Je me suis toujours posé cette question : « pourquoi le spam ? ». Je me suis toujours demandé qui pouvaient envoyer le spam, qui pouvaient l’ouvrir, à qui profitait-il, et comment tout ça pouvait s’organiser, techniquement parlant.
Puisque Google ne m’a absolument pas renseigné sur ces quelques questions, j’ai décidé d’ouvrir ma propre enquête.
Chercher le spam qui va bien, et remonter jusqu’à l’expéditeur.
Première étape : chercher des commentaires-spam sur mon blogs. J’en reçois une dizaine par semaine minimum, ce n’était donc pas la partie la plus ardue de mes recherches.
Deuxième étape : choisir un spam et essayer de remonter jusqu’à l’expéditeur. Là, il fallait viser juste. J’ai dans l’idée que certains spam sont moins intéressants que d’autres. Celui là par exemple, amène directement sur un site porno vitrine qui vous demande de passer un coup de fil surtaxé pour avoir accès au contenu. Au pire des cas, vous n’avez pas accès à vos vidéos porno et vous perdez 50€, je ne trouve pas l’arnaque bien intéressante :
Par contre j’ai repéré deux ou trois autres spams apparemment distincts mais en réalité très liés :
Analyse comparative rapide :
- Pas la même adresse mail.
- Pas le même message, pas les mêmes liens dans le message.
- Pas la même adresse IP.
- Pas le même site,….. mais point commun dans la structure de l’URL.
C’est grâce à cette ressemblance assez frappante entre les deux URL, à savoir :
que l’idée m’est venue de partir sur cette piste.
Vous pouvez visiter les deux sites en question, il n’y aucun risque.
Les deux sites ont été mis à jour en août 2008, les deux domaines ont été acheté par la même personne il y a quelques semaines, et partagent les mêmes serveurs DNS privés.
Les deux sites ont été mis à jour en août 2008, les deux domaines ont été acheté par la même personne il y a quelques semaines, et partagent les mêmes serveurs DNS privés.
Analyser un spam et voir où il peut vous mener.
Analysez brièvement le contenu du site kfojg.com. Vous remarquerez vite qu’il s’agit de pavés sans aucun sens, composés d’une succession de mot anglais. (à fort potentiel SEO, certes.)
La majorité des mots-clef de chaque phrase est orné d’un lien menant vers une page interne du site kfojg. Je me suis longtemps demandé l’intérêt de spammer de telles pages : pas de contenu, pas de liens vers d’autres sites web, rien. Vous comprendrez plus tard, à la fin de l’article. C’est simplement du génie.
La majorité des mots-clef de chaque phrase est orné d’un lien menant vers une page interne du site kfojg. Je me suis longtemps demandé l’intérêt de spammer de telles pages : pas de contenu, pas de liens vers d’autres sites web, rien. Vous comprendrez plus tard, à la fin de l’article. C’est simplement du génie.
Maintenant, analysez brièvement le contenu du site jjehtrw.com.
ATTENTION : à partir de maintenant, vous serez amené(e) à parcourir des sites porno dangereux. Aussi, vous vous verrez peut-être proposé le téléchargement d’un virus. Tant que vous ne l’installez pas sur votre ordinateur explicitement, vous ne courrez aucun risque !
ATTENTION : à partir de maintenant, vous serez amené(e) à parcourir des sites porno dangereux. Aussi, vous vous verrez peut-être proposé le téléchargement d’un virus. Tant que vous ne l’installez pas sur votre ordinateur explicitement, vous ne courrez aucun risque !
Le site jjehtrw est de la même trempe que kfojg.com. Seulement, les liens des pavés vous amènent sur un site externe cette fois-ci. Soit un site pornographique, soit une page vous proposant de regarder une vidéo « très regardée » (+ de 20.000 vues!) :
Pour visionner cette vidéo, le site vous demande de télécharger un plug-in manquant. Vous est alors proposé un téléchargement tout ce qu’il a de plus louche et dangereux : RunAV_460.exe. Surtout, ne le téléchargez pas.
C’est à partir de là que ça devient intéressant.
A quoi sert et à qui profite RunAV_460.exe ?
Pour en avoir le cœur net, j’ai décidé d’installer une machine virtuelle sous Windows XP, et d’installer ce truc. Cette machine virtuelle, protégée par Avast, ne m’a absolument pas signalé de virus lorsque je téléchargeais, lançais ou installais le logiciel RunAV_460.
Sur le site porno de toute à l’heure, on nous dit que RunAV_406 est un contrôle Active-X permettant de voir la vidéo. Quand on l’installe, il se présente sous forme d’un anti-virus agréé par Microsoft.
Pendant l’installation, j’ai lancé un netstat dans une invite de commande MS-DOS. La commande netstat permet de connaitre toutes les connexions entrantes et sortantes de votre ordinateur.
Et BAM, un serveur louche établi une connexion avec mon ordinateur durant l’installation. Je parle de 91.213.157.104. Un petit whois sur cette IP :
Puis une petite recherche de PE Sattelecom sur MalwareURL.com et on tombe rapidement sur cette page :http://www.malwareurl.com/listing.php?domain=findercrs.org
Ah, un petit nouveau dans l’histoire ! Le site findercrs.org propose une identification dont je n’ai évidement pas les accès, mais laisse en libre circulation plusieurs virus aux adresses suivantes :
findercrs.org/ms/install01 /ms/setup
Je les ai téléchargé sur ma machine virtuelle après avoir désactivé Avast. Il suffit de les renommer en setup.exe et install01.exe pour les exécuter.
… le rapport entre spam, phishing & ordinateurs zombies.
Et le hasard fait bien les choses : le soit disant anti-virus que j’ai téléchargé toute à l’heure (RunAV_460.exe) me les détecte automatiquement comme de méchants virus. RunAV_460 alias « Digital Protection » se lance pour la première fois, et se met en analyse automatique. Il me sort énormément de virus dont la dangerosité est mise en évidence. Pour les supprimer, je dois acheter la version complète de l’anti-virus. Le plus drôle, c’est la phase de paiement :
Plutôt que d’ouvrir une page Internet explorer, on me propose un « safebrowser » made in RunAV_460, en me certifiant que la transaction est SSL, cryptée & compagnie. Je ris, et je ferme tout ça.
Ah, une nouvelle fenêtre s’ouvre. Cette fois, on m’explique que tous mes mots de passe sont entrain d’être piraté !!!! Vite, il faut que j’achète la version complète de l’anti-virus !!!
Bref.
Entre temps, une nouvelle IP est apparue dans mon netstat: 194.129.79.22.
Un whois sur elle me renvoie sur une machine hébergée par le fournisseur d’accès américain UU Net…… spécialisé dans les hébergements d’attaque spam !
Cette fois c’est officiel : ma machine virtuelle est bien connectée à des serveurs de spam ! Youpi, les mails commentaires-spam-porno que vous recevez sur vos blogs proviennent peut-être de mon PC désormais :-D Ne me remerciez pas.
Cette fois c’est officiel : ma machine virtuelle est bien connectée à des serveurs de spam ! Youpi, les mails commentaires-spam-porno que vous recevez sur vos blogs proviennent peut-être de mon PC désormais :-D Ne me remerciez pas.
Une question m’a longtemps turlupiné : à quoi ont servi les deux sites de départ, à savoirkfojg.com & jjehtrw.com ?
Ce qu’il faut avoir en tête, c’est que les faux sites porno proposant de télécharger un virus tombent environ toutes les 5 heures. En effet, toutes les 5 heures, ces domaines sont bloqués et blacklistés par les navigateurs web (sauf IE), par Google et par vos antivirus.
Pour résoudre le problème, les spammer ont trouvé une solution assez géniale il faut l’avouer : ils spamment des sites comme kfojg.com et jjehtrw.com dont les URL, complètement aléatoires, ne peuvent pas être filtrées.
Ces deux sites ne contiennent que des liens internes. On a donc l’impression qu’aucun des deux ne link des sites pirates ou ce genre de chose. Que neni ! Cliquez sur un soit disant lien interne de jjehtrw.com et vous serez très vite redirigé (grâce à un .htaccess) vers un site porno dangereux.
La technique est donc la suivante :
- Spammer des sites « vitrines » ne contenant à priori aucun backlink vers des sites dangereux.
- Faire pointer les liens internes des sites vitrines vers des sites dangereux.
Lorsqu’un site dangereux est blacklisté, il suffit d’en créer un nouveau et de modifier les redirections sur les sites vitrines ! C’est ce qui se passe tout la journée, j’ai fait le test.
Toutes les 5 heures environ, les redirections m’envoyaient vers un nouveau site me proposant à chaque fois le même virus.Grâce à cette ingénierie, les spams envoyés il y a 2 semaines contenant des liens vers jjehtrw.com sont toujours valables ! :-)
Toutes les 5 heures environ, les redirections m’envoyaient vers un nouveau site me proposant à chaque fois le même virus.Grâce à cette ingénierie, les spams envoyés il y a 2 semaines contenant des liens vers jjehtrw.com sont toujours valables ! :-)
Tout ça peut se résumer en quelques points clef :
- Les spammeurs sont riches, très organisés, et très malins.
- Le spam permet de lancer d’immense vague de phishing.
- Le spam permet de prendre le contrôle de millions d’ordinateurs par l’intermediaire de chevaux de Troie comme RunADV_460.
Cet article m’a permis d’apprendre beaucoup sur le spam, j’éspère que c’est le cas pour vous aussi.
Articles
