La rispote du FBI

Sur tout ce qui concerne la sécurité des réseaux et systèmes avec leur protection et comment les contourner.

La rispote du FBI

Messagepar Todd » 03 Avril 2012, 23:26

Salut à tous,

depuis mon affront en forme de clin d'œil aux saisis du FBI :P, je me suis fait attaqué par la Direction Centrale de la Police Judiciaire Française ! :shock:
Ils ont bloqué mon ordinateur ! :evil:
Image
Comme vous pouvez le voir ci-dessus, j'ai dû payer 100€ pour avoir à nouveau, accès à mon poste ! :aie: Non je déconne, vous aurez compris que c'était un virus ! :twisted: Vu le nombre de fautes. :lol:

Cette fois encore, je vous ai préparé un petit package de la bête ! :D
hxxps://mega.co.nz/#!ZRtBhYSa!xPYyp_QeT ... 7h09N0ZY58 (Mot de passe : Todd)

Je pense qu'elle va vous plaire, car elle n'est pas très dur à maîtriser et pas très violente... juste un peu chiante ! :lol:
Je vous raconte :

Un message d'erreur est apparu à l'écran "Erreur Rundll...". :shock: On sait tous qu'une boite de dialogue est en quelque sorte une pause dans un programme, alors pas de panique et surtout, on clique pas sur "Ok" ! :roll:
Premier réflexe : Voir quel processus est en cours de lancement dans le gestionnaire de tâches. :wink:
Premier problème : Le gestionnaire est désormé désactivé ! :shock:
Ah c'est comme ça ? :evil: Lançons OllyDbg pour lister et éventuellement s'attacher au vilain. :twisted: Oups OllyDbg v1.10 est détecté et se ferme ! :? Ça devient très intéressant. 8)
Dommage la version 2 d'Olly passe au travers... le travail est déjà fini :( ... ou presque. :wink:
L'indice "rundll.exe" nous indiquait que notre virus est une DLL, alors en chargeant "rundll" dans OllyDbg, on peut voir précisemment que ce petit virus est contenu dans "ch8l0.exe" à l'emplacement du dossier temporaire du compte de session Windows.
Cependant, sans trop de surprise, en jetant un œil à "msconfig", on peut voir que le virus est programmé pour être lancé à chaque démarrage. :evil:
Code: Tout sélectionner
C:\WINDOWS\system32\rundll32.exe  C:\Documents and Settings\Default User\Local Settings\Temp\ch8l0.exe,NameFunEx
On annule cela en un clic, puis on n'a plus qu'à réactiver le gestionnaire de tâches, avec "regedit" :roll:
Code: Tout sélectionner
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

La neutralisation de la bête était d'une facilité déconcertante :( et dans un premier temps je n'ai même pas eu le temps de voir l'écran ci-dessus, car il semblerait que la simulation du bogue rencontré plus haut ne soit pas forcement volontaire !? :|

Donc je suis bon joueur, je lui ai laissé une seconde chance en le relançant, mais cette fois sous XP dans ma VM. :mrgreen: Et là les techniques utilisées valent le détour, car on a donc le blocage du taskmanager, la barre des tâches disparait, le virus passe en pleine écran et masque toutes les applications en cours ! :evil: Exemple, je me dis je vais récupérer la main en lançant l'explorateur par raccourci clavier "Win+E"... raté, l'application se lance, mais elle est invisible ! :twisted: En revanche "Alt+F4" ferme l'affichage de l'image ci-dessus. 8)
"Alt+Tab" bascule d'une application à une autre, mais sans l'afficher... qu'à cela ne tienne... j'improvise "Alt+F"=Fichier, affiche le menu déroulant de l'application invisible mais ouverte ! 8) Je t'ai encore eu. :D

Voilà c'était amusant, maintenant je vous laisse faire votre propre analyse de ces techniques, mais attention, seulement 2 antivirus sur 42 de chez totalvirus ont signalé l'intrus ! :wink: Et hier, il n'y en avait qu'un seul. :?

A plus. :wink:

Todd

P.S: Comme d'habitude, je décline toutes responsabiliblabla blabla :lol: ... alors attention à vous :wink: et ne l'utilisez pas contre autrui. :o
P.P.S: Pour lancer le virus, j'ai créé un fichier batch "Run virus.bat". Et en cas de problème, vous pouvez cliquer sur "EnableTaskMgr.reg" pour réactiver le taskmanager. :wink:
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: La rispote du FBI

Messagepar Horgh » 04 Avril 2012, 01:23

Je l'aurai bien dl si je l'avais pas en quadruple exemplaire (au moins !) avec tous les gens qui le chopent...
C'est pas bien de ne pas mettre son PC à jour hein Todd ! Je parie d'ailleurs que c'est ton java qui est pas à jour ; et que tu as dû chopé ça via du malvertising parce que ton adblock n'était pas actif. Si c'est pas du malvertising, mieux vaut s'inquiéter : soit tu ne connais pas les règles de sécurité de base (on ne lance pas les .html en pièce jointe!) ce qui m'étonnerait, soit tu as un autre malware qui te l'a balancé (et à ma connaissance il n'est pas droppé par d'autres trojans).

Je viens de réaliser un rêve, faire la morale à Todd :D

Sinon autre chose :

Voilà c'était amusant, maintenant je vous laisse faire votre propre analyse de ces techniques, mais attention, seulement 2 antivirus sur 42 de chez totalvirus ont signalé l'intrus ! Et hier, il n'y en avait qu'un seul.

Rien de neuf au pays des AV, c'est pas comme si on savait pas que c'était de la daube en barre. Quand je vois que j'unpacke des samples de ZeroAccess et que le fichier unpacké est moins bien détecté (!!!) que le fichier packé, je me pose des questions. Soit ils sont vraiment à la ramasse pour pas avoir fait de signature sur une des principales menaces à l'heure actuelle (et c'est quand même pas dur...), soit ils considèrent que si c'est pas packé c'est safe (déjà vu +/- aussi !!), soit ils se fient uniquement à leur heuristique à deux francs pour détecter les nouveaux APT FUD 0day (ils aiment bien se faire mousser via des appellations à la con, et appeler APT un vulgaire RAT envoyé en pièce jointe (et je n'exagère pas)...). Bref je stoppe les parenthèses, ma diatribe contre les AV, et je vais pester à la mode vieux con contre une dernière chose : Ces vieux ransoms dégueu ne sont pas des virus, mais des malwares crénom de bleu. Les virus c'est presque une espèce en voie de disparition dans le monde du malware :'(

btw pendant que j'y pense, si des gens veulent plus d'infos malekal a fait pas mal de posts sur le ransom gendarmerie nationale & ses déclinaisons assez intéressants à lire. Sinon, concernant le processus de l'infection, une vidéo que j'ai vu passé dans mes rss il y a quelques jours qui montre le déroulement de l'affaire (pour ce qui est du russe je ne sais pas ce qu'il y a marqué :D) : hxxp://artemonsecurity.blogspot.fr/2012 ... -0507.html
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24

Re: La rispote du FBI

Messagepar Todd » 04 Avril 2012, 07:39

Horgh a écrit:C'est pas bien de ne pas mettre son PC à jour hein Todd ! Je parie d'ailleurs que c'est ton java qui est pas à jour
Pour info, je suis sous Windows 7 et aucune mise à jour n'est proposée. La dernière mise à jour de JAVA est du 29/03/2012 à 9h12. :wink:
Horgh a écrit:tu as dû chopé ça via du malvertising parce que ton adblock n'était pas actif.
Bon d'accord et circonstance agravante, pour cette session j'utilisais IE9 ! :oops: Mais à vaincre sans péril, on triomphe sans gloire ! :lol: Faut bien prendre des risques dans la vie !? :mrgreen: En plus on ne s'amuserait pas autant. :twisted:
Horgh a écrit:soit tu ne connais pas les règles de sécurité de base (on ne lance pas les .html en pièce jointe!) ce qui m'étonnerait, soit tu as un autre malware qui te l'a balancé
Je ne suis pas non plus débile !? :aie: Mais email me sont remis en main propre par le facteur. :P
Horgh a écrit:Ces vieux ransoms dégueu ne sont pas des virus, mais des malwares crénom de bleu.
Ooooh :roll: cryptage/chiffrage ou ver/virus, c'est du pareil au même ! :aie:

Je plaisante, pour le "chiffrage", ça commence à prendre :D, mais pour le mot "virus" c'est aussi un terme générique (comme cryptage) !??? :roll:
Alors je veux bien faire un effort, si tu me fais la liste des types de fichiers méchants, ses déclinaisons et leur définition. :wink:
Ça nous permettrait d'y voir plus clair : entre virus, virii, ver, cheval de trait :aie: et autres malwares ! :roll:

Todd

EDIT: Quels sont les meilleurs adblock ? :roll: Efficace et ne bloquant pas l'accès à internet ! :aie: Ceux qui avertissent en permanence de risques potentiels finissent toujours par être désactivés ! :?
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: La rispote du FBI

Messagepar brouzouf33 » 04 Avril 2012, 09:22

seulement 2 antivirus sur 42 de chez totalvirus ont signalé l'intrus ! :wink: Et hier, il n'y en avait qu'un seul.

Aujourd'hui ils sont 15:
hxxps://www.virustotal.com/file/3db2166be67ee6eecd2ddcb66dcc72def90791a02ebc11edf99a0d96050fc14c/analysis/1333527143/
Ils sont quand même pas trop mal réactif non?
brouzouf33
Apprenti
Apprenti
 
Messages: 57
Inscription: 01 Janvier 2012, 18:00

Re: La rispote du FBI

Messagepar Bango » 04 Avril 2012, 09:28

Oh mon frangin a eu presque le même :D j'aurais du prendre un screenshot

Les logos était un peu différents (c'était la gendarmerie nationale au lieu de la police), et le texte aussi... mais ça parlait de la même chose: pornographie et violence sur enfants etc... mais ils ont arrangé un peu le truc :P ils ont retiré toutes les occurrences du terme "sodomie" :lol:, ça fait quand même plus professionnel, même s'il reste les fautes d'orthographe :roll:
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1537
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: La rispote du FBI

Messagepar Todd » 04 Avril 2012, 09:59

Moi la phrase qui m'a bien fait marré, c'est la "prévention de vos actes illégaux" ! :shock: :lol:

Hopopop arrêtez-vous ! veuillez garer votre véhicule et me présenter vos papiers... j'ai vu que vous alliez probablement faire un excès de vitesse ! :shock: Au pire, je vous verbalise en prévention du prochain feu grillé ! :lol:
Vous contester ? :evil: Un rapport de la sécurité routière signale de plus en plus de morts sur le bords des routes :roll:... veuillez vous mettre à genou, les mains dans le dos, pendant que je recharge mon arme ! :aie: :mdr:

Todd

P.S: Je pense qu'en interrogeant virustotal, on contribue à signaler et à déclencher l'analyse de ces bestioles. :roll:
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: La rispote du FBI

Messagepar Horgh » 04 Avril 2012, 12:45

Pour info, je suis sous Windows 7 et aucune mise à jour n'est proposée. La dernière mise à jour de JAVA est du 29/03/2012 à 9h12.

C'est soit flash soit adobe reader alors :D

Alors je veux bien faire un effort, si tu me fais la liste des types de fichiers méchants, ses déclinaisons et leur définition.
Ça nous permettrait d'y voir plus clair : entre virus, virii, ver, cheval de trait et autres malwares !


Alors, allons y pour une taxonomie vite fait (je ne garantis pas que je ne ferais pas d'erreurs)
- un virus c'est un malware qui se répand via d'autres executables en se greffant à eux. Virii c'est le pluriel latin pour les puristes.
- un ver se répand via le réseau ou les logiciels de messagerie (mail / ou messageries instantanées)
- un cheval de troie, la menace la plus courante, ne se répand pas. Généralement il a besoin de l'interaction de l'utilisateur pour s'exécuter (sauf si il se fait exec par des exploits / autres malwares comme dans ton cas Todd). Il y a beaucoup de variété dans les chevaux de troie : les ransomwares (paiement d'une rançon pour débloquer le PC), les scarewares (Fake AV et autres tools foireux), les downloader, les dropper, les bankers (à la Zeus / SpyEye), les IRCbots, j'en passe et des meilleures.
- un rootkit quand à lui va chercher à dissimuler totalement son activité sur le système, bien souvent ce n'est qu'un module d'un trojan (ex: TDL4, cidox, etc.). A ne pas confondre avec les bootkits qui eux commencent leur entreprise non pas en ring3 mais directement sur le mbr / vbr au démarrage.

Après il y a plein de déclinaisons particulières aux chevaux de troie principalement (keylogger, backdoor par ex), le cas des adwares, tout les types d'actions possibles par des trojans (clickjacking pour générer du faux traffic, possibilité de ddos, bitcoin miner, etc. etc.)

Donc, ce que je viens d'exposer sont des malwares, et non des virus, qui à l'heure actuelle ne représentent qu'une part infime des infections d'origine malicieuse.

EDIT: Quels sont les meilleurs adblock ? Efficace et ne bloquant pas l'accès à internet ! Ceux qui avertissent en permanence de risques potentiels finissent toujours par être désactivés !

Perso adblock (le vrai) + certaines de ses extensions sous FF pour améliorer le blocage de certains éléments ; avec noscript (avec noscript, fini les exploits qui s'exécutent sans mon accord...), et ghostery pour virer tout ce qui est tracking.
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24

Re: La rispote du FBI

Messagepar etherlord » 04 Avril 2012, 14:00

Horgh a écrit:- un virus c'est un malware qui se répand via d'autres executables en se greffant à eux. Virii c'est le pluriel latin pour les puristes.


Certains se répandent par exploitation d'une vulnérabilité (eg : reader jpeg)

- un cheval de troie, la menace la plus courante, ne se répand pas. Généralement il a besoin de l'interaction de l'utilisateur pour s'exécuter (sauf si il se fait exec par des exploits / autres malwares comme dans ton cas Todd). Il y a beaucoup de variété dans les chevaux de troie : les ransomwares (paiement d'une rançon pour débloquer le PC), les scarewares (Fake AV et autres tools foireux), les downloader, les dropper, les bankers (à la Zeus / SpyEye), les IRCbots, j'en passe et des meilleures.


Pas tout à fait d'accord. Oui pour la def du cheval de troie, je metterait un bemol conernant les ransomwares, scareware, etc... Certains utilsient des epxloits pour se répandre.

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2490
Inscription: 22 Mars 2004, 16:12

Re: La rispote du FBI

Messagepar Horgh » 04 Avril 2012, 14:23

Pas tout à fait d'accord. Oui pour la def du cheval de troie, je metterait un bemol conernant les ransomwares, scareware, etc... Certains utilsient des epxloits pour se répandre.

C'est ce que j'ai mis :D

Généralement il a besoin de l'interaction de l'utilisateur pour s'exécuter (sauf si il se fait exec par des exploits / autres malwares comme dans ton cas Todd)
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24

Re: La rispote du FBI

Messagepar Todd » 04 Avril 2012, 16:56

Les choses sont plus claires, merci. :wink:
Je tâcherai de m'en souvenir... :roll:

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: La rispote du FBI

Messagepar Bango » 15 Décembre 2014, 11:57

Coucou :)

Todd a écrit:Cette fois encore, je vous ai préparé un petit package de la bête !
hxxps://rapidshare.com/files/1207936489 ... police.zip (Mot de passe : Todd)


y marche plus le lien :(, quelqu'un l'aurait-il dans sa musette celui-là ?

Merci d'avance ;)
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1537
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: La rispote du FBI

Messagepar Horgh » 15 Décembre 2014, 17:23

Bango a écrit:Coucou :)

Todd a écrit:Cette fois encore, je vous ai préparé un petit package de la bête !
hxxps://rapidshare.com/files/1207936489 ... police.zip (Mot de passe : Todd)


y marche plus le lien :(, quelqu'un l'aurait-il dans sa musette celui-là ?

Merci d'avance ;)


hxxp://www22.zippyshare.com/v/83513920/file.html

Reveton a sacrèment évolué depuis, ce sample doit dater du début de la distribution itw.
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24

Re: La rispote du FBI

Messagepar Todd » 15 Décembre 2014, 22:38

Merci Horgh. :wink:
J'ai quand même mis à jour le lien, car dans mon ZIP, j'ai mis un fichier *.reg qui permet de réactiver le gestionnaire de tâche. Ca peut servir. 8)

Todd

P.S: Au passage, je suis content, car je ne trouvais plus mon mot de passe. :aie:
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: La rispote du FBI

Messagepar Bango » 16 Décembre 2014, 08:47

Merci ;)
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1537
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: La rispote du FBI

Messagepar Horgh » 16 Décembre 2014, 08:53

Si t'en veux d'autres (comprendre plus récents) hésite pas à me ping j'avais pas mal regardé cette famille il fût un temps.
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24


Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités