Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Le 23 décembre 2011 09:27, Dominique Rousseau d.rouss...@nnx.com a écrit : Le Thu, Dec 22, 2011 at 09:36:35PM +0100, Refuznikster [ refuzniks...@gmail.com] a écrit: Re, Je crois que vous n'avez pas saisi nous faisons du réseau et de l'hébergement pour la plupart d'entre nous. Et à ce titre là, le mail d'Eric n'est pas hors-sujet. Juste, il faut aussi le diffuser par d'autres canaux. Mais ça, je pense qu'il est assez grand pour le trouver tout seul :o) http://www.neuronnexion.coop Un peu d'espoir pour nos petits schtroumpfs --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Le Thu, Dec 22, 2011 at 09:36:35PM +0100, Refuznikster [refuzniks...@gmail.com] a écrit: Re, Je crois que vous n'avez pas saisi nous faisons du réseau et de l'hébergement pour la plupart d'entre nous. Et à ce titre là, le mail d'Eric n'est pas hors-sujet. Juste, il faut aussi le diffuser par d'autres canaux. Mais ça, je pense qu'il est assez grand pour le trouver tout seul :o) -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Certains sur cette liste ne cachent pas leur aversion pour les forces de l'ordre, combien de fois ais-je entendu des propos de type les flics sont nazes, ils ne savent même pas ce qu'est BGP, etc.etc. Pour une fois que l'un de ces membres s'exprime sur la liste, en plus quelqu'un de compétent en la matière, qui pourrait probablement en remontrer à certains admins, il se fait basher copieusement. Je pense que l'on ne l'y reprendra plus. Comme d'habitude, les gens qui ont un tant soit peu le pied dans la cybercriminalité ne peuvent que se foutre de la gueule de cette liste FrNog, qui n'apporte finalement jamais rien hormis du troll. C'est effectivement à se demander si certains de ses membres ne sont pas des admins du dimanche comme il a été dit, tellement ils ont de temps à perdre en discussions stériles. RV. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
+1 Le 23 déc. 2011 à 09:57, Herve Le Guillou herleguil...@gmail.com a écrit : Certains sur cette liste ne cachent pas leur aversion pour les forces de l'ordre, combien de fois ais-je entendu des propos de type les flics sont nazes, ils ne savent même pas ce qu'est BGP, etc.etc. Pour une fois que l'un de ces membres s'exprime sur la liste, en plus quelqu'un de compétent en la matière, qui pourrait probablement en remontrer à certains admins, il se fait basher copieusement. Je pense que l'on ne l'y reprendra plus. Comme d'habitude, les gens qui ont un tant soit peu le pied dans la cybercriminalité ne peuvent que se foutre de la gueule de cette liste FrNog, qui n'apporte finalement jamais rien hormis du troll. C'est effectivement à se demander si certains de ses membres ne sont pas des admins du dimanche comme il a été dit, tellement ils ont de temps à perdre en discussions stériles. RV. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Tellement vrai... +1 Le 23 décembre 2011 09:57, Herve Le Guillou herleguil...@gmail.com a écrit : Certains sur cette liste ne cachent pas leur aversion pour les forces de l'ordre, combien de fois ais-je entendu des propos de type les flics sont nazes, ils ne savent même pas ce qu'est BGP, etc.etc. Pour une fois que l'un de ces membres s'exprime sur la liste, en plus quelqu'un de compétent en la matière, qui pourrait probablement en remontrer à certains admins, il se fait basher copieusement. Je pense que l'on ne l'y reprendra plus. Comme d'habitude, les gens qui ont un tant soit peu le pied dans la cybercriminalité ne peuvent que se foutre de la gueule de cette liste FrNog, qui n'apporte finalement jamais rien hormis du troll. C'est effectivement à se demander si certains de ses membres ne sont pas des admins du dimanche comme il a été dit, tellement ils ont de temps à perdre en discussions stériles. RV. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Bonjour, Je crois que vous n'avez pas saisi nous faisons du réseau et de l'hébergement pour la plupart d'entre nous. Et à ce titre là, le mail d'Eric n'est pas hors-sujet. Je confirme, s'il le fallait que ce genre de message n'est pas hors sujet, il mériterait un peu plus de technique afin que les hébergeurs aient des moyens d'aller vérifier que les sites qu'ils hébergent ne contiennent pas le malware en question mais la sécurité des infrastructures Internet et d'Internet en général est un sujet tout à fait dans la charte. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Bonjour, Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de lutte contre la cybercriminalité de la gendarmerie nationale à Rosny-sous-Bois. Dans le cadre de nos activités de coordination de l'action de la gendarmerie contre la délinquance sur Internet, nous réalisons une veille attentive autour du virus de rançonnement Gendarmerie (et ses autres formes) qui est diffusé actuellement. Nous informons aussi le public des risques associés pour prévenir l'impact de ce phénomène particulier. Pour plus d'informations, vous pouvez visiter mon blog personnel : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ Dans la soirée de mercredi 21 décembre a été porté à notre attention (via le site suivant: http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/) une variante ou une évolution du mode de diffusion de ces logiciels malveillants. Cette fois-ci il s'agit de modifications de sites Web opérées frauduleusement, vraisemblablement en exploitant des vulnérabilités dans des CMS, Forums et autres de scripts PHP de publication. Après l'attaque, les sites présentent des fichiers javascript supplémentaires ou modifiés qui contiennent de façon obfusquée un code incluant automatiquement du contenu provenant d'un serveur distant. Ce code prend la forme suivante: (voir l'image) http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png Je tiens à disposition des versions texte pour ceux qui le souhaitent. Il s'agit d'un encodage assez basique au format hexadécimal qui renvoie vers un lien sur un serveur situé en Russie à l'adresse IP 91.196.216.64 (voir la version décodée ici: http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png) Jusqu'à cette étape, toutes les machines de personnes qui visitent ce type de sites et ne filtrant pas ou ne détectant pas ce type de code obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64. Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus contient un script de type BlackHole Exploit Kit qui exploite les vulnérabilités de la machine pour exécuter finalement le code malveillant (ici le virus de rançonnement gendarmerie). Cette étape ne fonctionnera que sur les machines vulnérables (non à jour des derniers patchs de système d'exploitation, navigateurs, et ajouts type Java, Flash, Adobe...). Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1, qui correspondaient notamment des sites à fort traffic dans la liste qui pour l'instant a été identifiée (celle présente sur le blog Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient effectivement concernés). Des retours que nous avons des premiers gestionnaires de sites, de très nombreux, voire la totalité des fichiers javascript sont infectés lorsqu'il y a eu une telle attaque. On peut donc supposer que l'inclusion de ce code malveillant a été faite de façon automatique, en exploitant des vulnérabilités. J'espère que ces informations vous seront utiles. N'hésitez pas à me contacter en cas de question, soit sur la présente liste, soit sur mes adresses ci-dessous. Merci de me faire tous retours sur des désinfections de sites réussies. Cordialement, -- Eric Freyssinet perso: eric.freyssi...@m4x.org - GPG/PGP: 0x6DD16208 pro: eric.freyssi...@gendarmerie.interieur.gouv.fr blog: http://blog.crimenumerique.fr/ twitter: @ericfreyss --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Bonsoir, un hébergeur a-t'il le droit de faire un grep dans tous les fichiers html, php et js de ses clients pour retrouver la signature d'une vérole telle que le virus gendarmerie? sur un serveur mutualisé? sur une VM dédiée? sur un serveur hébergé? Quid de l'accord du client? Si la signature est présente, quelle est la démarche? Presque joyeux Noël William Gacquer France Citévision Le 22 déc. 2011 à 18:57, Eric Freyssinet a écrit : Bonjour, Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de lutte contre la cybercriminalité de la gendarmerie nationale à Rosny-sous-Bois. Dans le cadre de nos activités de coordination de l'action de la gendarmerie contre la délinquance sur Internet, nous réalisons une veille attentive autour du virus de rançonnement Gendarmerie (et ses autres formes) qui est diffusé actuellement. Nous informons aussi le public des risques associés pour prévenir l'impact de ce phénomène particulier. Pour plus d'informations, vous pouvez visiter mon blog personnel : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ Dans la soirée de mercredi 21 décembre a été porté à notre attention (via le site suivant: http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/) une variante ou une évolution du mode de diffusion de ces logiciels malveillants. Cette fois-ci il s'agit de modifications de sites Web opérées frauduleusement, vraisemblablement en exploitant des vulnérabilités dans des CMS, Forums et autres de scripts PHP de publication. Après l'attaque, les sites présentent des fichiers javascript supplémentaires ou modifiés qui contiennent de façon obfusquée un code incluant automatiquement du contenu provenant d'un serveur distant. Ce code prend la forme suivante: (voir l'image) http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png Je tiens à disposition des versions texte pour ceux qui le souhaitent. Il s'agit d'un encodage assez basique au format hexadécimal qui renvoie vers un lien sur un serveur situé en Russie à l'adresse IP 91.196.216.64 (voir la version décodée ici: http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png) Jusqu'à cette étape, toutes les machines de personnes qui visitent ce type de sites et ne filtrant pas ou ne détectant pas ce type de code obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64. Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus contient un script de type BlackHole Exploit Kit qui exploite les vulnérabilités de la machine pour exécuter finalement le code malveillant (ici le virus de rançonnement gendarmerie). Cette étape ne fonctionnera que sur les machines vulnérables (non à jour des derniers patchs de système d'exploitation, navigateurs, et ajouts type Java, Flash, Adobe...). Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1, qui correspondaient notamment des sites à fort traffic dans la liste qui pour l'instant a été identifiée (celle présente sur le blog Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient effectivement concernés). Des retours que nous avons des premiers gestionnaires de sites, de très nombreux, voire la totalité des fichiers javascript sont infectés lorsqu'il y a eu une telle attaque. On peut donc supposer que l'inclusion de ce code malveillant a été faite de façon automatique, en exploitant des vulnérabilités. J'espère que ces informations vous seront utiles. N'hésitez pas à me contacter en cas de question, soit sur la présente liste, soit sur mes adresses ci-dessous. Merci de me faire tous retours sur des désinfections de sites réussies. Cordialement, -- Eric Freyssinet perso: eric.freyssi...@m4x.org - GPG/PGP: 0x6DD16208 pro: eric.freyssi...@gendarmerie.interieur.gouv.fr blog: http://blog.crimenumerique.fr/ twitter: @ericfreyss --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Bonsoir, Je suis désolé mais je crois que c'est le mauvais endroit pour avertir des administrateurs de site tout comme votre démarche chez ovh, 11, etc... Pour une vieille d'alerte je vous conseillerais plutôt des sites traitant d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le JdN, clubic, etc... Bref des sites lus par de possible administrateur du dimanche. Sinon cet injection javascript est assez courante, je l'avais déja noté il y a 2 ou 3 ans. Celle-ci est corrigé depuis un sacré bout de temps sur les versions récentes des blogs et cms les plus connus. Cordialement, Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet e...@frsnet.com a écrit: Bonjour, Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de lutte contre la cybercriminalité de la gendarmerie nationale à Rosny-sous-Bois. Dans le cadre de nos activités de coordination de l'action de la gendarmerie contre la délinquance sur Internet, nous réalisons une veille attentive autour du virus de rançonnement Gendarmerie (et ses autres formes) qui est diffusé actuellement. Nous informons aussi le public des risques associés pour prévenir l'impact de ce phénomène particulier. Pour plus d'informations, vous pouvez visiter mon blog personnel : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ Dans la soirée de mercredi 21 décembre a été porté à notre attention (via le site suivant: http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/) une variante ou une évolution du mode de diffusion de ces logiciels malveillants. Cette fois-ci il s'agit de modifications de sites Web opérées frauduleusement, vraisemblablement en exploitant des vulnérabilités dans des CMS, Forums et autres de scripts PHP de publication. Après l'attaque, les sites présentent des fichiers javascript supplémentaires ou modifiés qui contiennent de façon obfusquée un code incluant automatiquement du contenu provenant d'un serveur distant. Ce code prend la forme suivante: (voir l'image) http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png Je tiens à disposition des versions texte pour ceux qui le souhaitent. Il s'agit d'un encodage assez basique au format hexadécimal qui renvoie vers un lien sur un serveur situé en Russie à l'adresse IP 91.196.216.64 (voir la version décodée ici: http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png) Jusqu'à cette étape, toutes les machines de personnes qui visitent ce type de sites et ne filtrant pas ou ne détectant pas ce type de code obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64. Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus contient un script de type BlackHole Exploit Kit qui exploite les vulnérabilités de la machine pour exécuter finalement le code malveillant (ici le virus de rançonnement gendarmerie). Cette étape ne fonctionnera que sur les machines vulnérables (non à jour des derniers patchs de système d'exploitation, navigateurs, et ajouts type Java, Flash, Adobe...). Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1, qui correspondaient notamment des sites à fort traffic dans la liste qui pour l'instant a été identifiée (celle présente sur le blog Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient effectivement concernés). Des retours que nous avons des premiers gestionnaires de sites, de très nombreux, voire la totalité des fichiers javascript sont infectés lorsqu'il y a eu une telle attaque. On peut donc supposer que l'inclusion de ce code malveillant a été faite de façon automatique, en exploitant des vulnérabilités. J'espère que ces informations vous seront utiles. N'hésitez pas à me contacter en cas de question, soit sur la présente liste, soit sur mes adresses ci-dessous. Merci de me faire tous retours sur des désinfections de sites réussies. Cordialement, -- --- Refuznik --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Bonsoir, Excellente question. Si vous administrez le site pour votre client, évidemment pas de soucis. S'il est hébergé simplement chez vous, votre seule obligation est la réaction aux messages à votre adresse abuse et évidemment vous ne pouvez pas accéder aux arborescences éventuellement privées de vos clients, sauf s'ils vous le demandent expressément. Si vous souhaitez apporter un plus par rapport à cela: - Donner des outils, des informations, à vos clients pour leur permettre de le faire (un forum, un blog, une liste de diffusion avec des guides pour mener ces détections). C'est certainement la façon la plus simple d'y arriver. Une variante serait d'offrir un service de scripts dans un répertoire partagé que les administrateurs eux-mêmes ont la liberté d'exécuter ; - Une veille externe par un scan régulier des contenus publiquement accessibles de vos clients et en fonction de règles mises régulièrement à jour. Evidemment c'est un service qui peut être coûteux, pas forcément à la portée de tous. My 2 cents donc sur le sujet, je suppose que d'autres ont déjà réfléchi à cette question. Cordialement, E.F. 2011/12/22 William Gacquer w.gacq...@france-citevision.fr: Bonsoir, un hébergeur a-t'il le droit de faire un grep dans tous les fichiers html, php et js de ses clients pour retrouver la signature d'une vérole telle que le virus gendarmerie? sur un serveur mutualisé? sur une VM dédiée? sur un serveur hébergé? Quid de l'accord du client? Si la signature est présente, quelle est la démarche? Presque joyeux Noël William Gacquer France Citévision Le 22 déc. 2011 à 18:57, Eric Freyssinet a écrit : Bonjour, Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de lutte contre la cybercriminalité de la gendarmerie nationale à Rosny-sous-Bois. Dans le cadre de nos activités de coordination de l'action de la gendarmerie contre la délinquance sur Internet, nous réalisons une veille attentive autour du virus de rançonnement Gendarmerie (et ses autres formes) qui est diffusé actuellement. Nous informons aussi le public des risques associés pour prévenir l'impact de ce phénomène particulier. Pour plus d'informations, vous pouvez visiter mon blog personnel : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ Dans la soirée de mercredi 21 décembre a été porté à notre attention (via le site suivant: http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/) une variante ou une évolution du mode de diffusion de ces logiciels malveillants. Cette fois-ci il s'agit de modifications de sites Web opérées frauduleusement, vraisemblablement en exploitant des vulnérabilités dans des CMS, Forums et autres de scripts PHP de publication. Après l'attaque, les sites présentent des fichiers javascript supplémentaires ou modifiés qui contiennent de façon obfusquée un code incluant automatiquement du contenu provenant d'un serveur distant. Ce code prend la forme suivante: (voir l'image) http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png Je tiens à disposition des versions texte pour ceux qui le souhaitent. Il s'agit d'un encodage assez basique au format hexadécimal qui renvoie vers un lien sur un serveur situé en Russie à l'adresse IP 91.196.216.64 (voir la version décodée ici: http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png) Jusqu'à cette étape, toutes les machines de personnes qui visitent ce type de sites et ne filtrant pas ou ne détectant pas ce type de code obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64. Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus contient un script de type BlackHole Exploit Kit qui exploite les vulnérabilités de la machine pour exécuter finalement le code malveillant (ici le virus de rançonnement gendarmerie). Cette étape ne fonctionnera que sur les machines vulnérables (non à jour des derniers patchs de système d'exploitation, navigateurs, et ajouts type Java, Flash, Adobe...). Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1, qui correspondaient notamment des sites à fort traffic dans la liste qui pour l'instant a été identifiée (celle présente sur le blog Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient effectivement concernés). Des retours que nous avons des premiers gestionnaires de sites, de très nombreux, voire la totalité des fichiers javascript sont infectés lorsqu'il y a eu une telle attaque. On peut donc supposer que l'inclusion de ce code malveillant a été faite de façon automatique, en exploitant des vulnérabilités. J'espère que ces informations vous seront utiles. N'hésitez pas à me contacter en cas de question, soit sur la présente liste, soit sur mes adresses ci-dessous. Merci de me faire tous retours sur des désinfections de sites réussies. Cordialement, -- Eric Freyssinet perso:
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Bonsoir M. Refuzinkster (...) Mon message s'adresse aux personnes qui lisent cette liste, pas aux administrateurs du dimanche, même s'il y en a peut-être dans la liste. Comme vous ne dites pas qui vous êtes, je suppose que vous n'êtes ni chez OVH, 1and1 ou Online, je ne pense pas que vous puissiez donc vous exprimer à leur place. En l'occurrence les hébergeurs traitent les sollicitations de leurs clients et c'est mieux s'ils sont informés. Par ailleurs, les services abuse des hébergeurs sont les personnes chargées de traiter ce type d'informations, en tous cas c'est comme cela que fonctionne Internet jusqu'à aujourd'hui. J'essaie simplement d'apporter une information. A chacun d'en faire ce qu'il veut. En l'occurrence des centaines de personnes en France ont été victimes de ces faits depuis moins d'une quinzaine de jours et vous n'avez pas ces éléments. Très cordialement, Eric Freyssinet 2011/12/22 Refuznikster refuzniks...@gmail.com: Bonsoir, Je suis désolé mais je crois que c'est le mauvais endroit pour avertir des administrateurs de site tout comme votre démarche chez ovh, 11, etc... Pour une vieille d'alerte je vous conseillerais plutôt des sites traitant d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le JdN, clubic, etc... Bref des sites lus par de possible administrateur du dimanche. Sinon cet injection javascript est assez courante, je l'avais déja noté il y a 2 ou 3 ans. Celle-ci est corrigé depuis un sacré bout de temps sur les versions récentes des blogs et cms les plus connus. Cordialement, Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet e...@frsnet.com a écrit: Bonjour, Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de lutte contre la cybercriminalité de la gendarmerie nationale à Rosny-sous-Bois. Dans le cadre de nos activités de coordination de l'action de la gendarmerie contre la délinquance sur Internet, nous réalisons une veille attentive autour du virus de rançonnement Gendarmerie (et ses autres formes) qui est diffusé actuellement. Nous informons aussi le public des risques associés pour prévenir l'impact de ce phénomène particulier. Pour plus d'informations, vous pouvez visiter mon blog personnel : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ Dans la soirée de mercredi 21 décembre a été porté à notre attention (via le site suivant: http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/) une variante ou une évolution du mode de diffusion de ces logiciels malveillants. Cette fois-ci il s'agit de modifications de sites Web opérées frauduleusement, vraisemblablement en exploitant des vulnérabilités dans des CMS, Forums et autres de scripts PHP de publication. Après l'attaque, les sites présentent des fichiers javascript supplémentaires ou modifiés qui contiennent de façon obfusquée un code incluant automatiquement du contenu provenant d'un serveur distant. Ce code prend la forme suivante: (voir l'image) http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png Je tiens à disposition des versions texte pour ceux qui le souhaitent. Il s'agit d'un encodage assez basique au format hexadécimal qui renvoie vers un lien sur un serveur situé en Russie à l'adresse IP 91.196.216.64 (voir la version décodée ici: http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png) Jusqu'à cette étape, toutes les machines de personnes qui visitent ce type de sites et ne filtrant pas ou ne détectant pas ce type de code obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64. Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus contient un script de type BlackHole Exploit Kit qui exploite les vulnérabilités de la machine pour exécuter finalement le code malveillant (ici le virus de rançonnement gendarmerie). Cette étape ne fonctionnera que sur les machines vulnérables (non à jour des derniers patchs de système d'exploitation, navigateurs, et ajouts type Java, Flash, Adobe...). Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1, qui correspondaient notamment des sites à fort traffic dans la liste qui pour l'instant a été identifiée (celle présente sur le blog Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient effectivement concernés). Des retours que nous avons des premiers gestionnaires de sites, de très nombreux, voire la totalité des fichiers javascript sont infectés lorsqu'il y a eu une telle attaque. On peut donc supposer que l'inclusion de ce code malveillant a été faite de façon automatique, en exploitant des vulnérabilités. J'espère que ces informations vous seront utiles. N'hésitez pas à me contacter en cas de question, soit sur la présente liste, soit sur mes adresses ci-dessous. Merci de me faire tous retours sur des désinfections de sites réussies. Cordialement, -- ---
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Re, Je crois que vous n'avez pas saisi nous faisons du réseau et de l'hébergement pour la plupart d'entre nous. Chez nous ou chez nos prestataires (oui j'ai aussi des serveurs chez ovh, gandi, etc... ainsi que perso.), par contre comme je le fais remarquer ce n'est pas le bon endroit pour diffuser cette info. des alertes sur de l'injonction on en a tous les jours et perso. ce qui va focalise mon attention actuellement ça va être les joyeux noël et meilleurs vœux envoyés pour noël et le 1er de l'an via sms/mail pour ne pas faire tomber le tout. Donc votre démarche est louable mais franchement s'adresse comme je disais aux hébergeurs du dimanche et un conseil référé vous à mon premier message. En bref lorsque un client prend un hébergement chez un fournisseur d'accès ou va le créer chez soi il est responsable intégralement. N'est ce pas ce que veut faire comprendre l'hadopi par exemple ? Que ça touche la gendarmerie, sa banque ou n'importe quoi c'est pareil. Le Thu, 22 Dec 2011 20:38:42 +0100, Eric Freyssinet e...@frsnet.com a écrit: Bonsoir M. Refuzinkster (...) Mon message s'adresse aux personnes qui lisent cette liste, pas aux administrateurs du dimanche, même s'il y en a peut-être dans la liste. Comme vous ne dites pas qui vous êtes, je suppose que vous n'êtes ni chez OVH, 1and1 ou Online, je ne pense pas que vous puissiez donc vous exprimer à leur place. En l'occurrence les hébergeurs traitent les sollicitations de leurs clients et c'est mieux s'ils sont informés. Par ailleurs, les services abuse des hébergeurs sont les personnes chargées de traiter ce type d'informations, en tous cas c'est comme cela que fonctionne Internet jusqu'à aujourd'hui. J'essaie simplement d'apporter une information. A chacun d'en faire ce qu'il veut. En l'occurrence des centaines de personnes en France ont été victimes de ces faits depuis moins d'une quinzaine de jours et vous n'avez pas ces éléments. Très cordialement, Eric Freyssinet 2011/12/22 Refuznikster refuzniks...@gmail.com: Bonsoir, Je suis désolé mais je crois que c'est le mauvais endroit pour avertir des administrateurs de site tout comme votre démarche chez ovh, 11, etc... Pour une vieille d'alerte je vous conseillerais plutôt des sites traitant d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le JdN, clubic, etc... Bref des sites lus par de possible administrateur du dimanche. Sinon cet injection javascript est assez courante, je l'avais déja noté il y a 2 ou 3 ans. Celle-ci est corrigé depuis un sacré bout de temps sur les versions récentes des blogs et cms les plus connus. Cordialement, Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet e...@frsnet.com a écrit: Bonjour, Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de lutte contre la cybercriminalité de la gendarmerie nationale à Rosny-sous-Bois. Dans le cadre de nos activités de coordination de l'action de la gendarmerie contre la délinquance sur Internet, nous réalisons une veille attentive autour du virus de rançonnement Gendarmerie (et ses autres formes) qui est diffusé actuellement. Nous informons aussi le public des risques associés pour prévenir l'impact de ce phénomène particulier. Pour plus d'informations, vous pouvez visiter mon blog personnel : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ Dans la soirée de mercredi 21 décembre a été porté à notre attention (via le site suivant: http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/) une variante ou une évolution du mode de diffusion de ces logiciels malveillants. Cette fois-ci il s'agit de modifications de sites Web opérées frauduleusement, vraisemblablement en exploitant des vulnérabilités dans des CMS, Forums et autres de scripts PHP de publication. Après l'attaque, les sites présentent des fichiers javascript supplémentaires ou modifiés qui contiennent de façon obfusquée un code incluant automatiquement du contenu provenant d'un serveur distant. Ce code prend la forme suivante: (voir l'image) http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png Je tiens à disposition des versions texte pour ceux qui le souhaitent. Il s'agit d'un encodage assez basique au format hexadécimal qui renvoie vers un lien sur un serveur situé en Russie à l'adresse IP 91.196.216.64 (voir la version décodée ici: http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png) Jusqu'à cette étape, toutes les machines de personnes qui visitent ce type de sites et ne filtrant pas ou ne détectant pas ce type de code obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64. Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus contient un script de type BlackHole Exploit Kit qui exploite les vulnérabilités de la machine pour exécuter finalement le code malveillant (ici le virus de rançonnement gendarmerie). Cette étape ne
Re: [FRnOG] [ALERT] Diffusion du virus gendarmerie par javascripts modifiés
Le 22/12/2011 20:04, Refuznikster a écrit : Je suis désolé mais je crois que c'est le mauvais endroit pour avertir des administrateurs de site tout comme votre démarche chez ovh, 11, etc... Pour une vieille d'alerte je vous conseillerais plutôt des sites traitant d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le JdN, clubic, etc... D'après le post sur blog.crimenumerique.fr, l'information sur le virus, au moins dans sa première version, a bien été transmise par la gendarmerie via l'AFP à des sites d'infos grand public et informatiques (Numérama, 01Net, Génération NT, etc.). Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
