Dangers du surf via search engines

28 juillet 2010 : ordinateur entièrement bloqué par un rogue en provenance d'un site X (BDSM) : Security Tool

Nod32 le découvre mais pas Symantec.

28 juillet 2010G28 : Mise en garde de Sylvie C. :

"Nouvelle arnaque en circulation par email sur MSN Live Messenger - donc ne pas ouvrir cet email - merci d'avance et bonne après-midi"

Exemple :

Votre Référence Client : 1-QHF65I
Bonjour cher(e) client(e) :
Votre Carte Bancaire est suspendue, car nous avons remarqué un problème sur votre Carte.
Nous avons déterminé que quelqu'un a peut-être utilisé votre carte sans votre autorisation. Pour votre protection, nous avons suspendu votre carte de crédit. Pour lever cette suspension, Cliquez ici et suivez la procédure indiquée pour mettre a jour votre carte de crédit.
Note: Si ce n'est pas achevé , nous serons contraints de suspendre votre carte indéfiniment, car il peut être utilisé pour des operations frauduleuses.
Nous vous remercions de votre fidélité.
@2010 Service VerifieldbyVisa & SecureCode,Tous droits reserves. Copyright 1999-2010
Cordialement,
[http://gfx1.hotmail.com/mail/w4/pr01/ltr/i_safe.gif]
Maxime Lombardini, Service Client, Directeur.

24 juillet 2010G24 : nous n'avons pas souvenir d'avoir commandé quelque chose chez Amazon; et pour cause :

- VinoSoft n'achète aucun matériel sur Internet (afin de maintenir un service après-vente efficace, nous nous en tenons au marché local)

- VinoSoft ne risque pas de créer un compte sur un site qui s'exprime dans la langue de Shakespeare et qui facture en $ (nous avons une nette préférence pour l'€uro)

- L'adresse utilisée par l'expéditeur pour nous envoyer ce message n'a jamais été utilisée à titre professionnel; elle est strictement réservée à un petit groupe "Nicolas, Henri, Pierre, Jacques et al... [as Wanacon]"

Ce qui fait que ce courrier ne peut être qu'un spam.

La question est : est-il dangereux ?

La réponse est : mitigée; cause : la nécessité d'ajouter un plugin Java (qui pourrait être infectieux).

Tous les liens présents dans le spam référencent la même URL ornewsinfo.com bien connue comme spammeuse chez SpamCop ...

... et elle redirige vers chemistspiral.ru:8080 :

Le Java ne s'affiche pas sur notre PC ?

Probablement bloqué par nos settings de sécurité ou par le manquement d'un Plugin ?

Sur un autre navigateur (Flock) :

Sur Opera et Safari : rien ne s'affiche. Idem sur Firefox :

Le vrai site "chemistspiral.ru" tout court (sans l'argument du port ":8080") donne :

étrange : le lendemain, cette même URL donne :

Mystère et boule de gomme ?

22 juillet 2010G22 : nous avons encore gagné à la loterie

Et pas n'importe laquelle : celle de Bill Gates, d'après Stéphanie Dumortier.

Mais Vista : non merci. Li Missié Kanga pourrait au moins offir un Seven.

Headers :

Return-Path: <dumortier.stephanie@ifrance.com>
Delivered-To: vinosoft@[removed]
Received: from mailsender00.ifrance.com (mailsender00.ifrance.com [82.196.5.120]) by [removed] for <[removed]>; Thu, 22 Jul 2010 06:39:50 +0200 (CEST)
Received: from ifrance02.ifrance.com (unknown [10.0.5.22]) by mailsender00.ifrance.com (Postfix) with ESMTP id 936D02C2040; Thu, 22 Jul 2010 02:53:58 +0200 (CEST)
Received: by ifrance02.ifrance.com (Postfix, from userid 81) id 41B68155C7C; Mon, 19 Jul 2010 20:30:09 +0200 (CEST)
X-Mailer: iEUROP Webmail
X-IuserId: 6461337
From: dumortier.stephanie@ifrance.com <dumortier.stephanie@ifrance.com>
To: cabinet.kanga@sify.com <cabinet.kanga@sify.com>
Subject: FELICITATION!!!! VOUS VENEZ DE GAGNER ...
Message-Id: <20100719183009.41B68155C7C@ifrance02.ifrance.com>

X-OrignIP: 41.189.48.243

41.189.48.243 : Côte d'Ivoire

Comme pour le Nigéria : ca pue l'arnaque à plein nez

Note : les noms cités sont empruntés/usurpés par le spammeur.

14 juin 2010F14 : spam -> page piègée

1/ le spam

2/ Click -> www.bluemountaincard.net/LoveCard_Macromedia.exe

3/ Enregistrement du fichier nécessaire pour voir la e-card et envoi de ce "LoveCard_Macromedia.exe" chez VirusTotal :

Suspicious file = Medium Risk Malware = VirTool:Win32/VBInject.gen!DD

Méfiez-vous des E-Cards.

Voici les principaux sites, rencontrés lors de recherches sur la Toile à propos du rôle des fichiers impliqués dans une boot-sequence de XP, que nous considérons comme déconseillés. Certains ne sont que de simple risque de pièges, sans pour cela être automatiquement de gros malwares: ils peuvent être simplement du genre "difficile de s'en débarasser sans acheter la version payante" (donc, devenant ainsi une vraie nuisance). Certains sites ont donc simplement mauvaise réputation; d'autres sont vraiment très dangereux.

Il ne s'agit, bien entendu, que d'un conseil de méfiance.

