Spamming et virus sur les forums

Sun, 14 Dec 2008 01:41:01 +0100

Introduction

2008: Invasion de virus sur les forums.

Prot�gez vos forums.

Le robot spammer n'est pas une nouveaut� mais il atteint maintenant le stade industriel. Depuis la mi-novembre ce robot honore chaque jour des centaines de forums de sa pr�sence et tente d'y cr�er des comptes utilisateurs fantaisistes.
Ici les comptes utilisateurs cr��s ne sont pas seulement employ�s pour arroser ult�rieurement le forum de messages de spamming mais placent des liens dans le profil partout ou c'est possible ( Site, web, signature, etc. ) comme par exemple ici:

Chaque lien renvoie sur un site destin� � vous implanter un troyen. Le d�tail de ces sites figure dans les 2 pages qui suivent celle-ci. Pour l'instant faisons le tour de l'activit� de ce robot.

L'activit� du robot.

Il ne se contente pas de cr�er les profils membre sur les forums mais implante �galement partout ou c'est possible les faux sites web point�s par les liens dans le profil. L'h�bergeur geocities ( Heureusement prompt � invalider ces sites ) est une des principale victimes mais est loin d'�tre le seul.
Autre nouveaut�: Il cr�e de faux forums et les implante sur des serveurs pirat�s. Chacun de ces forums contient des centaines de messages et chacun d'entre eux vous renvoie sur un site contenant un virus.
Un exemple ci-dessous ou un forum cens� �tre en rapport avec la th�rapie contient en r�alit� 231 pages de messages renvoyant vers un site pornographique et distributeur de virus:

Prot�ger vos forums:

Par bonheur bloquer ce robot n'est pas trop compliqu�. Dans 95% des cas il utilise cette IP:

78.110.175.13 ( Serveur Russe )

De temps � autre:

78.110.175.12 ( Serveur Russe )

Et plus rarement:

208.53.147.16 ( USA )

Une autre chose � savoir: L'adresse mail associ�e au compte est toujours chez yahoo.co.uk. Il y a sans doute peu d'utilisateurs francophones bien intentionn�s pour utiliser une adresse de ce type, alors bannir d'office tout membre employant ces adresses est aussi un gage de tranquillit�.

Les effets du virus:

Dans tous les cas le virus est du type troyen et son but est de r�cup�rer le maximum de donn�es "utiles" pr�sentes sur votre ordinateur. Manifestement il y-en a de plusieurs types.

Le plus spectaculaire va inonder votre �cran de fen�tres pointant sur des sites pornographiques qui se rouvriront � peine referm�es. Et pendant les longues heures que vous passerez pour tenter de vous d�barrasser de ces fen�tres qui rendent la navigation totalement impossible le troyen ratisse paisiblement vos fichiers pour y r�cup�rer tous les logins / pass qu'il pourra trouver.
Une fois le nettoyage termin� il restera sans doute en permanence une fen�tre qui vous signale une alerte au virus qu'il sera impossible de refermer. Et pour cause ! Ce n'est pas une vraie fen�tre, c'est le fond d'�cran de windows qui a �t� remplac� par une image simulant une alerte au virus. Ce cas a �t� constat� chez un tiers qui a eu l'imprudence de cliquer sur un lien dans un forum d�di� � la moto. Son anti-virus mal mis � jour n'a rien d�tect�. Le nettoyage a d� �tre fait "� la main". Dommage que je n'aie pas eu le temps de faire une copie d'�cran de la base de registres, c'�tait �pique !

Note:

En fouillant un peu on s'aper�oit que la majorit� de ces sites distributeurs de troyens sont localis�s principalement en Russie et en Chine. Y-aurait-il un rapport entre cette invasion et la multitude de compte pirat�s sur ebay:
Comptes pirat� 1
Comptes pirat� 2
Ou une fois l'ench�re remport�e on trouve dans les instructions de paiement une adresse bancaire en Chine ?

Ecrit le : 14/12/2008 par Ogoth

Forum � l'abandon ? Danger !

Bref aper�u du d�sastre.

De l'art du renflouement d'�paves et de leur transformation en escadre de pirates.

Tout ce qui peut permettre d'identifier ce forum a �t� masqu�, il est rempli de liens suspects. On voit ci-dessous dans la liste des membres qu'a l'origine le forum �tait con�u pour une utilisation s�rieuse mais qu'il est tomb� dans l'oubli courant 2007.

Pour tout arranger c'est un script phpBB2 dat� de 2005 et jamais mis � jour, le r�gal des spammers, on y entre comme dans du beurre.

Dans l'image ci-dessus on y voit que l'activit� de nos pirates russo/chinois et pornocrates commence le 7 novembre 2008.

Et du 7 novembre 2008 au 14 d�cembre 2008 ce seront 380 pseudos cr��s et valid�s:

Et un extrait de l'un des messages post�s ( La version compl�te comporte 251 lignes ):

Certains pseudonymes ne postent aucun message, d'autres seulement quelques uns mais celui-ci en aura mis 1926 du m�me tonneau en moins d'un mois.

Multipli� par quelques milliers de forums envahis. 2008 sera l'ann�e de naissance de la m.s.t. virtuelle. Faites chauffer les anti-virus !

Ecrit le : 14/12/2008 par Ogoth

Le faux site de scanning

Le faux site anti-virus.

Simple et efficace m�me sans le javascript.

Il est �vident que le monde entier se soucie de votre s�curit� et que des sites analysant gracieusement votre ordinateur pour en chasser les virus sont monnaie courante, surtout ceux qui r�alisent l'op�ration en quelques secondes l� ou il faut souvent plus d'une heure.
Le sympathique ami qui vous fait cette proposition appara�tra comme dans l'image ci-dessous � la condition que vous ayez pris la pr�caution d'interdire au navigateur l'usage du javascript.

N�anmoins on peut s'�tonner que les �diteurs de porno se soucient de ce d�tail, d'autant plus qu'en haut � droite on vous informe que vous avez visit� 2 urls adulte ( parfois plus ).
Bingo ! Cliquer sur quoi que ce soit dans cette page vous renverra sur un site qui vous incitera � t�l�charger un virus, seule exception: Le lien "T�l�charger maintenant" plus radical qui vous installera complaisamment le virus.

Et avec le java script actif?

C'est d�j� plus amusant: En quelques secondes le pseudo scanner � analys� tout votre disque dur et trouv� des vuln�rabilit�s, miraculeux non ?

Et il insiste le bougre! Tant que vous n'aurez pas cliqu� sur OK vous reviendrez toujours � cette �tape. Beaucoup par lassitude cliqueront sur OK ( Alors que la seule chose � faire est de fermer tout le navigateur ou de d�sactiver le java script ) et arriveront � l'�tape suivante:

Vous qui cliquez ici perdez toute esp�rance:

C'est la phase terminale, comme le pr�c�dent le popup ci-dessous

appara�tra sans rel�che tant que vous n'aurez pas cliqu� sur OK. Pour sortir de la boucle infernale voir au-dessus. Mais si vous cliquez sur OK vous aurez:

Ici la derni�re image montre l'option "enregistrer sous". Mais le test est fait sous linux. Pas avec un OS poubelle. Sous windows tout d�pend du navigateur et de sa configuration mais si vous n'avez pas pris la pr�caution d'interdire au moins l'installation automatique des ex�cutables trouv�s sur le web le virus s'installera sans autre forme de proc�s et il vous faudra sans doute un certain temps avant de retrouver l'usage d'internet.
Pour limiter les risques d'installation intempestive avec internet explorer voyez cette page
Avec firefox c'est sans doute plus simple:

Ecrit le : 14/12/2008 par Ogoth

Le plugin vid�o

A la recherche du plugin perdu."

Plus dangereux que le faux site de scanning.

Le principe est le m�me que pour le faux site de scanning, tant que vous n'aurez pas satisfait aux exigences se succ�dant � l'�cran le navigateur r�ouvrira sans cesse les m�mes fen�tres.

Vous risquez de le rencontrer sur toute vid�o susceptible de trouver de l'audience, donc le porno, les actualit�s, les clips.

Ceci dit pas de parano vis � vis des sites comme youtube, daylimotion et consorts qui sont a l'abri. Pour implanter le virus il faut disposer du contr�le total du serveur. Les principales sources d'ennui sont donc de faux site porno sp�cialement cr�� pour, des liens circulant dans les messages de forums mal tenus ou abandonn�s, envoy�s directement via msn ou bo�te mail. Plus rarement en sous r�pertoire de sites honorables mais pirat�s.

Le mode d'implantation est plus radical.

Ici le pirate vous propose une vid�o et au moment de la visualisation vous informe que vous ne disposez pas du plugin had hoc pour la lire. Suivra un popup exigeant l'installation du "bon plugin". Le proc�d� est plus offensif car ici on vous propose d'installer un plugin windowm�dia player et cliquer sur OK t�l�chargera et installera le virus en une seule op�ration. Ci-dessous quelques variantes:

En bref: Pour l'avoir cru vous serez cuit ...

Ecrit le : 14/12/2008 par Ogoth

Pour les plus curieux

Le mode op�ratoire du robot.

Si �a peut servir � quelqu'un.

L'image tout en bas montre les tentatives d'acc�s sur le forum d'ench�res bidon le 14/12/2008. Depuis d�but novembre il passe tous les jours. Et il fait de m�me sur tous les forums dont il a r�cup�r� l'url. Etape 1: Il tente de se connecter au forum et il ne peut pas. Etape 2: Il essaie l'index principal et se plante. Etape 3: Il cherche un passage dans la racine de tous les forums. C'est rat�. Etape 4: Il essaye de cr�er un nouveau compte utilisateur. C'est encore rat�. Il reviendra demain.

Ecrit le : 14/12/2008 par Ogoth

Derniers articles

Spamming et virus sur les forums