L'attaque des serveurs Web IIS (suite)

L'accès au site russe a été bloqué de telle sorte qu'un ordinateur qui chargerait le javascript ne pourrait pas télécharger le cheval de Troie.

Cette infection primaire resterait alors sans danger.

Le blocage de l'accès semble se faire à un niveau assez général sur les routeurs des principaux réseaux, comme l'attestent quelques tests simples : le numéro IP incriminé est enregistré comme unassigned.m10-msk-ru.e-neverland.net, et une tentative de traceroute s'arrête assez vite : UunetEuro1.GW.opentransit.net 193.251.250.198 rapports : Impossible de joindre l'hôte de destination.

Ce routeur est situé en effet à Paris.
Les experts pensent en majorité actuellement que l'objectif de cette opération était d'installer sur les ordinateurs victimes un spyware destiné à capturer les comptes et les mots de passemots de passe saisis au clavierclavier du PCPC infecté et les transmettre aux pirates, alors que les premières hypothèses évoquaient plutôt l'installation d'un proxyproxy pour diffuser du spamspam.

On ne sait toujours pas comment les pirates ont pu injecter le code destiné à piéger les visiteurs dans les serveursserveurs IIS ni changer le réglage du serveur pour qu'il distribue le script malicieux. Ce qui est sûr, c'est que les pirates ont dû s'introduire manuellement dans chacun des serveurs pour les contaminer. C'est donc une opération très ciblée et très technique.
On suspecte éventuellement l'utilisation d'un « exploit » connu sous l'appellation |f58253dc2ec574172b3cc5c9bca905f7|-PCTPCT exploit (rappelons que SSL est une méthode de codagecodage et d'authentificationauthentification de sécurité classique dans les échanges InternetInternet !). MicrosoftMicrosoft renvoie au Microsoft Security Bulletin MS04-011, sans plus de précision pour la faille exploitée.

Si vous utilisez un serveur IIS, pour savoir s'il a été compromis par cette attaque, allez dans la gestion du serveur avec MMC, et regardez le volet Documents. Dans les serveurs compromis la case « Enable document footer » est cochée et le lien pointe vers ...system32inetsrviisxxx.dll, où xxx représente une combinaison variable de chiffres ou lettres.

Il y a une polémique feutrée sur un point : Microsoft prétend que les serveurs IIS 5 ayant les dernières mises à jour résistent à cette attaque, mais certains administrateurs de serveurs contaminés prétendent que leur serveur était à jour. Ce point est important parce qu'on peut imaginer que la même technique soit utilisée pour compromettre d'autres serveur, en indiquant un autre numéro IP comme source de chevaux de Troiechevaux de Troie. De toutes façons, même si Microsoft a raison, on sait qu'il y a dans le monde une multitude de serveurs IIS qui ne sont pas à jour de leurs correctifs de sécurité.

Au niveau du visiteur, la contaminationcontamination s'effectue grâce à une combinaison de plusieurs failles d'Internet Explorer, dont une au moins n'est toujours pas comblée.
Il y a eu une volonté délibérée de ne pas divulguer l'identité des sites compromis, pour des raisons qu'on devine aisément, mais certaines sources font état d'établissement bancaires et un communiqué de l'AFP parle de sites aussi connus que Ebay, celui de courrier électronique Yahoo, ou encore Earthlink et JunoJuno.
Cette volonté de silence a exposé les internautes à des risques inconsidérés pour des raisons bassement commerciales.

Bien que Microsoft prétende que l'impact global a été faible, il est prudent de faire un scan complet de votre ordinateur avec un antivirusantivirus mis à jour.

Vocabulaire (par exemple pour faire des recherches dans GoogleGoogle) : Microsoft parle, au niveau du serveur, d'une infection par Download.Ject ; la plupart des antivirus reconnaissent l'infection du client par le javascript sous l'appellation Scob ou Toofer ; enfin Berbew désigne le cheval de Troie chargé par le javascript.