Nous n'avons pas tout téléchargé pour vérifier la certitude de désagrément ou de virus :-)

Note préliminaire : nous faisons régulièrement appel au service Norton Safe Web :

Tag

Et nous utilisons systématiquement le service WOT dans nos navigateurs principaux (MSIE & AVANT, FIREFOX & FLOCK)

Exemple de l'alerte fournie par le plugin dans Flock :

Exemple de l'alerte fournie par le plugin dans Firefox :

Voici notre liste :

- mightychicken (Czech Republic)

http://www.mywot.com/fr/scorecard/mightychicken.com

Site référence par un popup indésiré obtenu en utilisant translate.googleusercontent.com

- registrybooster (USA) ; liutilities.com ou uniblue.com ne semblent pas présenter un danger direct :

- rentrerait dans le genre : "difficile de s'en débarasser sans acheter la version payante".

- "les évaluations pour ce site sont contradictoires" :

- smartcleaner (Praha, Czech Republic) - Engaged in the distribution of malware.

Nous envoyons le fichier "FREE DOWNLOAD" à VirusTotal :

Et voici le résultat :

Win32.HEUR Malware

Win32/Heur, also mentioned as Virus Win32 Heur is a dangerous self-mutating polymorphic trojan virus, typically installed on windows system without victims knowledge. The Win32/Heur virus infects PC's via dubious filesharing applications, corrupt media files, spam emails and porn related web sites. Once infected, Win32/Heur virus will modify Windows win32 system files, and install additional trojans, worms and viruses onto the infected computer. The Win32/Heur trojan is usually detected with the "Virus found Win32/Heur" alert and may activate fake Dr. Watson security warnings and redirect Internet Explorer and FireFox browsers to sites like crackle.com.

Trojan Win32/Heur malware is severe security and privacy risk that can alter/delete crucial system files, disable antivirus and firewall software and hijack both local and network computers.

Heuristic Generic Malware de type Trojan

- xraymypc.com/scanner.html (USA)

- spy-kill (ou deluxe.spy-kill, USA) : SpyKill is a program that simulates detection of threats on the computer.

"Spy-Kill.com is part of internet--privacy.com and encryption.cc family of privacy software,a team of dedicated software engineers" selon leur site !

- spyware-doctor-antivirus (USA)

- secsoftware.com (USA) - Windows Cleaner - commentaires sur mywot.com : "bad website" "do not visit" "engaged in the distribution of malware"

- regeasycleaner (USA)

The trial offers unlimited scan ONLY, and will only remove problems from 4 sections until it is registered; updates may also differ to those supplied to registered users.

- regicleanse

RegiCleanse is simple and easy to use software which will optimize your computer to fix computer errors such as slow computer operation, unknown error messages, deadlock errors, computer freezes and much more.

RegiCleanse can improve your computer's overall performance greatly, fix up to 99% of computer errors and boost your computer speed by up to 200%.

- registryhelper, GoDaddy, USA [68.178.232.143], recommandé par Google

http://www.mywot.com/fr/scorecard/reghelper.com

à gauche, le contenu du fichier "RegistryHelperSetupED.exe"

à droite, l'analyse par VirusTotal

Fichiers extraits par UniExtract

PUA.packed.ASPack212 - W32/FakeAV.AA!genr

- Driver Agent (USA)

Norton (ci-dessus) et MyWot (ci-dessous) - au 20 janvier 2010

- regtool.com (USA) - rogue software

Ce site a mauvaise réputation

- virusremovalguru (74.54.219.98, USA; 2010C) - Fake security software.

Exploits your browser, scares you into purchasing a fake anti-virus software you do not need, downloads contain trojans and rogue security programs which can infect your computer badly.

- spywarecease.com (70.86.108.201, Houston, TX, USA 2010D) - Listed by malwaredomains.com and by malwareurl.com

Rogue Software - Site exploits the Internet explorer 0-day exploit (Could Allow Remote Code Execution)

Validation de l'information de Mywot : si l'on télécharge le logiciel proposé : 5/04/2010 11:40:32 IMON self-extracting archive spywarecease.com/SpywareCease_Setup.exe : Win32/Adware.SpywareCease application Connection terminated \Administrator

Un rogue est un logiciel de sécurité diffusant de fausses alertes et pratiquant un harcèlement publicitaire pour inciter les internautes à installer une version gratuite puis acheter une version payante du logiciel. Pour l'enrayer, il existe un utilitaire gratuit d'Eset nommé RogueAV Cleaner qui permet d'éliminer les faux anti-virus et les faux-espions sur votre ordinateur.

Les malwares des rogues les plus courants : * Win32/Adware.AdvancedCleaner * Win32/Adware.AntiMalwareGuard * Win32/Adware.Antispy2008 * Win32/Adware.AntiSpyware2008 * Win32/Adware.AntiSpywareProtector * Win32/Adware.Antivirus1 * Win32/Adware.Antivirus2008 * Win32/Adware.AntiVirusAgentPro * Win32/Adware.AntiVirusPro * Win32/Adware.BPSSpywareRemover * Win32/Adware.BugDoctor * Win32/Adware.DoctorAntivirus * Win32/Adware.ExpressAntivirus * Win32/Adware.FileFixProfessional2009 * Win32/Adware.IntelinetSmartSecurity * Win32/Adware.InternetAntivirus * Win32/Adware.MalwareDefender2009 * Win32/Adware.MSAntispyware2009 * Win32/Adware.MSAntivirus * Win32/Adware.Netcom3Cleaner * Win32/Adware.PerfectDefender.F * Win32/Adware.PerfectDefender2009 * Win32/Adware.PowerAntivirus.E * Win32/Adware.PrivacyComponents * Win32/Adware.PrivacyGuard * Win32/Adware.RegistrySmart * Win32/Adware.SaferScan * Win32/Adware.SecureExpertCleaner * Win32/Adware.SpamNuker * Win32/Adware.SpyKillerPro * Win32/Adware.SpyProtector.A * Win32/Adware.SpywareCease * Win32/Adware.SpywareExpert * Win32/Adware.SpywareFighter * Win32/Adware.SpywareGuard * Win32/Adware.SpywareIsolator * Win32/Adware.SpywareProtect2009 * Win32/Adware.SpywareRemover * Win32/Adware.SysAntivirus * Win32/Adware.SystemSecurity * Win32/Adware.ThreatNuker * Win32/Adware.TotalDefender * Win32/Adware.TotalVirusProtection * Win32/Adware.TZSpywareRemover * Win32/Adware.VirusAlarmPro * Win32/Adware.VirusDoctor * Win32/Adware.VirusIsolator * Win32/Adware.VirusMelt * Win32/Adware.VirusRemover * Win32/Adware.VirusRemover2008 * Win32/Adware.VirusTrigger * Win32/Adware.WinAntiVirus * Win32/Adware.WinFixer.AB

- pcerrorfixer (97.74.215.168 - GoDaddy, USA; 2010C)

Fix Your Windows Errors Fast !

Scam and rogue application : cadillac2.paretologic.revenuewire.net/regcure/download (RegCureSetup_RW.exe)

PC Error Fixers was started in Vallejo, California in January of 2010, as an affiliate marketer for the purpose of marketing digital computer repair products via the internet.

- repair-your-system (66.210.13.230, USA)

Download Free Scan = "www dot regsweep.com/?hop=ebollet&p={P}&mode=download&gid=&oid=&aid=&yid=" = "page load error" ?

- regcure - rogue software selon plusieurs commentaires :

également disponible chez pcperformanceclinic (scam, arnaque)

RegCure est un lien recommandé (sponsored results) par le moteur de recherche search.freecause.com (Yahoo, en provenance de la TooBar IsCool de Facebook)

: fixcomputerproblems.biz & pctuneupadvisor.com (rogue)

- registry doktor pro (GoDaddy, USA)

http://www.mywot.com/en/scorecard/www.registry-doktor-pro.com :

"Scam / Arnaque : rogue ne pas télécharger !"

- Registry Génie

http://www.mywot.com/fr/scorecard/reggenie.com

à gauche, les fichiers extraits de l'installateur de RegGenie téléchargé.

Sponsored by search.freecause.com (IsCool Toolbar, Facebook)

UniExtract

Ci dessous, l'analyse par VirusTotal de RegGenie.exe :

Fraudtool.Win32.RegTool!IK

W32/FakeRegClean.B

High Risk Fraudulent Security Program

- spywarenerds.com (rogue programs)

Sponsored result : un lien recommandé par le moteur de recherche search.freecause.com (Yahoo, en provenance de la TooBar IsCool de Facebook) :

- Recommandé (sponsored result) par Yahoo (search.freecause "SiS 7012 Audio Device") : errornerd.com

Rogue Software -> Regcure

En recherchant des informations sur un malware (Desktop Security 2010, rogue), Google référence (en mai 2010) le site fr.pcthreat.com qui est affecté du commentaire MyWot "attaque en ligne, ne naviguer pas sur ce site web ou vous obtiendrez de beaux rogues" -> à éviter (SpyHunter-Installer.exe). Idem pour virusremovalguru.com

Site apparu (en mai 2010) via un popup persistant qui signale qu'il manque un codec pour visualiser la page d'acceuil d'un ISP/FAI belge : totalcodec.com (may be related to Zlob and other Trojans and malware disguised as media players).

- quad-cleaner google

Analyse gratuite et virus gratuit !

Related : qrcmsidownload.ibcustomerzone.com (63.243.188.97) : There is an error in XML document (753, 178).

Selon http://www.vista-xp.fr/forum/topic5075.html : "Depuis quelques semaines, on peut trouver dans les publicités Google (sur les pages de recherche ou sur des sites légitimes) des pubs qui incitent à télécharger le logiciel Quad Registry Cleaner ... ce logiciel est un rogue (faux logiciel de sécurité) qui va détecter dans sa version gratuite un grand nombre de problèmes (évidemment) sur votre PC et vous proposer de les réparer après achat de la version complète (Ca va de soi ... ) - Quad-Cleaner utilise plusieurs noms de domaine comme reparer-windows.com ou encore reparer-registre-pc.com".

Notre test confirme les soupçons :

24/10/2009 AMON QUAD_Registry_Cleaner_Installer[1].exe a variant of Win32/Adware.QUADRegClean

En instance d'informations complèmentaires (décembre 2009) : windows-driver-update : DriverCure Win32.Downloader

Source : search.freecause.com sponsored results for "Seven 64bit + laptop"

Sites à éviter : offre pour logiciels contrefaits softpacher (eurosoftware)

Liens utiles : DNS-BH Malware Domain Blocklist - malware.com.br/lists - viruspool.net/blacklist - Lliste des arnaques

Les dangers proviennent aussi de tentations offertes par le courrier éléctronique.

Les "greeting cards", qui vont (re)devenir de circonstance en cette fin d'année, sont prisées par les Crapules pour tenter de vous infecter.

Exemple du jour (novembre 2009) : E-Cards, Greeting Card

Headers :

Received: from mailgate003.isp.belgacom.be (mailgate003.isp.belgacom.be [195.238.6.88]) by maildelivery029.isp.belgacom.be (Postfix) with ESMTP id AC478230029 for <vinosoft@[removed]>; Fri, 13 Nov 2009 08:31:38 +0100 (CET)
Authentication-Results: in.mx.skynet.be; dkim=neutral (message not signed) header.i=none
Received: from mail11.vds.nttls.co.jp ([59.106.107.154]) by in.mx.skynet.be with ESMTP; 13 Nov 2009 08:31:37 +0100
Received: from User (h-69-3-169-74.phlapafg.static.covad.net [69.3.169.74]) (authenticated bits=0) by mail11.vds.nttls.co.jp (8.13.1/8.13.1) with ESMTP id nAD7Q3vb004207; Fri, 13 Nov 2009 16:26:05 +0900
Message-Id: <2009111[removed]4207@mail11.vds.nttls.co.jp>
Reply-To: <no-replay@cgreettings.com.net>
From: "E-Cards"<e-cards@greettings.com.net>
Subject: You Have Received a Greeting Card!
Date: Fri, 13 Nov 2009 02:26:25 -0500
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Spam-Status: NONE
X-Spam-Method: NCL
X-Spam-ID: 07D90B0D3B6A6B9A9B
To: undisclosed-recipients:;
X-UIDL: 000000000019d788.0000a70b
X-MSP-STORE: Fri, 13 Nov 2009 08:31:39 +0100
Status:

<html>
</head>


Nicole has sent you Happy Wishes 
Your E-card will be available at the link below: 

<a href="http://potatoesnb.com/agcertservices/E-Cards.exe">
http://www.123greetings.com/anniversary/wedding_anniversary/couple/couple64.html</a> 
 

</html>

L'expéditeur est un Ricain : 69.3.169.74 h-69-3-169-74.phlapafg.static.covad.net : Covad Communications Co. - San Jose, CA - USA

On remarque immédiatement que la phrase du corps du message " http://www.123greetings.com/anniversary/wedding_anniversary/couple/couple64.html" est déguisée; elle devient dans les headers : http://potatoesnb.com/agcertservices/E-Cards.exe , c'est-à-dire un fichier exécutable (.exe)

Le site hébergeant l'exécutable est potatoesnb.com :

Ce site est connu de Norton Safe Web comme étant dangereux :

Qu'en pense Nod32 ?

Il confirme la dangerosité : 13/11/2009 10:00:39 IMON file http://potatoesnb.com/agcertservices/E-Cards.exe a variant of Win32/Spy.Zbot.NJ trojan

Le virus modifie des registres, vole de l'information (style "Spy.Bancos") et facilite un accès à l'ordinateur via une porte dérobée.

Il s'autocopie dans l'emplacement suivant : %SYSDIR%\ntos.exe
Les fichiers suivants sont créés : %SYSDIR%\wsnpoem\audio.dll & %SYSDIR%\wsnpoem\video.dll

La clé de registre suivante est changée : [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] : l'ancienne valeur "userinit" = "%SYSDIR%\userinit.exe" devient "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe"

Les ports suivants sont ouverts : - svchost.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée - svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy - svchost.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.

Un serveur en relation avec cette bestiole : 77.221.133.188.addr.datapoint.RUSSIAN FEDERATION mais il est bloqué par les régles de sécurité de nos deux navigateurs principaux (Avant Browser & Flock) :

This network has hosted sites that have distributed malicious software in the past 90 days. Google found 18 sites, including, for example, theloandirect.biz, agrealt.ru, 77.221.133.0, that infected 224 other sites, including, for example, anastanic.net, malacarodejka.cz, meridian-apt.com.

Les fêtes de fin d'année approchent : méfiez-vous des "Greeting Cards" !

Méfiez-vous des spam's :

Received: from snt0-omc1-s27.snt0.hotmail.com ([65.55.90.38]) by SNT0-hmmc1-F13.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959); Sat, 14 Nov 2009 18:48:08 -0800
Received: from snt0-mc4-f19.Snt0.hotmail.com ([65.55.90.7]) by snt0-omc1-s27.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959); Sat, 14 Nov 2009 18:48:07 -0800
Resent-To: vinosoft@[removed-1]
Resent-From: vinosoft@[removed-2]
Received: from blu0-omc2-s37.blu0.hotmail.com ([65.55.111.112]) by snt0-mc4-f19.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959); Sat, 14 Nov 2009 18:48:07 -0800
Received: from BLU0-SMTP45 ([65.55.111.71]) by blu0-omc2-s37.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959); X-Originating-IP: [91.191.145.154]

91.191.145.154 : Euro Web DBM - Boulogne Billancourt - France

X-Originating-Email: [stef...@msn.com]
Received: from localhost ([91.191.145.154]) by BLU0-SMTP45.blu0.hotmail.com over TLS secured channel with Microsoft SMTPSVC(6.0.3790.3959); Sat, 14 Nov 2009 18:48:06 -0800
From: stef...@msn.com
Reply-To: msnapps.web@gmail.com
To: stef...@msn.com
Cci: lgr18a c/o hotmail.com, zoeboland97 c/o hotmail.com, cfreiberg c/o hotmail.com, beneaziz c/o hotmail.com, bernard_bouillon c/o hotmail.com, vinpan33 c/o hotmail.com, thierry_schoon c/o hotmail.com, babylov1 c/o live.fr, picore c/o hotmail.com, crow_ice c/o hotmail.com, marieboelaerts c/o hotmail.com, zoeboland1997 c/o hotmail.com, gillouleelou c/o hotmail.com, mblondiau c/o hotmail.com, lesco29 c/o msn.com, tvo64 c/o hotmail.com, loulou.10.1 c/o hotmail.com, vinosoft c/o [removed-2], niniedesairs c/o hotmail.fr, mfnoirfa c/o hotmail.com, piret_frederic c/o hotmail.com, rnootebos c/o hotmail.com, jph70 c/o hotmail.com, virtueldavid c/o hotmail.com, dldbsa c/o hotmail.com
Subject: Tous les mots de passe Facebook en 2 secs !

Lien référencé : dl.fb-pass.com = 91.191.144.85 (Euro Web DBM - Boulogne Billancourt - France) - 81 038 - 08 99 190 113

FB-Pass, qu'est-ce que c'est ?
C'est un service qui te permet de retrouver le mot de passe de n'importe quel compte sur Facebook. Entre ton adresse de messagerie et le programme déclenche sa procédure puis trouve le mot de passe du compte. Il te suffit d'obtenir un code et te l'indiquer dans le formulaire de droite pour pouvoir télécharger le logiciel qui récupère les mot de passe Facebook.

Pourquoi faut-il un code ?
L'obtention d'un code permet de financer le serveur de téléchargement et le site de présentation du logiciel. Vous pouvez ensuite télécharger le logiciel gratuitement à votre guise.

Est-ce dangereux ?
FB-Pass est totalement sur. De plus, tu n'as pas besoin de donner ton nom d'utilisateur ou ton mot de passe.

Ça change quelque chose sur mon compte ?
Non. Rien n'est changé sur ton compte. Tu n'as d'ailleurs pas besoin de donner d'informations sur ton propre compte Facebook.

C'est limité ?
Non. Une fois FB-Pass téléchargé, tu pourras l'utiliser tous les jours, autant de fois que tu le veux.

Faut passer à la caisse.

Comme un autre site également référencé par un spam :

La Newsletter de l'excellent site Tom's Hardware référence "Free Scan" de "reimage"

Le site référencé reimage.com est contreversé par MyWot : rogue, scareware, spyware, spam, phishing, ... not a good program ?

ReimageRepair.exe

Mefiez-vous des "online casino" comme (par exemple) : primecasino.com

30/05/2010 8:12:31 IMON file http://download.primecasino.com/prime/download.asp?PCMGUID=

35d6a248-249c-4ff1-bba9-d8935be6134f&banner_tag=66529&ul=fr&file_name=prime.exe Win32/PrimeCasino application - Connection terminated.

Related to Golden Tiger Casino : promo.c-rewards.com is a fraudulent gambling website.

30/05/2010 8:24:08 IMON file http://secure.goldentigercasino.com/download/download.asp?file_name=goldentiger.exe

&banner_tag=aff75705&casinoid=301&lang=FR Win32/PrimeCasino application - Connection terminated.

Avec

Deux antivirus surveillent le courrier entrant :

1/ Le message vérolé :

2/ Les alertes des antivirus :

a) Nod32 : 15/11/2009 IMON email message from: "Verizon Wireless" <no-reply@verizonwireless.com> to: vinosoft@[removed] with subject Your credit balance is over its limit dated Sun, 15 Nov 2009 downloaded from server 80.245.60.97:110 [notre POP] a variant of Win32/Kryptik.YV trojan contained infected files.
b) Norton : Scan type: Auto-Protect Scan - Event: Risk Found! - Risk: Downloader.Ergrun - File: [virus a variant of Win32/Kryptik.YV trojan] Your credit balance is over its limit>>balancechecker.vzip>>balancechecker.exe - Location: Mail System - Action taken: Cleaned by Deletion - Date found: dimanche 15 novembre 2009

3/ Les headers du message infécté :

Comment: Scanned by NOD32
X-Symantec-TimeoutProtection: 0
Return-Path: <warehousingji28@sedgwickcms.com>
Delivered-To: vinosoft@[removed]
Received: (qmail 1343 invoked from network); 15 Nov 2009 12:34:51 +0100
Received: from 201-24-93-191.bnut3702.dsl.brasiltelecom.net.br (HELO 201-14-159-203.bnut3702.dsl.brasiltelecom.net.br) by [removed] with SMTP; 15 Nov 2009 12:34:12 +0100
Received: from 201.25.236.154 by Mail2.sedgwickcms.com; Sun, 15 Nov 2009 09:34:01 -0300
Date: Sun, 15 Nov 2009 09:34:01 -0300
From: "Verizon Wireless" <no-reply@verizonwireless.com>
X-Mailer: The Bat! (v3.71.04) Educational
Reply-To: warehousingji28@sedgwickcms.com
Subject: Virus Found in message "[virus a variant of Win32/Kryptik.YV trojan] Your credit balance is over its limit"
X-NOD32Result: Infected, a variant of Win32/Kryptik.YV trojan

------------EE57F4D2C8849CA1
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: base64
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------------EE57F4D2C8849CA1
Content-Type: application/zip; name="balancechecker.zip"

Expéditeur : 201-25-236-154.bnut3702.dsl.brasiltelecom.net.br (201.25.236.154), Brasil Telecom S/A - Filial Distrito Federal

Information générale : L'ESIEA, une école d'ingénieurs française, peut se vanter d'avoir semé une belle pagaille dans le petit monde des éditeurs d'antivirus. Sur son campus de Laval, elle a organisé en octobre 2009 un test des logiciels de protection les plus répandus : désactiver frauduleusement les antivirus grand public. Résultats : Radio Television Caraibes - Commentaires : lepoint.fr (le protocole de test est trop spécifique).

« Il existe des moyens de faire des antivirus efficaces, mais c'est à la fois plus cher en recherche et développement, et plus lourd pour le système d'exploitation de l'ordinateur. La plupart des éditeurs choisissent donc le compromis qui leur permet de gagner plus d'argent à moindre coût. » Eric Filiol.

SPAM - 26 janvier 2010 : l'expéditeur veut juste connaître votre nom, votre adresse email et son password; on se demande pourquoi ?-)

Extraits des headers :

Received: from [removed : email server of our ISP]
Received: from pop3.citechco.net ([203.191.33.110]) by [removed] with ESMTP; 26 Jan 2010 03:13:48 +0100
Received: from localhost (localhost [127.0.0.1]) by pop3.citechco.net (Postfix) with ESMTP id F0D833254681; Tue, 26 Jan 2010 08:13:01 +0600 (BDT)
X-Virus-Scanned: amavisd-new at pop3.citechco.net
Received: from pop3.citechco.net ([127.0.0.1]) by localhost (pop3.citechco.net [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id CNY-kDxqn-1s; Tue, 26 Jan 2010 08:12:56 +0600 (BDT)
Received: from pop3.citechco.net (pop3.citechco.net [203.191.33.110]) by pop3.citechco.net (Postfix) with ESMTP id 9912B3254669; Tue, 26 Jan 2010 08:12:55 +0600 (BDT)
Date: Tue, 26 Jan 2010 09:12:55 +0700 (BDST)
From: Webmail Help Desk <krish@citechco.net>
Reply-To: Webmail Help Desk <admincentre@mail2webmaster.com>
Message-ID: <8706[removed]5608.JavaMail.root@pop3>
Subject: ***Update Your Account Details***
X-Originating-IP: [212.116.219.200]
X-Mailer: Zimbra 6.0.1_GA_1816.DEBIAN4.0 (zclient/6.0.1_GA_1816.DEBIAN4.0)

203.191.33.110 : Grameen CyberNet - Bangladesh.
212.116.219.200 : awalnet - Saudi Arabia - AR RIYADH FAISALIAH

18 novembre 2009, en provenance du Chili (pc-29-136-86-200.cm.vtr.net)

200.86.136.29

CHILE

VALPARAISO

VIñA DEL MAR

VTR BANDA ANCHA S.A

1/ Le message vérolé :

2/ L'alerte antivirus :

19/11/2009 - archive module.zip Win32/Oficla.BL trojan

3/ Les headers du message infécté :

Return-Path: <regrettablywk15@signaturedomains.com>
Delivered-To: vinosoft@[removed]
Received: (qmail 7537 invoked from network); 18 Nov 2009 20:24:45 +0100
Received: from pc-29-136-86-200.cm.vtr.net (200.86.136.29) by [removed] with SMTP; 18 Nov 2009 20:24:43 +0100
Received: from 200.86.136.29 by mail.signaturedomains.com; Wed, 18 Nov 2009 16:24:28 -0400
From: "Customer Support" <support@banksystemid22445.com>
To: <vinosoft@[removed]>
Subject: [virus Win32/Oficla.BL trojan] payment request from "EMC Corporation"
Date: Wed, 18 Nov 2009 16:24:28 -0400
Message-ID: <000d01ca[removed]a8c0@regrettablywk15>
[removed]X-Mailer: Microsoft Outlook, Build 10.0.3416
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-NOD32Result: Infected, Win32/Oficla.BL trojan

4/ Vérification chez VirusTotal :

Il y a quand même 8 antivirus (sur les 41) qui le rate : a-squared, Comodo, eSafe, Norman, nProtect, Rising, TheHacker, VBA32

5/ Le virus (Trojan.Dropper; une vieille bestiole de février 2000) :

The following system change may indicate the presence of this malware : the presence of additional random data in the registry as in the following example : Value: "Shell" with data: "explorer.exe rundll32.exe dckp.kio pushprl" in subkey HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Technical Information : Trojan:Win32/Oficla.E is a trojan that attempts to inject code into a running process to download a rogue security program identified as TrojanDownloader:Win32/FakeScanti.
Installation : Trojan:Win32/Oficla.E may be installed by other malware such as TrojanDropper:Win32/Oficla.A. In the wild, this trojan was observed being distributed in spammed e-mail messages as an attachment.

Un train peut en cacher un autre : Trojan:Win32/Oficla.E attempts to download other malware such as TrojanDownloader:Win32/FakeScanti from the following domains : mnogoijirno.com, dallynews.cn, orgazmer.com (ce site est en vente SEDO), adjamadja.cn

SPAM : tous les jours, depuis des années, nous recevons plusieurs exemplaires du même type de publicité; rien de bien exceptionnel.

Mais dans le cas présent, l'expéditeur est le même que le destinataire !

Ce qui exclu toute possiblilité d'exclure l'adresse expéditrice par une régle antispam.

