Ils piratent nos enfants sur le net en utilisant des trojans
« Mon oncle, La souris bouge et click toute seule »
Bien sur je n’avais rien a craindre puisque mon neveu de 11 ans a son pc avec firewall et antivirus a jour et il n’y avais pas de dossier partagé sur le réseau interne ni webcam ou micro ni même des informations sensibles sur son pc, mais ce signe était alarmant ,effectivement j’ai remarqué que la souris bouge toute seule, le pirate a même écrit quelques mots sur la barre d’internet explorer comme pour nous dire qu’il était la, et qu’il contrôlait le pc, que faire dans cette situation ?
J’ai aussitôt pensé que je devais localiser l’IP du pirate et l’application compromise ou le rootkit utilisé
J’ai donc lancé cmd et tapé « netstat –n 4″
On remarque une connexion sortante vers l’IP 79.174.70.25 au port 81
Une technique utilisé par les RAT (remote administration tools) pour déjouer les firewalls et autres filtre et dépasser le Nat.
J’ai donc lancé un sniffer pour voir l’échange des données
L’internet explorer se connecte a une adresse no-ip au port 81, et cette adresse est redirigée vers un server VPN en Russie :
les datas etaient cryptés:
Source Address : 192.168.1.11:1777
Destination Address: 79.174.70.9:81
Protocol : TCP
Summary : TCP: Source port = 1777, Destination port = 81
Length : 41
TCP: Source = 79.174.70.9:81, Destination = 192.168.1.11:1777
0000: 05 00 00 00 BC BB A5 57 CC 00 00 00 E6 00 00 00 …….W……..
0010: 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 …………….
0020: 00 00 00 00 00 00 00 00 00 ………
il fallait donc arrêter ce transfert sans arrêter la connexion internet parce que beaucoup de rootkit vérifient s’il y a connexion internet sinon ils restent cachés
J’ai donc ouvert mon fichier C:\WINDOWS\system32\drivers\etc\hosts et ajouté l’entré suivante
127.0.0.1 okey…..no-ip.biz
Ce qui a donné :
Maintenant je pouvais vérifier ce qui se passe sans être observé ou dérangé par le pirate, mais la tache n’était pas si facile que ca, l’antivirus kasperskey n’ a rien détecté, j’ai du le désinstaller et installer nod32, après un scan, toujours rien, pourquoi ne pas tester AVG, je répète l’opération et toujours rien, bref ce rootkit/trojan a trompé la vigilance des trois antivirus( ceux que j’ai installé), J’ai pensé vérifier avec les anti-rootkit/trojans,J’ai du télécharger les top10 anti rootkit et scanner le PC sans résultat,Les logs de hijackthis n’avaient rien de suspect.
Comment trouver le fichier responsable de l’infection et qui s’injecte dans internet explorer et se connecte sur un serveur distant??.
Il ne restait donc qu’un travaille de recherche manuelle
Demarrage… Rien
Service … Rien
Boot …Rien
Registry/Run …Rien
J’ai opté pour une recherche plus avancé au niveau de la base de registre au niveau de :
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
Et après quelques minutes j’ai trouvé une entré suspect :
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{DB1E5721-3085-9B1D-2800-572A8010E5CF}\stubpath: « C:\Program Files\Xerox\mss32.exe s »
Un fichier mss32.exe dans le répertoire Xerox de programme file et rien qu’ avoir ce fichier on comprend que c’est un virus:
Un fichier .Exe trompeur avec l’icône d’une image mais le plus important c’était la présence de logg.dat un fichier bien connue du trojan bifrost. On peut aussi remarquer que la date de création du fichier exécutable est très ancienne, c’est une astuce q bifrost qui change la date du serveur a une date antérieur pour ne pas apparaitre dans les derniers fichiers créés.
J’ai donc lancé l’exécutable sur une machine de test pour l’étudier de plus près,et puisque l’adresse était en boucle (changement de hosts)j’ai aussi lancé un client de ce trojan en mode listen sur le port 81 et la surprise , le serveur n’etait pas protégé par un mot de passe:
Bifrost est un trojan bien connue, mais la question qui este posé c’est pourquoi il n’ a pas été détecté par les antivirus. après un examen, j’ai pu constater que le serveur utilisait deux modes d’évasion,
1-compression avec upx
2-utilisation de autoit script ce qui expliquait sa grande taille
Apres avoir résolut ce mystère il ne restait plus que quelques chose a régler
-envoyer un e-mail a no-ip.com pour stopper le DNS du pirate la réponse fut sur le champ.
-envoyer un e-mail a strongvpn pour stoper le compte vpn du pirate (aucune réponse)
-Envoyer un e-mail a kaspersky pour trouver une méthode de décrypter les virus utilisant AutoIt (en cour…)
-C’est bien de faire confiance mais il est nécessaire de contrôler
Ils n’ont pas honte de pirater des enfants
a suivre…
Commentaires
3 Comments on Ils piratent nos enfants sur le net en utilisant des trojans
-
MAX4 on
mar, 14th sept 2010 13 h 27 min
-
guru on
mar, 14th sept 2010 13 h 28 min
-
admin on
mar, 14th sept 2010 13 h 29 min
chapeau!
qu’en est-il du pirate ?
démasqué??une suite?
bravo!
c’est bizarre un serveur bifrost sans mot de pass!
et la connection vpn a quoi ca cert ?
bonjour
@MAX4
J’ai faite j’ai piégé l’attaquant par une petite manœuvre que je garderais pour moi ce qui m’ a permit d’avoir un e-mail valide.repérable sur facebook, mais je m’arrête la….
@guru
peut etre que les pirates se partagent sur les forun les victimes !!
Ils se vantent d’avoir des milliers de serveurs…
Dis-moi, Qu'est-ce que tu en penses?...
si tu veux une image avec ton commentaire: gravatar!