Le retour à la normal (avec des vidéos, des jeux, ...) est prévu très bientôt :)
Si vous avez été sur Koreus.com vendredi dernier entre 11h30 et 14h, alors passez votre ordinateur à l'antivurus/anti-spyware ! Il est possible que vous soyez infecté par un malware/spyware. Mieux vaut être prudent.
Dans le précédent article, j'avais demandé de l'aide et j'ai eu plein de réponses. Merci à vous tous ! En voici une très bien rédigée, je me permets de la copier coller ici. Merci Gawen.
Citation :
Bonsoir,
Je viens de désobfusquer le code et je peux apporter quelques infos, que vous avez peut-être déjà.
Le virus semble exploiter des failles dans les logiciels Shockwave Flash puis Adobe Acrobat.
* Pour la faille Shockwave Flash, le script s'attaque à sa cible seulement si sa version Flash est 9.*.révision où révision < 124. Dans ce cas précis, il charge un applet Flash dont le SWF est getfile.php?f=swf. Ce dernier script est donc présent sur le serveur pirate. Sinon il ne fait rien.
* Pour la faille Adobe, il cherche à savoir si tout d'abord Adobe est là en deux temps :
1. Il vérifie si le navigateur a un plug-in Adobe Acrobat à travers un mécanisme DOM bien géré par Mozilla, Firefox, Opera & co ...
2. Si cette première détection échoue, il charge un ActiveX AcroPDF.PDF ou PDF.PdfCtrl afin de vérifier la présence du logiciel. Ce dernier mécanisme est bien évidemment seulement géré que par IE, et est l'opération de la dernière chance, car le chargement d'un ActiveX est généralement quelque chose de visible où le logiciel demande l'accord à l'utilisateur sur certaines configurations.
Lorsque c'est fait, il charge un iframe avec comme souce le fichier PDF getpdf.php si la version d'adobe est supérieure à 9.0 et sous IE, sinon getfile.php?f=pdf dans le reste des cas. Donc toutes les versions d'Adobe semblent attaquées.
Il faut penser que ces deux logiciels ont des failles que le script et le PDF exploite, permettant d'exécuter très certainement un code malicieux, pour installer un trojan, un ver, ou plus certainement un botnet.
Ci-joint
* Le fichier Javascript après désobfucation si vous voulez le lire.
* Le SWF vérolé (/!\)
* Le PDF vérolé (/!\)
Voilà ce qu'on peut en tirer :
* Tous les navigateurs toutes versions confondues sont encleins à être piraté. Donc Firefox est aussi touché;
* Si vous avez Flash 9.0.<124 ou AdobeAcrobat, un petit check-up de l'ordi sera la bienvenue. Je conseille un anti-spyware ;
* Je pense fortement que les fichiers vérollés SWF et PDF ne fonctionne que pour Windows et éventuellement Mac. Je suis sous Linux, et après avoir les deux fichiers dans un sandbox, je n'ai rien vu d'anormal. Je ne mets cependant pas ma main à couper ;
* Le développeur ayant programmé le script a un niveau correct, mais pas fou non plus. Son coding style est celui du C en mode plutôt ancien, ce qui laisse à supposer que ce n'est pas un adolescent mais quelqu'un d'assez expert. Il est certains qu'il a une bonne expérience car il a évité certains pièges dans son code qui aurait pu rendre la détection de son script plus "détectable". Cependant, cela me surprendait que ce soit la même personne qui a fait ce script javascript et qui a vérollé le PDF et le SWF, car au vu de son code il ne semble pas avoir le niveau. Mais tout cela ne sont que mon ressenti ;
* Non ce n'est pas moi qui ait piraté votre serveur
Voilà ce que j'ai pu trouver dans une première approche. Je pense que cela peut vous suffir pour éventuellement avertir vos habitués dont je fais parti.
J'espère que les dégâts sur votre serveur ne sont pas trop dramatiques et que cet épisode ne sera qu'une petite ombre dans la vie du site.
Bonne soirée.
Cordialement,
Si vous avez réussi à suivre jusqu'au bout, la question qui reste en suspent, que font exactement les deux fichiers vérolés !?
Ce qu'il faut retenir de cette histoire : mettez à jour vos logiciels ! Ne sous estimez pas les failles de sécurité de votre navigateur web et autres logiciels.