Cheval de Troie : drrtcouncilldds.com & godaddy.com

568 x served & 218 x viewed

J’ai encore reçu un email bidon de (vzf43@hk-immigrationservices.co.nz ) avec une pièce jointe (x6339.zip dans les fichiers zip c’est plus pratique de dissimuler les virus), mais cette fois j’ai essayé de comprendre ce que contenait la pièce jointe :

Bonjour,

Ci-joint la copie de notre facture 9206F22129 du 31.05.2016 de 1496 € avec ses justificatifs.

Dans l’attente de son règlement,

Je vous remercie.

Cordiales salutations.

Marleen Jacobs

Comptable chargé de recouvrement « confrères »

JOHNSON SERVICE GROUP PLC

A l’intérieur il y a un fichier Word contenant un Cheval de Troie (Visual Basic + Clef de registre sous Windows) qui envoi sur : http://drr.drrtcouncilldds.com/acoustics/bangolufsen/home.php

0000a620 35 25 00 00 22 04 00 00 68 74 74 70 3a 2f 2f 64 |5%.."...http://d|
0000a630 72 72 2e 64 72 72 74 63 6f 75 6e 63 69 6c 6c 64 |rr.drrtcouncilld|
0000a640 64 73 2e 63 6f 6d 2f 61 63 6f 75 73 74 69 63 73 |ds.com/acoustics|
0000a650 2f 62 61 6e 67 6f 6c 75 66 73 65 6e 2f 68 6f 6d |/bangolufsen/hom|
0000a660 65 2e 70 68 70 00 00 00 00 02 18 00 35 00 00 00 |e.php.......5...|


Petite commande en curl :

curl http://www.drrtcouncilldds.com/acoustics/bangolufsen/home.php

<!DOCTYPE html><body style="padding:0; margin:0;"><html><body><iframe src="http://mcc.godaddy.com/park/pJIyM3OvnTSjqay5pKSzYaOvrt==" style="visibility: visible;height: 100%; position:absolute" allowtransparency="true" marginheight="0" marginwidth="0" frameborder="0" width="100%"></iframe></body></html>fred-mac-2:Blog sms-memento$ 

curl http://mcc.godaddy.com/park/pJIyM3OvnTSjqay5pKSzYaOvrt==

<!DOCTYPE html><html><head><meta name="robots" content="noindex,nofollow" /></head><body>

<script type="text/javascript" language="javascript">

window.parent.location.href = 'http://drrtcouncilldds.com?reqp=1&reqr=';

</script>

</body></html>

Ce qui est rigolo dans cette histoire, c’est que la raison pour laquelle la plupart des entreprises ne migrent pas sous Linux, est l’utilisation de Visual Basic (et macros) dans des programmes Excel & Words (j’avais aussi eu confirmation de cela par le discours du responsable informatique de chez Peugeot lors du Salon Linux 2015) … et c’est cela qui fait aussi que l’on a de gros trous de sécurité. Par moment on aime bien le bâton pour se faire battre.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.