Les Headers sont :

Return-Path: <vinosoft@[removed]telecom.com>
Delivered-To: vinosoft@[removed]telecom.com
Received: (qmail 30342 invoked from network); 20 Nov 2009 10:55:09 +0100
Received: from abts-mum-dynamic-108.62.169.122.airtelbroadband.in (HELO ABTS-mum-Dynamic-214.46.169.122.airtelbroadband.in) (122.169.62.108) by [removed] with SMTP; 20 Nov 2009 10:55:08 +0100
From: VIAGRA ® Reseller <vinosoft@[removed]telecom.com>
To: vinosoft@[removed]telecom.com
Subject: Dear vinosoft@[removed]telecom.com receive 80% OFF on Pfizer
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit

L'expéditeur est ABTS-mum-Dynamic-108.62.169.122.airtelbroadband.in

122.169.62.108

INDIA

MAHARASHTRA

MUMBAI

ABTS-WEST-DSL-124966-MUM

Vu la régularité des envois, notre Indou est peut-être "membre" d'un botnet ?

Le site référencé est "Canadian Pharmacy" en 1873e7695.cedohxn.cn qui redirige vers rxwholesaleyear.com

60.172.223.19

CHINA

ANHUI

HEFEI

CHINANET ANHUI PROVINCE NETWORK

rxwholesaleyear.com : liu wenge - 8128558@sina.com - whois.dns.com.cn : Creation Date: 09 OCT 2009

Parmi les nombreux spam's journaliers que nous recevons sur cette adresse vinosoft@[removed]telecom.com, certains s'avèrent vraiment dangereux :

Ouverture du lien référencé :

Clic sur le bouton et bonjour le trojan :

a variant of Win32/Kryptik.BAE trojan

Spam du 24 décembre 2009 : arnaque sous le prétexte de PayPal

1/ Le message

Vraisemblable puisque nous avons un compte PayPal; crédibilité augmentée par les mises en garde en matière de sécurité des comptes.

Mais ce qui ne va pas, c'est le lien "Cliquer ici pour vérifier votre compte" qui fait appel au Novotel de Bahrain !

http://novotel-bahrain.com/image/image/www.paypal.fr/fr/paypalsecurity/france%20canada%20belgique/security.paypal.france.secur%20paypal/cgi-binwebscrcmd_login-submit/webscrcmd=_login-done&login_access=11[removed]2.htm

Nous y allons quand-même et encodons notre email pour identfication :-)

Nous encodons les coordonnées de notre carte de banque :

Le Pirate dispose maintenant de nos codes Visa :-)

Virus dans la messagerie électronique :

En mars 2010, cela fait plusieurs mois qu'aucun virus ne nous a été envoyé comme pièce jointe à un email.

Cette pratique est en désuétude, au profit des trojan's hébergés sur des pages piègées qui sont référencées par des spam's.

Nous en avons encore trouvé en quantité importante dans la messagerie d'une de nos Clientes (mars-avril 2010) dont le compte email est très spammé.

Voici notre seul exemple de 2010 :

La "grande époque" de Mydoom.R date (chez nous) de 2006; c'est un ancêtre de 2004.

Extraits des headers du message vérolé :

Return-path: <user@bol-online.com>
X-Spam-Score: 8
Received: from bol-online.com (unverified [84.124.87.242]) by mail5.e-zone.net (Rockliffe SMTPRA 9.2.0) with ESMTP id <B0001064355@mail5.e-zone.net> for <vinosoft@[removed]>; Tue, 23 Mar 2010 16:53:31 +0100
Message-ID: <B00[removed]355@mail5.e-zone.net>
From: user@bol-online.com
Subject: [virus Win32/Mydoom.R worm] Delivery failed
Date: Tue, 22 Jul 2008 21:06:19 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0008_AE178202.6F3EE18E"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-NOD32Result: Infected, Win32/Mydoom.R worm

Expéditeur : 84.124.87.242.static.user.ono.com - E-28023 Aravaca, Madrid - Spain
user@bol-online.com : BOL Network Operations Center - Bangladesh

Comment une si vieille bête peut-elle encore circuler; Monsieur User est peut-être un archiviste ?

Accepter toutes les Toolbar's qui se présentent lors du surf : bonjour les dégâts; des popup's à ne plus savoir qu'en faire (3 Suisses, Sony, Flirt, ...).

En instance : driverutility - http://www.mywot.com/fr/scorecard/driverutility.com : semble actuellement (février 2010) sans danger connu.

Driver_Utility_Pro.exe : pas de nuisances selon VirusTotal (41 antivirus).

Suivi, avril 2010 : le site qui nous paraissait suspect est bien passé en "Ce site a mauvaise réputation" chez Mywot tout en restant "SECURE" selon Norton SafeWeb.

From spam : 12/04/2010 20:28:20 IMON file www.essencialservicos.net/DowNloaDVideosNow : a variant of Win32/Spy.Bancos.NSI trojan

System off, wait a few more hours

Mefiez-vous également des offres "free mp3" ou "free movies".

Les fichiers multimedia peuvent contenir des malwares.

Exemple de mai 2010 :

11/05/2010 5:45:37 AMON file ... The Devils.mpg a variant of WMA/TrojanDownloader.GetCodec.gen trojan

2010F10 From SPAM : 10/06/2010 "Changelog 07.06.2010", le fichier attaché est compressé; nous le soumettons à Virus Total :

Win32.Outbreak!IK - Malware/Win32.Heur.h10 - HIDDENEXT/Worm.Gen - W32/Heuristic-300!Eldorado - Trojan.Bredolab.BZ - Heur.Packed.Unknown - Trojan.Oficla.zip - W32/Heuristic-300!Eldorado - Trojan.Bredolab.BZ - Win32.Outbreak - Suspicious file - Trojan.Sasfis (Symantec) - Mal/Zbot-U - W32/Generic!zip-dobleextension - TROJ_DROPPR.ASB - Nod32 : pas d'alerte.

