Tous les éditeurs antivirus s'accordent à le dire, 2009 a été un déferlement de malware. Et certains d'entre eux ont enrôlé des PC de monsieur dans dans de grand Botnet.
La multiplication de ces armées de PC zombies a amené un vrai commerce. Louer un botnet de dizaine de milliers de machines, pour faire crasher le site d'un concurrent par exemple, peut revenir à moins de 100$.
L'industrie du cyber-crime est bien plus organisé que l'on pourrait le croire. Ce ne sont pas/plus des gosses de 14 ans ou un chevelus lunette ronde au nez de 30 ans, mais de vrais entrepreneurs, avec un grand renfort de codeur, de commerciaux, ... (à ce titre vous pouvez lire le billet de Philippe Maltere sur le blog sécurité d'Orange Business Services : Cybercriminalité SA, une société comme une autre ?)
Vous connaissez peut-être les "Marketplaces", ces bazars underground où les hackers du monde entier offre leurs services, vendent des botnets ou des listes de mots de passe. La compétition est rude, et donc tout est bon pour se démarquer du voisin ... y compris ouvrir un Service Après Vente. Vous achetez sur un site un trojan, un stealer, un pack phishing ou un service de spreading, et inclus dans le prix un Helpdesk vous dépannera en cas de malfonctionnement d'un de leurs outils pirates.
Voici l'exemple d'un service mature et aboutis : Furio Gaming.
Furio Gaming est un site hébergé en Allemagne et lancée début 2008. En 2009, avec plus de 1500 clients, FG se voit refondu en une véritable entreprise. Compte Paypal et AlertPay certifiés, des techniciens accusant au minimum 5 ans d'expérience dans la banche, un service 24/7 et garantissant un 100% satisfait.
Ses 4 activitées principales sont :
- des services "gaming" : piratage de consoles, account leveling, ...
- des services graphismes : logos, webdesign, ...
- des services d'hébergement de site web
- des services "hacking
L'offre hacking est très complète.
On retrouve les RAT (Remote Admin Tool) entre 24 et 29 $, des packs phishing (Paypal, Xbox Live, Hotmail, Amazon, Steam, Gmail, ...) pour moins de 10$, des voleur de mots de passe pour 50$.
Une fois équipé, ou alors possédant déjà votre propose arsenal, FG propose des services de diffusion de vos malware. Deux offres principales : le Turbo spreading et le spreading tout simple.
Le spreading seul vend un certains nombre de petit logiciel (keygen, DDosser, Automate youtube, ...) dont la cible principale est d'autres pirates (de logiciels, consoles ou les scripts-kiddies). Le pack de base (35 $) comprend trois logiciels, avec un rendement théorique d'environ 50 zombies en 5 jours. Le pack premium (6 logicels, 60 $) a un rendement de 400 bots en 3 jours!
En option le FUDing (dissimulation antivirus) et le chiffrement du botnet.
La seconde offre est une solution quasi clé en main :
1000 zombies pour moins de 80$ avec livraison en 4 jours, effectivement c'est du "turbo"! Une note en bas invite à ouvrir un ticket incident en cas de problème. A la manière d'un service web tout à fait légal, une page internet permet d'ouvrir un incident d'une manière extrèmement simple :
Furio Game n'est qu'un exemple parmi d'autres, mais dans son article Gunter Ollmann (ancien Chief Security Strategist à IBM) indique que FG possède l'une des équipes techniques les plus professionnelles.
Le monde des Botnets et du hacking est donc un business, il ne faut pas l'oubliez. Mais ce qui ne faut pas oublier non plus, c'est qu'à l'image du monde dans lequel on vit, il y a encore la place la passion.
adaptation française de : The Botnet Distribution and Helpdesk Services (Damballa)
Botnet : mise en place et SAV
TMF.nl, une chaine hollandaise, piraté
TMF (The Music Factory) est une chaîne télé européenne musicale spécialisée dans la diffusion de clips et d'emissions produites par MTV. TMF est diffusée aux Pays-Bas, en Belgique, et au Royaume-Uni ... et c'est le site du Pays-Bas qui a été piraté.
Une ligne a été rajouté dans le code source de la page 
http://www.tmf.nl/microsites/dorp/dorp/2/, redirigeant les visiteurs vers ssteam.ws
SSteam.ws est une communauté de bidouilleurs et d'experts informatiques généralement assez discrète. L'auteur de ce defacement est SOUF, un hollandais. Il a été avertis sévèrement par les administrateurs de SSteam.
Pour le moment aucune information sur la méthode utilisée, peut-être en sauront nous plus prochainement.
Le dernier Rogue de 2009?
Plus que quelques jours avant le nouvel an, mais les éditeurs de faux logiciels antivirus en sont toujours à la date de 2009. Antivirus PC 2009 est peut-être le dernier à porter cette date.
Petit logo Windows, interface soignée et gros bouton "Activer maintenant", rien de bien original pour cette fin d'année. Après l'avoir installé, Antivirus PC 2009 télécharge des fichiers, qu'il détecte ensuite dans ses scans. Pour s'en débarrasser il faut bien entendu une licence ... qui ne changera rien!
AntivirusPC2009 effectuent un certain nombre de changements.
Fichiers :
%ProgramFiles%\Antivirus PC 2009\avpc2009s.exe%ProgramFiles%\Antivirus PC 2009\avpc2009.exe
%Bureau%\Antivirus PC 2009
Dossiers :
%ProgramFiles%\Antivirus PC 2009
%Menu Démarrer%\Programs\Antivirus PC 2009
%Menu Démarrer%\Program\Antivirus PC 2009
Entrées dans le registre :
CLEF : HKEY_LOCAL_MACHINE\SOFTWARE\AVPC2009
CLEF : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus PC 2009
CLEF : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
VALEUR : Antivirus PC 2009
DATA : cmd /C cd "C:\Program Files\Antivirus PC 2009" && start avpc2009.exe
Comment trouver les vulnérabilités de la NASA?
__ __ _____ _____ _ _ _____
\ \ / // ____/ ____| | \ | | /\ / ____| /\
\ V /| (___| (___ | \| | / \ | (___ / \
> < \___ \\___ \ | . ` | / /\ \ \___ \ / /\ \
/ . \ ____) |___) | | |\ |/ ____ \ ____) / ____ \
/_/ \_\_____/_____/ |_| \_/_/ \_\_____/_/ \_\
#How to find XSS in NASA?
Non le titre n'est pas racoleur! Une simple recherche google permet de trouver des vulnérabilités XSS sur les sites de la NASA. Comment? Avec cette simple recherche : inurl:”tinkode” (et oui, encore lui!)
Cliquez sur le lien (ou en accès direct ici) et vous obtiendrez une jolie boite d'avertissement. Et oui ... google référence les vulnérabilités XSS. Étonnant non?
Ici une autre liste de page de la NASA vulnérables :
1. http://uavsar.jpl.nasa.gov/cgi-bin/data.pl?itext=1%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
2. http://hitf.jsc.nasa.gov/hitfpub/redirect.cfm?location=1%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
3. http://sbir.gsfc.nasa.gov/sbirweb/search/searchResults.jsp?st=%22%3E%3Cscript%3Ealert(/c0de.breaker/)%3C/script%3E4. http://nmp.jpl.nasa.gov/ds2/search/search.pl?Range=All&Format=Standard&Terms=1%3Cscript%3Ealert(document.cookie)%3C/script%3E
5. http://pims.grc.nasa.gov/calendars/qs_roadmap_index.php?year=”>alert(/c0de.breaker/)
6. http://starbeam.jpl.nasa.gov/tools/text-search/results.jsp?query=alert(document.cookie)
On joue à la chasse au trésor?
370 mots de passe bannis par Twitter
Ces derniers jours, Twitter a bannis 370 mots de passe jugés "trop évidents". Pour la sécurité de ses utilisateurs, les sésames seront interdits pour les nouvelles inscription. Si vous choisissez un password présent dans la liste, Twitter le refusera :
C'est déjà un bon début, mais pourquoi seuls 300 mots de passe sont concernés? Comment ont-ils été choisis? Ce sont des questions que l'on peut se poser quand on sait que seuls 29 des mots de passe utilisé par le ver Conficker sont prohibés.
Liste des 370 mots de passe
bannis par Twitter
Liste des mots de passe utilisés par
le ver Conficker
29 mots de passe Conficker sont interdits, 100 sont sous la limites des 6 caractères, ce qui laisse tout de même 117 possibilités utilisées par le malware. Choisissez donc un mot de passe fort, contenant des chiffres, des lettres en minuscule et majuscules et différent pour chaque site.
Un exemple de construction mot de passe fort :
1/ commencez par choisir une chaine qui sera à apprendre par coeur (ex : ç^à@)
2/ prenez ensuite le nom du site (ex : twitter)
3/ combinez les deux, en mettant une majuscule au nom du site : ç^à@Twitter
4/ vous pouvez également remplacer les 'o' par des zéros, le 'e' par un 3 : ç^à@Twitt3r
Le tout est de trouvez votre truc!
La liste de mot de passe twitter via The WunderCounter
Apple.com piraté
_____ _____ _ ______
/\ | __ \| __ \| | | ____|
/ \ | |__) | |__) | | | |__
/ /\ \ | ___/| ___/| | | __|
/ ____ \| | | | | |____| |____
/_/ \_\_| |_| |______|______|
#BlindSQLi by TinKode
TinKode, hacker romain qui retrouve régulièrement sa place ici, s'est aujourd'hui attaqué à un gros poisson : Apple.com
Pour beaucoup symbole de classe, d'ergonomie et surtout de sécurit"é, Apple n'en est pourtant pas à sa première bourde. Ici, TinKode via des injections SQL est parvenu à avoir accès à la base de donnée du géant de l'informatique. Il précise que la faille était enfantine, et trouvable via google en 5 minutes.
Les spammers fuient le .cn
La chine veut lutter activement contre la pornographie sur internet. Ainsi la CNNIC, distributeur du .cn, a renforcé depuis le 11 décembre les démarches pour obtenir un nom de domaine chinois.
Grands consommateurs de domaines made in china, les spammers on donc du changer de tactiques. Ils privilégient désormais les hébergeurs gratuits, comme le montre ce graphique :
Trois hébergeurs gratuits sont particulièrement utilisés par les spammeurs. Un engouement qui se doit directement aux changements de CNNIC :
Si le spam par hébergeur gratuit n'est pas nouveau (notamment via imageshack) c'est un véritable boom qui poussera peut-être les éditeurs de solution de sécurité à revoir leurs règles de filtrages anti-spam.
A voir à la longue si les spammers resteront chez les free web hoster, ou retournera titiller la grande muraille.
La NASA encore hackée par SQLi
Pour la quatrième fois, TinKode vient de trouver un domaine de la NASA (http://gltrs.grc.nasa.gov/) vulnérable aux injections SQL. Cette fois-ci il a décidé de ne pas cacher l'URL, car il considère que cette faille peut être trouvée rapidement grâce à des google dorks.
Les preuves :
and 1=1– (True)
and 1=2– (False)
Il a ainsi pu avoir accès aux informations du serveur, ainsi qu'aux 92 tables de la bases de données MSSQL. Jamais quatre sans cinq?
Google query suggestion : à quand aux mains des pirates?
Vous avez surement déjà remarqué que quand vous tapez une recherche, google vous la corrige ou vous la complète. Cela peut par exemple vous en apprendre de belle sur la population d'un pays :
Pourquoi les français puent? 4 000 000 de résultats? Bah dîtes moi je vais de ce pas dévaliser le rayon axe de mon supermarché!
Cette fonctionalité de Google, c'est la Query Suggestion, une fonctionnalité à cocher ou décocher dans les paramètres de recherche google.
Trêve de parenthèse, vous connaissez peut-être aussi la recherche google qui vous donne la definition d'un mot :
define:Palimpseste
Maintenant, oui. Peu de gens connaissent cette fonction, c'est sans doute pourquoi google a décidé de l'intégrer dans le Query Suggestion :
Pratique! Mais vous sentez le malaise? Imaginez qu'un résultat de définition (sur le mot phishing, conficker, svshot.exe, ...) soit tenu par un site malicieux, placé dans les premières positions grâce à des techniques de Black SEO!
Pour le moment ce n'est pas encore le cas, mais déjà que les sites vérolés squattent les pubs adsense, il n'y a maintenant qu'un pas.
Le scandale Tiger Woods donne des idées aux pirates
Alors que fin novembre c'est son accident de voiture qui était utilisé par les pirates, aujourd'hui c'est le scandale qui entoure sa vie extra-conjugale qui fait le bonheur de diffuseur de malware.
Ainsi des sites proposent la liste en photo de toutes les aventures de Tiger Woods :
En regardant les résultats sur Google, on voit bien que ces pages ont été spécialement forgées pour rapatrier le trafic en provenance des mots clés women, ou encore retirement (retraite).
En réalité il s'agit de sites redigigeant vers des domaines vérolées, lançant un faux scan en ligne :
Lorsque l'on clic sur Remove all (à ne surtout pas faire), il se lance alors le téléchargement d'un rogue qui prétendra vous débarrasser du malware.
Facebook vulnérable aux XSS, attention aux risques de phishing
Non l'auteur de cette découverte n'est pas un roumain, comme nous en avions l'habitude ces dernières semaines, mais un français du pseudo de 599eme Man.
Les lecteurs facebookiens ont sans doute déjà répondu à un de ces quizz stupides" Quelle est ta mention au bac "LA CITE DE LA PEUR" ?", "Quel personnage du N.C.I.S êtes-vous ?" ou encore "Vous êtes la réincarnation de quel personnage célèbre ?".
L'avantage de ces quizz est que leur création est à la portée du premier gosse de 5 ans venu. L'éditeur qui héberge ce système de questionnaire est Quizz Monster.
Et ce que 599eme Man a découvert est une vulnérabilité commune à tous les quizz "Quiss Monster", qui permet de rediriger un utilisateur de Faacebook vers un site externe. Dans son post expliquant la vulnérabilité, il indique que le paramètre vulnérable est la variable next qui permet de passer d'une page du quizz à l'autre :
http://apps.facebook.com/[le nom du quizz]/?next=[URL de redirection]Par exemple copiez/collez cette adresse dans votre navigateur, http://apps.facebook.com/quelhamburgerdem/?next=%68%74%74%70%3A%2F%2F%6E%65%77%73%2D%6F%66%2D%73%65%63%75%72%69%74%79%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D
Vous serez redirigé vers news-of-security.blogspot.com. Voici la video Proof Of Concept de 599eme Man :
Vous pouvez donc essayer avec tous les quizz, cela marchera jusqu'à ce que l'éditeur de l'application apporte un correctif. Cette vulnérabilité est assez dangereuse, car elle peut servir à rediriger un utilisateur vers une page qui volera ses identifiants facebook (comme dans la video). Cela peut également envoyer un utilisateur vers de fausse page youtube qui cachent en réalité des malwares (Koobface notamment).
Pour finir, et ce n'est vraiment pas de coutume, voici le post de Zataz à propos de cette vulnérabilité :
Dans son article daté du 12/12/2009, Damien Bancal ose estampiller son article d'exclusif alors que 599eme man a rendu publique cette vulnérabilité le 22/11/2009. De plus le rédacteur en chef de zataz ne prend guerre le temps de mener son enquête, et met en garde uniquement envers l'URL apps.facebook/quelendroitltwgzmv alors que ce sont tous les quizz qui sont vulnérables... Clown!Accès complet à Kaspersky Thaïlande
Non il ne s'agit pas de Ne0h cette fois, mais de l'un de ses compatriotes. Tinkode, après avoir piraté 3 sites de la NASA il y a quelques jours et les serveurs de Kaspersky Portugal, s'attaque à Kaspersky Thaïlande.
De ces mots, le piratage ne fut pas des plus facile, car mod_security était lancé.
Pas à pas, Tinkode nous révèle les étapes de ce hacking :
and 1=1– (False)
and 1=2– (True)
Et c'est partis!
Compte utilisateur avec mots de passe en clairs :
Accès au panel d'administration :
... et possibilité d'éditer des articles (comme ici sur Conficker) :
Interview de Ne0h, hacker roumain
Volare, de hackzona.ru, a interviewé le hacker roumain Ne0h. Norman, le Pentagone ou MTV, c'est lui qui a a été parmi les premiers à découvrir et rendre publique les vulnérabilités XSS ou SQLi.
L'interview est en anglais, mais je vous livre ici une traduction française, car je trouve la philosophie de Ne0h très intéressante et saine. Jugez par vous même.
volare: Salut Ne0h! Pourrais-tu nous dire queles mots sur toi? Quel âge as-tu? D'où viens-tu?... etc
Ne0h: Salut,et bien tout d'abord j'aimerais te remercier pour cette interview.
Ne0h: J'ai 24 ans et je viens de Roumanie, et comme tu peux le voir je suis passionné de sécurité informatique.
volare: Qu'est ce qu'un hacker? Que penses-tu de cela?
Ne0h: Un hacker peut être n'importe qui, vous pouvez dire à un chimiste que c'est un hacker car il expérimente de nouvelles compositions avec ses substances.
Ne0h: Je ne pense pas être un hacker ou un cracker, je pense être simplement moi même.
Ne0h: La personne qui vous dira qu'il est hacker vous pouvez être certain que non, car les véritables hacker ne font pas l'éloge de leur "job".
volare: Est-ce que le hacking est aisé? N'importe qui peut en faire?
Ne0h: Non, le hacking n'est pas aisé! N'importe qui peut télécharger un logiciel et foutre le bordel avec mais les vrais hackers essayent toujours de pirater d'autres PC avec leurs propres méthodes ou logiciels! C'est ça un vrai hacker.
volare: Pourquoi les hackers piratent?
Ne0h: Un Hacker pirate juste pour montrer qu'il n'éxiste pas de PC 100% sécurisés.
Ne0h: Comme moi, Unu et d'autres nous voulons just voir si ce site web ou ce serveur est sécurisé et c'est tout ce que nous faissons.
volare: Quelle est la relation population-hacker dans votre pays?
Ne0h: Quand vous dites hacker on pense à une personne seule ou à quelqu'un de cool.
Ne0h: En roumanie beaucoup de gosses sont des Wannabe ("j'aimerais être", des lamers ou script-kiddies) utilisant des merdes.
volare: Comment et pourquoi avez-vous commencé à pirater des sites?
Ne0h: Eh bien, je prend vraiment du plaisir à chercher les vulnérabilités d'un site, puis de les exploiter.
Ne0h: C'est mon passe-temps 
Quand j'ai commencé à pirater des sites j'essayais simplement de les defacer, mais j'ai compris que ce que je faisais était mal alors j'ai tout repris depuis le début en White Hat.
volare: Quand as-tu commencé tes recherches de sites?
Ne0h: Hmm..j'ai débuté il y a 1 an quand le site web d'un copain a été hacké.
volare: Comment as-tu appris le hacking?
Ne0h: On apprend le hacking grâce au "hard reading"!
volare: Nombreuses de vos vulnérabilités sont des manipulations de bases de données(SQL Injection). Porquoi avoir choisis ce type en particulier?
Ne0h: J'ai choisis les SQLi parceque grâce aux injections SQL vous avez un accès rapide aux bases de données, à l'inverse du XSS ou RFI/LFI.
volare: Quel outils utilisez-vous pour chercher des vulnérabilités sur des sites internet et que vous avez programmés? Qu'avez-vous écrit?
Ne0h: Quand je recherche une vulnérabilité je contrôle tous les liens, tout ce que je vois et qui pourrais contenir un paramètre vulnérable. Pour le moment je ne développe pas.
Ne0h: Quand je suis trop fainéant pour exploiter un site manuellement j'utilise Pangolin.
volare: Que penses-tu de la sécurité dans le monde (internet)?
Ne0h: Mon opinion personnelle est que la sécurité du web est très très faible.
volare: Pourquoi avoir choisis le Pentagone?
Ne0h: J'ai choisis le pentagone car c'est un site internet très important et très connu dans le monde.
volare: Que pouvez-vous dire de la sécurité du Pentagone?
Ne0h: Leur sécurité n'est pas bonne mais pas faible non plus. Ils ont été chanceux de n'avoir que des vulnérabilités XSS!
volare: Quel type de conseil général pouvez-vous donner pour la sécurité global d'internet?
Ne0h: Mon conseil est : Vous devez revoir toute la sécurité, prendre compte des e-mail des White Hat qui vous informe d'une vulnérabilité!
volare: Qu'est ce qui est attrayant sur le territoire russe pour les hackers?
Ne0h: Sincèrement je ne sais pas, j'ai juste choisis la Banque Centrale de Russie pour tout simplement voir si le site était vulnérable.
volare: Que penses-tu des hackers russes?
Ne0h: Je penses que certains d'entre eux sont de grands hackers, et amis en même temps.
volare: Que fais-tu maintenant?
Ne0h: Là je recherche des vulnérabilités chez Vodafone et Orange.
volare: Quels sont tes hobbies?
Ne0h: Voir si un site est vulnérable ou non.
volare: Quels films et musiques aimes-tu?
Ne0h: Mes films préférs sont ceux d'herreur et d'action et j'écoute du Hip-Hop
volare: Comment vois-tu l'avenir? Quels plans as-tu?
Ne0h: Pour l'instant je n'ai pas de plans.
Si dans les prochains jours/semaines vous voyez une news sur des failles XSS ou SQLi chez Vodafone et/ou Orange, pensez à Ne0h! D'autant qu'ils me semblent que les blogs Orange (encore ouvert dans certains pays de l'est justement) sont vulnérables aux XSS ...
Le site de Norman vulnérable aux XSS
La compagnie Norman ASA, fondée à Oslo (Norvège), en 1984, est un leader mondial et un pionnier dans le domaine des solutions proactives de sécurité antivirus. Et heureusement qu'ils ne se réclament pas leader d'autre chose, car leur site est un vrai gruyère.
Leur page d'inscription à la newsletter :
Et leur page de demande de clé d'activation :
La NASA encore kacké par un roumain
Très actif en ce moment, un nouvel hacker roumain vient de pirater le site de la NASA.
Accès aux bases de données, possibilités d'uploader sur les serveurs des shells et backdoors, TinKode dévoile ces failles en espérant faire réagir les administrateurs du site.
Phishing free.fr tellecheafamily.com
Un phishing free.fr est en cours, visant les abonnés du FAI. La page a été placé ici par des pirates, ayant utilisés les nombreuses vulnérabilités de la galerie photo Coppermine, que le propriétaire avait mis en place.
Le site du Pentagone vulnérable aux XSS!
Le pentagone, tout le monde connait ce bâtiment mythique abritant le quartier général du département de la Défense des États-Unis. Symbolique de la puissance américaine, le pentagone laisse pourtant quelques portes ouvertes sur son site internet.
Une vulnérabilité XSS toute bête, présente dans la page /tours.
Injections d'iframes également possibles :
Cette vulnérabilité peut sembler anodine, mais elle peut s'avérer désastreuse lors du campagne de phishing.
Imaginez qu'un citoyen américain reçoivent un mail demandant de cliquer sur http://pentagon.afis.osd.mil/. Pas trop bête, il regarde vers quoi redirige ce lien : http://pentagon.afis.osd.mil/tours?action=viewLargePhoto&title=1>"%0A%22%3C%73%63%72%69%70%74%3E%64%6F%63%75%6D%65%6E%74%2E%6C%6F%63%61%74%69%6F%6E%2E%72%65%70%6C%61%63%65%28%22%68%74%74%70%3A%2F%2F%6E%65%77%73%2D%6F%66%2D%73%65%63%75%72%69%74%79%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D%2F%22%29%3B%3C%2F%73%63%72%69%70%74%3E
C'est bien le site officiel du pentagone, je clique ... et je suis dirigé quasi instantanément vers un autre site. Ici cela redirige vers news-of-security, donc cela se voit. Mais imaginez un phisher qui aurait copié pixel pour pixel le vrai site du pentagone ....
MTV vulnérable aux injections SQL et XSS
Les sites de MTV-Philippines et MTV-Inde dévoilent leurs secrets sous les salves d'injections SQL.
MTV-Philippines :
MTV-Inde :
Bonus : le site mtv.com est quant à lui vulnérable aux XSS
Les login/password les plus utilisés
Connaitre les nom d'utilisateur et les mots de passes les plus couramment utilisés sur un système d'information est un outils très utile pour qui voudra s'y introduire.
Les mots de passes god, money, power, love entrèrent, il y a une bonne trentaine d'années maintenant dans la légende. Aujourd'hui nous croyons nous plus malin?
L'étude a été réalisé par trois chercheurs de chez Microsoft : Francis Allan, Tan Seng et Andrei Saygo. Ils ont fait tourner un honeypot durant près d'un an, et on regardé ce qui en sortait. Entre autre, les mots de passes et login les plus utilisés par les pirates pour leurs opérations de brute force. Et si c'est testé par les hackers, c'est que c'est utilisé par les admins.
Liste des nom d'utilisateurs:
Administrator
Administrateur
admin
andrew
dave
steve
tsinternetuser
tsinternetusers
paul
adam
Liste des mots de passe:
password
123456
#!comment:
changeme
F**kyou (sans les astérisques bien entendu)
abc123
peter
Michael
andrew
matthew
Un mot de passe fort, ça dit quelque chose à quelqu'un?
Khatra : un malware très, très vicieux
Cherchez l'erreur :
Non, vous ne voyez vraiment pas? Allez regardez encore un peu de plus prêt, en haut de la fenêtre."Internet Exploiter", et oui il semblerait qu'un malware un peu farceur soit passé par là.
La bestiole est un ver de type "autorun", la contamination se fait via des disques de stockage infectés.Ses actions :
- s'auto-copier dans le répertoire windows
- se lancer automatiquement
- s'auto-copier dans le répertoire system
- voler des informations confidentielles
Un exemple du résultat de ses modifications à droite à gauche :
Vous pensez que dans le dossier "Démarrage" il n'y a rien? Que nenni! Le ver à en réalité créé un raccourci vers lui-même du nom de (Empty).lnk ! De cette manière l'utilisateur qui aurait eu la bonne idée de regarder les programmes qui se lance au démarrage est trompé.
Un autre tour de passe-passe pour la route, si l'on fait un clic-droit/propriétés sur le (Empty).lnk :
Le raccourci clavier pour lancer ce lien vers le malware est alt+f4 ! Malin le petit. heureusement que la plupart des antivirus le détecte d'ores et déjà!
Fausse mise à jour de sécurité Microsoft
Les emails sont souvent utilisés par les éditeurs de logiciel ou d'OS afin de mettre au courant leurs utilisateurs d'informations importantes. Mais ils sont également détournés par les spammers qui, au prétexte d'une fausse mise à jour critique, tentent d'infecter toujours plus de machines.
Peu après la correction d'une faille critique d'Internet Explorer, et la mise à jour très attendu de Java pour Mac, ce mail (de Steve Lipner en personne) tombait à pic!
Ce qui pouvait mettre la puce à l'oreille est le lien direct vers le correctif Windows-KB958644-ENU.exe. En effet, Microsoft ne donne plus de lien direct vers des fichiers, il fait toujours passer le consommateurs par une page officiel.
Il semble évident que cette campagne de spam coïncide délibérément avec la "Microsoft Security Bulletin Advance Notification".
