Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Ven 29 Mar 2024 - 00:34

Heures au format UTC + 1 heure




Publier un nouveau sujet Répondre au sujet  [ 5 messages ] 
Auteur Message
 Sujet du message: Nouveau cheval de Troie usurpant l'identité de MSNBC-Micros
MessagePublié: Jeu 14 Aoû 2008 - 14:12 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
S E C U S E R A L E R T E 14/08/08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Nouveau cheval de Troie usurpant l'identité de MSNBC-Microsoft
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Après avoir usurpé l'identité de la chaîne CNN, le programme malicieux
Exchanger se présente sous la forme d'un courrier électronique envoyé en
apparence par MSNBC-Microsoft, diffusant de fausses brèves d'actualité
racoleuses afin de rediriger le destinataire vers un site web piégé.

http://www.secuser.com/alertes/2008/exchangernb.htm


PREVENTION ET DESINFECTION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Même si le sujet est intriguant ou attrayant, il ne faut pas suivre les
liens d'un message non sollicité ou envoyé par une personne inconnue.
http://www.secuser.com/alertes/2008/exchangernb.htm


Citer:
Après avoir usurpé l'identité de la chaîne CNN

J'en ai recu mais les ayant pris pour du spam je les ai tous fait détruire...
:lol:
Donc une fois de plus ne pas cliquer!!!

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: Nouveau cheval de Troie usurpant l'identité de MSNBC-Micros
MessagePublié: Dim 17 Aoû 2008 - 18:18 
Hors-ligne
Débutant
Débutant
Avatar de l’utilisateur

Inscrit le: Ven 19 Oct 2007 - 22:20
Messages: 11
Bonsoir,

Ca donne un test de sécurité intéressant : voyons si on peut se faire piéger en ayant seulement Thunderbird et Firefox, sans antivirus.

Dès l'ouverture du message Thunderbird l'indique comme "frauduleux" :

Image


Si on clique quand même sur le lien, Thunderbird donne une nouvelle alerte parce que l'adresse indiquée ne correspond pas à l'adresse réelle :


Image


On passe outre. Cette fois c'est Firefox qui alerte et bloque l'accès au site :


Image


Difficile d'être plus clair. Les développeurs de Firefox ont même pris soin de mettre le lien "Ignorer" en petit pour qu'on ne clique pas dessus par erreur.

Passons malgré tout, on arrive sur le site :


Image


Dans la barre d'adresse on constate que le site n'a pas de nom, il n'est identifié que par son IP. C'est hautement suspect pour site censé appartenir à Microsoft.
On remarque aussi que Firefox affiche encore une barre rouge "Site contrefait !" en haut de la page.

On essaye de cliquer sur le bouton "Close page" : la popup piégée ne s'affiche pas, elle est bloquée par NoScript.

Alors on passe la souris sur le faux bouton "Install flash player" : en regardant l'adresse qui s'affiche en bas à gauche on remarque que le fichier à télécharger se trouve sur un site sans nom.
On clique quand même : nouvelle alerte de Firefox et blocage:


Image


On passe outre : le téléchargement commence. A ce stade, pour être infecté il faut vraiment l'avoir voulu !

Mais je ne suis pas encore infecté, le fichier "Adobe_flash.exe" est inoffensif tant qu'il n'est pas exécuté.
On remarque d'abord que le fichier téléchargé ne pèse que 69 ko, c'est beaucoup trop petit pour être un vrai lecteur flash. Mais assez pour un cheval de troie chargé de télécharger des parasites...

Une petite vérification en soumettant le fichier à VirusTotal : détecté comme trojan par 18 antivrus sur 33 ! De quoi dissuader définitivement d'exécuter ce fichier...


-------------------

Comme quoi avec un minimum de protections, même si on est imprudent il est difficile de se faire infecter. Et encore c'était un test sans antivirus activé, seulement les protections de la messagerie (Thunderbird) et du navigateur (Firefox).

PS : Je n'ai pas pris le risque de le refaire avec Outlook et IE, mais je suppose (au conditionnel) que s'ils offraient les mêmes protections personne ne tomberait dans ces pièges...

A + :wink:


Haut
 Profil  
 
 Sujet du message: Re: Nouveau cheval de Troie usurpant l'identité de MSNBC-Micros
MessagePublié: Dim 17 Aoû 2008 - 18:50 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:)
Merci Raton
Belle démonstration.

Outlook a aussi un filtre antispam mais je ne l'ai pas testé car je n'utilise ce dernier qu'au travail, mais j'imagine (j'espére) qu'il doit réagir a peu prés de la même façon sur des spams connus...

Ton Firefox est tout de même protégé avec noscript et deux trois autres extensions, j'imagine ?
un "vieux" récapitulatif ici

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: Nouveau cheval de Troie usurpant l'identité de MSNBC-Micros
MessagePublié: Dim 17 Aoû 2008 - 23:33 
Hors-ligne
Débutant
Débutant
Avatar de l’utilisateur

Inscrit le: Ven 19 Oct 2007 - 22:20
Messages: 11
Bonsoir Agnès,

Ca marche aussi avec un Firefox sans extension. Normalement à l'arrivée sur le site on a une popup à un seul choix qui oblige à lancer le téléchargement. On est obligé de l'accepter, mais Firefox le bloquera de toutes façons avec l'alerte "site contrefait" (incluse dans Firefox). La seule chose que fait NoScript ici, c'est qu'il empêche l'ouverture de cette popup.
Par contre NoScript serait indispensable si le site installait un trojan automatiquement et silencieusement (alors qu'ici il faut le télécharger et l'exécuter à la main)

Mes extensions Firefox : (désolé pour les liens externes :wink: )
    - AdblockPlus (antipub) (tuto)
    - Noscript (anti scripts malveillants) (tuto)
    - CookieButton (gestion des cookies) (tuto)
    - Get Jetable Mail (mails jetables)
    - Redirect Remover (nettoie les redirections dans les url)
    - RefControl (anti referer)

A + :wink:


Haut
 Profil  
 
 Sujet du message: Re: Nouveau cheval de Troie usurpant l'identité de MSNBC-Micros
MessagePublié: Lun 18 Aoû 2008 - 20:07 
Hors-ligne
Débutant
Débutant
Avatar de l’utilisateur

Inscrit le: Mer 28 Mar 2007 - 19:48
Messages: 11
Localisation: Mauguio (34)
Voici un récapitulatif de l'ip 72.47.210.78 :

IP address: 72.47.210.78
Reverse DNS: thelift.net.
Reverse DNS authenticity: [Verified]
ASN: 0
ASN Name: IANA-RSVD-0
IP range connectivity: 0
Registrar (per ASN): Unknown
Country (per IP registrar): US [United States]
Country Currency: USD [United States Dollars]
Country IP Range: 72.46.0.0 to 72.47.255.255
Country fraud profile: Normal
City (per outside source): Culver City, California
Country (per outside source): US [United States]
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No


OrgName: Media Temple, Inc.
OrgID: MEDIAT-10
Address: 8520 National Blvd.
Address: Building A
City: Culver City
StateProv: CA
PostalCode: 90232
Country: US

NetRange: 72.47.192.0 - 72.47.255.255
CIDR: 72.47.192.0/18
NetName: MEDIATEMPLE-105
NetHandle: NET-72-47-192-0-1
Parent: NET-72-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.MEDIATEMPLE.NET
NameServer: NS2.MEDIATEMPLE.NET
Comment:
RegDate: 2007-05-30
Updated: 2008-01-10

RAbuseHandle: ABUSE418-ARIN
RAbuseName: Abuse Desk
RAbusePhone: +1-877-578-4000
RAbuseEmail: *****@mediatemple.net

RNOCHandle: NA230-ARIN
RNOCName: NOC Hosting Operations
RNOCPhone: +1-877-578-4000
RNOCEmail: ********@mediatemple.net

RTechHandle: NA230-ARIN
RTechName: NOC Hosting Operations
RTechPhone: +1-877-578-4000
RTechEmail: ********@mediatemple.net

OrgAbuseHandle: ABUSE418-ARIN
OrgAbuseName: Abuse Desk
OrgAbusePhone: +1-877-578-4000
OrgAbuseEmail: *****@mediatemple.net

OrgTechHandle: NA230-ARIN
OrgTechName: NOC Hosting Operations
OrgTechPhone: +1-877-578-4000
OrgTechEmail: ********@mediatemple.net


Haut
 Profil  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 5 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr