Le site du gouvernement Nord Coréen piraté

Mad Men est une de ses séries américaines qui cartonne. Diffusée depuis novembre dernier sur Canal+, aux États-Unis on attend la 4ième saison. Vous vous doutez bien que les fans passent leur temps sur internet à la recherche de la photo inédite, de la vidéo jamais vu, et surtout de la première programmation d'un premier épisode de cette saison 4.

Et une fois de plus nos amis pirates saisissent l'occasion afin de répandre leurs virus. Ainsi l'éditeur de logiciel de sécurité Sunbelt met en garde contre les sites internet vérolés, censés délivrer la grille de programmation de Mad Men saison 4 outre-atlantique.

En utilisant des techniques de Black SEO sur la recherche mad men season 4 schedule - mad men saison 4 horaire/programme - un site internet diffusant un faux antivirus apparaît en seconde position sur google :


Si vous vous rendez sur le lien compromis - fortement déconseillé - alors une pop-up s'ouvre indiquant que vous êtes infecté par un virus.


Ici que vous cliquiez sur le bouton OK où sur la petite crois pour fermer la fenêtre, le résultat sera le même : une nouvelle fenêtre s'ouvre. Cette fenêtre ressemble au panneau Poste de Travail de Windows XP, mais regardez bien, car vous êtes toujours dans votre navigateur internet.


Un résultat bluffant, pouvant tromper une personne pressée ou peu aguerris en informatique. Vient ensuite le compte rendu - forcement catastrophique - du scan de ce faux anti-virus.

Une liste de virus et chevaux de troie longue comme le bras s'affiche. Comme Windows XP (et Windows tout court) est l'OS le plus utilisé, c'est bien évidemment la cible principale des pirates. Ils n'ont donc pas pris la peine de faire une détection d'OS, ce qui donne dans notre cas une situation assez cocasse : ayant ouvert ce site sous la distribution Linux, Xubuntu, le soit disant Windows Security Alert nous propose une désinfection du système.

Jusque là peu de danger pour votre ordinateur. En revanche si vous cliquez (et ne le faîtes surtout pas) sur Start Protection, le site compromis va chercher des informations sur dedstar.com, un serveur contenant des malwares.

Si l'on cherche un peu plus, nous pouvons voir une Guest star dans la liste des sites piratés par iFrame redirigeant vers des sites de faux anti-virus :

Si vous cliquez sur ce lien, vous serez très vite redirigé vers un autre site maliceux. En cause ce petit script javascript, caché dans le code HTML de la page, qui effectue une redirection.


Avec cette première redirection nous atterrissons sur une page du site ancom1.ru, extension russe, mais hébergé en allemagne. Lui même - grâce au même procédé de redirection javascript - nous redirige sur genusbiz.cn, extension chinoise cette fois-ci hébergé au Costa Rica. Dernier rebond qui nous conduit ensuite sur available-scanner.com hébergé dans la ville de Volvograd (Russie).

Retournons à notre site corréen, si nous allons à l'URL racine, nous tombons ni plus ni moins que sur le site officiel de la République Démocratique de Corée (autrement dit le site officiel du gouvernement de la dictature de Corée du Nord).


Enfin, puisque ce virus contamine ces chiens de capitalistes, par certains que le webmaster du site officiel de la Corée du Nord corrige la faille.