Bonsoir,
Je suis désolé mais je crois que c'est le mauvais endroit pour avertir des
administrateurs de site tout comme votre démarche chez ovh, 1&1, etc...
Pour une vieille d'alerte je vous conseillerais plutôt des sites traitant
d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le
JdN, clubic, etc... Bref des sites lus par de possible administrateur du
dimanche.
Sinon cet injection javascript est assez courante, je l'avais déja noté il
y a 2 ou 3 ans.
Celle-ci est corrigé depuis un sacré bout de temps sur les versions
récentes des blogs et cms les plus connus.
Cordialement,
Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet <e...@frsnet.com> a
écrit:
Bonjour,
Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
lutte contre la cybercriminalité de la gendarmerie nationale à
Rosny-sous-Bois.
Dans le cadre de nos activités de coordination de l'action de la
gendarmerie contre la délinquance sur Internet, nous réalisons une
veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
autres formes) qui est diffusé actuellement. Nous informons aussi le
public des risques associés pour prévenir l'impact de ce phénomène
particulier. Pour plus d'informations, vous pouvez visiter mon blog
personnel :
http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
Dans la soirée de mercredi 21 décembre a été porté à notre attention
(via le site suivant:
http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
une variante ou une évolution du mode de diffusion de ces logiciels
malveillants.
Cette fois-ci il s'agit de modifications de sites Web opérées
frauduleusement, vraisemblablement en exploitant des vulnérabilités
dans des CMS, Forums et autres de scripts PHP de publication. Après
l'attaque, les sites présentent des fichiers javascript
supplémentaires ou modifiés qui contiennent de façon obfusquée un code
incluant automatiquement du contenu provenant d'un serveur distant.
Ce code prend la forme suivante: (voir l'image)
http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
Je tiens à disposition des versions texte pour ceux qui le souhaitent.
Il s'agit d'un encodage assez basique au format hexadécimal qui
renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
91.196.216.64 (voir la version décodée ici:
http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)
Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
type de sites et ne filtrant pas ou ne détectant pas ce type de code
obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.
Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
contient un script de type "BlackHole Exploit Kit" qui exploite les
vulnérabilités de la machine pour exécuter finalement le code
malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
ne fonctionnera que sur les machines vulnérables (non à jour des
derniers patchs de système d'exploitation, navigateurs, et ajouts type
Java, Flash, Adobe...).
Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1,
qui correspondaient notamment des sites à fort traffic dans la liste
qui pour l'instant a été identifiée (celle présente sur le blog
Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient
effectivement concernés). Des retours que nous avons des premiers
gestionnaires de sites, de très nombreux, voire la totalité des
fichiers javascript sont infectés lorsqu'il y a eu une telle attaque.
On peut donc supposer que l'inclusion de ce code malveillant a été
faite de façon automatique, en exploitant des vulnérabilités.
J'espère que ces informations vous seront utiles. N'hésitez pas à me
contacter en cas de question, soit sur la présente liste, soit sur mes
adresses ci-dessous. Merci de me faire tous retours sur des
désinfections de sites réussies.
Cordialement,
--
-----------------------
Refuznik
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
