre sur les forums mais implante également partout ou c'est possible les faux sites web pointés par les liens dans le profil. L'hébergeur geocities ( Heureusement prompt à invalider ces sites ) est une des principale victimes mais est loin d'être le seul.
Autre nouveauté: Il crée de faux forums et les implante sur des serveurs piratés. Chacun de ces forums contient des centaines de messages et chacun d'entre eux vous renvoie sur un site contenant un virus.
Un exemple ci-dessous ou un forum censé être en rapport avec la thérapie contient en réalité 231 pages de messages renvoyant vers un site pornographique et distributeur de virus:





Protéger vos forums:

Par bonheur bloquer ce robot n'est pas trop compliqué. Dans 95% des cas il utilise cette IP:

78.110.175.13 ( Serveur Russe )

De temps à autre:

78.110.175.12 ( Serveur Russe )

Et plus rarement:

208.53.147.16 ( USA )

Une autre chose à savoir: L'adresse mail associée au compte est toujours chez yahoo.co.uk. Il y a sans doute peu d'utilisateurs francophones bien intentionnés pour utiliser une adresse de ce type, alors bannir d'office tout membre employant ces adresses est aussi un gage de tranquillité.

Les effets du virus:

Dans tous les cas le virus est du type troyen et son but est de récupérer le maximum de données "utiles" présentes sur votre ordinateur. Manifestement il y-en a de plusieurs types.


Le plus spectaculaire va inonder votre écran de fenêtres pointant sur des sites pornographiques qui se rouvriront à peine refermées. Et pendant les longues heures que vous passerez pour tenter de vous débarrasser de ces fenêtres qui rendent la navigation totalement impossible le troyen ratisse paisiblement vos fichiers pour y récupérer tous les logins / pass qu'il pourra trouver.
Une fois le nettoyage terminé il restera sans doute en permanence une fenêtre qui vous signale une alerte au virus qu'il sera impossible de refermer. Et pour cause ! Ce n'est pas une vraie fenêtre, c'est le fond d'écran de windows qui a été remplacé par une image simulant une alerte au virus. Ce cas a été constaté chez un tiers qui a eu l'imprudence de cliquer sur un lien dans un forum dédié à la moto. Son anti-virus mal mis à jour n'a rien détecté. Le nettoyage a dû être fait "à la main". Dommage que je n'aie pas eu le temps de faire une copie d'écran de la base de registres, c'était épique !

Note:

En fouillant un peu on s'aperçoit que la majorité de ces sites distributeurs de troyens sont localisés principalement en Russie et en Chine. Y-aurait-il un rapport entre cette invasion et la multitude de compte piratés sur ebay:
Comptes piraté 1
Comptes piraté 2
Ou une fois l'enchère remportée on trouve dans les instructions de paiement une adresse bancaire en Chine ?


Ecrit le : 14/12/2008 par Ogoth


 
 
 1  2  3  4  5 
Page suivante »
Forum à l'abandon ? Danger ! 
 
Note: Aucune note
(0 note)
Ecrit par: ogoth, Le: 14/12/08