Extraits des headers du message vérolé :

Return-Path: <mangyu22@rodmanins.com>
X-Original-To: [removed]online.com
Delivered-To: [removed].be
Received: from mail.ashmun.com.au (unknown [165.228.233.82]) by [removed].be (Postfix) for <[removed]online.com>; Thu, 10 Jun 2010 01:34:46 +0200 (CEST)
Received: from 165.228.233.82 by smtp.rodmanins.com; Thu, 10 Jun 2010 09:33:28 +1000
From: "Sheena Putnam" <mangyu22@rodmanins.com>
Subject: Changelog 07.06.2010
Date: Thu, 10 Jun 2010 09:33:28 +1000
Message-ID: <000d01[removed]400a8c0@mangyu22>
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.3416
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4963.1700
Importance: Normal

Received: from 165.228.233.82 : mail.ashmun.com.au (Telstra Internet - Canberra - Australie)

2010E11 From SPAM : 11/05/2010 "Please review my CV, Thank you!", le fichier attaché est compressé; nous le soumettons à Virus Total :

Le message :

Headers (extraits) :

Return-Path: <unworldlyqw6@lastminutebets.com>
Received: from host86-179-139-197.range86-179.btcentralplus.com (host86-179-139-197.range86-179.btcentralplus.com [86.179.139.197]) by [removed] (Postfix) with ESMTP id 928D8317001 for [removed].com>; Tue, 11 May 2010 09:39:56 +0200 (CEST)
Received: from 86.179.139.197 by smtp.secureserver.net; Tue, 11 May 2010 08:39:33 +0000
From: "Deidre Battle" <unworldlyqw6@lastminutebets.com>
Subject: [virus Win32/Oficla.GW trojan] [virus Win32/Oficla.GW trojan] New resume!
Date: Tue, 11 May 2010 08:39:33 +0000
Message-ID: <000d01caf[removed]c0@unworldlyqw6>
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.3416
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2527
Importance: Normal
X-NOD32Result: Infected, Win32/Oficla.GW trojan

Expéditeur : host86-179-139-197.range86-179.btcentralplus.com

86.179.139.197 - UNITED KINGDOM - - ENGLAND LONDON CENTRAL + MIGRATION TO 21CN

Win32/Oficla is a familiy of trojans that attempts to inject code into running processes in order to download and execute arbitrary files. In the wild, we have observed variants of this family downloading and installing several different malware families, including Win32/FakeScanti and Win32/Cutwail.

Je ne peux que vous encourager à soumettre toute pièce attachée suspecte à l'excellent service en ligne (gratuit) qu'est Virus Total. Et d'installer l'excellent service (gratuit) qu'est mywot.

Arnaque postale : courrier frauduleux.

Les tentatives de renouvellement frauduleux de noms de domaine sont en recrudescence. En ce moment, la société Domain Renewal Group multiplie les courriers encourageant le renouvellement du nom de domaine, et par ce même fait, son transfert. Donner suite à leur offre équivaut à les autoriser à transférer votre nom de domaine vers un agent de leur choix. Vous serez alors lié à leurs conditions générales (prévoyant le paiement de frais d’installation de 200 $). De plus, vous subirez la perte des services supplémentaires éventuellement liés à votre nom de domaine tels que les e-mails, l’hébergement et le site Web.

Exemple :

Avatar : des pirates iraniens (octobre 2009) ont hacké le serveur qui héberge nos sites :

Windows Live Messenger ... et ses dangers (surtout pour nos chères Têtes Blondes) :

Mai-juin 2010, nous recevons de nombreuses demandes de contact ... (spam) ...

... des invitations de la part de Demoiselles du Net = grosses salopes virtuelles :-(

Et plusieurs notifications comme quoi nous aurions demandé de changer le mot de passe de notre compte@hotmail.com ...

.. alors qu'aucune requête de ce genre n'a été effectuée.

Dans le même genre, en juin 2010 :

Extraits des headers du message :

X-SID-PRA: sophie jouve <s.jouve@hotmail.fr>
X-SID-Result: Pass
X-AUTH-Result: PASS
X-Message-Info: bIUPYgMBwnftjWeynGwOsI95DqJhzJiU+7HtNEM3g/XGm2Han4buOMJ9Z/JgfKKiGd0PKRighJwYAoLU3SezpFuFa57I6pI6
Received: from bay0-omc2-s18.bay0.hotmail.com ([65.54.190.93]) by bay0-hmmc2-f8.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Thu, 3 Jun 2010 04:08:38 -0700
Received: from BAY123-W27 ([65.54.190.125]) by bay0-omc2-s18.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Thu, 3 Jun 2010 04:08:35 -0700
Message-ID: <BAY123-W2789BD203F8620090EB48384D10@phx.gbl>
Return-Path: s.jouve@hotmail.fr
Content-Type: multipart/alternative; boundary="_442dff46-2e3f-4e02-99b4-26fc01a4cb63_"
X-Originating-IP: [41.202.70.236]

Received: from 65.54.190.125 qui est bien une IP appartenant à Microsoft.

Mais X-Originating-IP: [41.202.70.236] est CI2M - Abidjan en Côte d'Ivoire.

Notes : si nous encodons les renseignements demandés, Bacchus seul sait qui détiendra l'accès à notre compte. Et puis, on est étonné de ce type d'avatar.