Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Auto-inoculation d'un malware : La méthode de l'antivirus

Auto-inoculation d'un malware : La méthode de l'antivirus
2008-10-132013-02-11sécurité du poste de travailfr
Une tournée guidée, en images, de l'infection d'un poste de travail par un cheval de troie. Un bon exemple d'un "mix" d'ingénierie sociale et des difficultés qu'ont les antivirus à suivre le rythme. Cet exemple est basé sur le logiciel malicieux "Internet Antivirus...
Publié le 13 Octobre 2008 par Jean-François Audenard dans sécurité du poste de travail

L'enrôlement de nouvelles machines dans des réseaux de zombies (botnets) ou pour la collecte d'informations personnelles fait partie des activités « de base » de l'économie du cybercrime.

Il y a quelques années la méthode la plus utilisée de prise de contrôle d'une machine utilisateur était l'exploitation de failles de sécurité de type « réseau ». Avec la généralisation des routeurs ADSL ou autres logiciels de firewalling personnels protégeant les machines depuis l'externe, les méthodes d'exploitation ont évoluées : Exploitation des vulnérabilités des navigateurs Internet et des « plugins » (Acrobat, Flash,....) qui vont de pair.

Un autre grand classique est de faire en sorte que l'utilisateur le fasse lui-même : La créativité des attaquants est très riche : Cela va du « codec vidéo frelaté » au logiciel de sécurité en passant via les barres d'outils de navigateurs. Le « mix produit » est double : Une bonne dose d'ingénierie sociale avec un soupçon de technique et l'affaire est emballée !

Tout commence par une recherche sur Google : Vous cliquez sur l'un des résultats et vous arrivez sur la page suivante :

Comme on peut le voir, cette page ressemble étrangement à la fenêtre de l'Explorateur Windows : il est indiqué que des « erreurs système » ont été détectés et qu'un scan est en cours afin d'éviter toute perte de données.... La barre de progression verte avance tranquille et les noms de fichiers déroulent en dessous.
Dans la boite de dialogue il est indiqué que le logiciel de vérification est fournit par un partenaire officiel « Internet Antivirus Pro » ; qu'il ne faut surtout pas fermer la fenêtre tant que le scan n'est pas finit. En outre, on me recommande d'installer la version complète de ce logiciel « Antivirus Pro Scanner »... Nous laissons donc les choses se dérouler....

Une fois le scan terminé (durée inférieure à une minute) le constat est dur. :-)

Iap_malware_screenshot_2

Les conclusions sont:

  • Des erreurs matérielles ont été détectées sur tous les disques locaux (C: et D :)
  • Des menaces de sécurité sont présentes sur les documents partagés.
  • Des informations privées m'ont été dérobées par un logiciel espion « spyware ». Je peux même voir mon adresse IP et le nom de la ville ou je suis !

Pour résumer : On me dit que ma machine est infectée par des logiciels malicieux est que mes données sont en danger...
... Je clique donc sur le bouton « OK » de la fenêtre de dialogue.

On me propose ensuite d'installer la version complète du logiciel « Internet Antivirus Pro ».

Iap_malware_screenshot_3

Je clique donc sur « OK » pour commencer le téléchargement : Un antivirus gratuit, on ne passe pas à coté d'une si belle opportunité... En plus il a l'air très rapide. ?

Juste au cas, ou l'utilisateur aurait encore un doute, on lui indique qu'il faut qu'il clique sur « OK » pour télécharger des mises à jour de sécurité critiques. On peut voir sur la figure suivante que la fenêtre qui liste les malwares identifiés a un look très similaire à celui du centre de sécurité de Windows XP.

Iap_malware_screenshot_4

Sans attendre, je clique « OK ».

La fenêtre de téléchargement de mon navigateur s'ouvre pour que je puisse récupérer le fichier « IAInstall.exe » : Cela doit être le logiciel Internet Antivirus auquel il a été fait référence avant. Notez qu'une nouvelle fenêtre m'indique comme télécharger le fichier et comment le lancer : L'attaquant fait tout ce qu'il peut pour que cette dernière étape se déroule sans encombre.

Iap_malware_screenshot_5

Une fois le téléchargement terminé, un autre pop-up apparaît indiquant qu'il ne faut pas que je ferme la fenêtre si je veux que ma machine soit « propre ». Il est intéressant de noter comment elle se positionne au dessus de l'autre : On me rappelle qu'il faut lancer l'exécutable.

Iap_malware_screenshot_6

Je ne lance pas l'exécutable. De toute façon, comme je suis sous Linux (Ubuntu en l'occurrence) je ne risque pas grand chose. :-)

J'ai volontairement répété ces manipulations à deux jours d'intervalle (Samedi 11 et Dimanche 12). Le site Internet était parfaitement disponible et tout à fait performant.

J'ai ensuite pris les fichiers « IAInstall.exe » téléchargés et les ait soumis au site Virustotal.com pour analyse. Les résultats sont intéressants :

Clairement, les personnes qui se pensent protégées par leur seul antivirus ont des questions à se poser.

A priori, il s'agirait d'un trojan : Peu d'informations sont disponibles au moment ou j'écris ces lignes. Une analyse du nom de domaine du site web est aussi intéressante : Le nom de domaine a été déposé par une personne habitant en Chine (Fujian) et le site est hébergé en Latvie... Un cocktail intéressant.

En conclusion
Un utilisateur « non averti » utilisant Windows peut très facilement tomber dans le panneau. La réalisation est très bien faite, le look&feel ayant été particulièrement soigné ; seule la langue des fenêtres peut être source de soupçons : un utilisateur ayant un système en Français sera un peu surpris qu'on lui parle en anglais...
Après, comme les utilisateurs ont tendance à cliquer sur « OK » quand ils ne comprennent pas, de grandes chances d'arriver à la phase finale du processus.
Le fait que seul un nombre restreint d'antivirus détectent ce malware est aussi un gage de réussite pour l'attaquant...
... Tout cela en cliquant sur un résultat de recherche de Google.

2 Commentaires

  • 13 Octobre 2008
    2008-10-13
    par
    Bonjour Vince !
    Merci du feedback. Effectivement, bien que la technique soit un peu défaillante c'est bien la personne derrière le clavier qui est en cause. Ceci dit, c'est tellement bien réalisé qu'il y a de quoi se tromper.
    Pour les résultats des des tests A/V, ceux-ci sont accessibles via les liens "Seuls 6 antivirus sur 36" et "Seuls 5 antivirus...".
    Suite à un retour de Philippe Conchonnet, je vais faire d'autres tests via virscan.org et Philippe va compléter le tableau via des tests d'antivirus "unitaires".
    Pour ceux que cela intéresse (mais c'est à vos risques et périls) je vous livre l'URL du site hébergeant ces malwares.
    Je prends le soin de rendre l'URL un peu obscure pour éviter les copier/coller malheureux. Je suis preneur des résultats de vos tests !!
    h__p_//ia-free-scanner_com/
  • 13 Octobre 2008
    2008-10-13
    par
    Vince
    Très bonne analyse démontrant une nouvelle fois que le maillon faible n'est pas toujours celui que l'on croit.
    Serait-il possible d'avoir le résultat des tests A/V et savoir lesquels détectent la supercherie ?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage