Laché vo kom, ou le blues du blog blackboulé

Actualités - Malware - Posté on 09 Déc 2008 at 8:59 par cnis-mag

fdcomiteLes blogs Bebo, Myyearbook, Blackplanet, Facebook, Myspace, Friendster … tous sont frappés par le ver Koobface. Le principe de fonctionnement est simple : le lombric viral ajoute un pseudo-commentaire pointant sur une URL semblant diffuser une séquence vidéo, et l´on retombe sur une très classique demande de mise à jour de pilote Flash Player. Le procédé est usé jusqu´à la corde mais semble encore fonctionner avec bonheur auprès de la population socio-blogueuse. Il n´y a pas une semaine de cela, un proche cousin de ce ver là pointait le bout de son ombilic sur les terminaux Messenger, reconnaissable à son traditionnel « mes tofs » ou « privates pics ». F-Secure en parle longuement, mais sans entrer dans les détails. Il faut plonger dans la description qu´en fait Dancho Danchev pour se rendre compte que, derrière ce tout petit automate à contributions, se cache une organisation étourdissante : des centaines d´adresses IP perpétuellement changeantes se chargent de la diffusion de l´infection. Après ceci, le vecteur d´attaque transforme toute machine infectée en usine à d´infection via le port 7777, en obéissant à une subtile « présélection de l´abonné » en fonction de son origine… La simple liste des « hosteurs » de malwares dressée par le chasseur de sites douteux s´étale sur près de 6 pages. L´on y apprend notamment que l´organisation à l´origine de cette campagne utilise de plus en plus des techniques de typosquatting (noms approchants de domaines connus, ainsi Youtube-spy.5x .pl). Dans de précédentes attaques mettant en œuvre ce même ver Koobface, les virus étaient en grande partie stockés sur des sites légitimes dont la sécurité avait été préalablement compromise.

Laisser une réponse