Tag Archives: LOL / FAIL / PWNED

Mumblehard : un bot spammeur Linux et BSD

Via ArsTechnica, TheRegister :

Dans un rapport PDF ESET indique avoir mis la main sur un malware baptisé Mumblehard.

La bestiole se présente sous la forme d’un binaire ELF écrit en assembleur qui via une petite astuce (numéros de syscalls qui n’ont pas la même signification) est capable de déterminer s’il tourne sous Linux ou BSD.
Il décode ensuite en mémoire (via boucle XOR) du code perl obfusqué dans le binaire et lance l’interpréteur perl en passant le code décodé sur l’entrée standard de l’interpréteur.

Le malware est alors capable de communiquer à un C&C succinct qui lui permettra surtout de télécharger et lancer un mass-maileur.

Ce qui est plus intéressant c’est que le C&C se trouve dans une plage d’adresse IP appartenant à une société russe baptisée Yellsoft qui commercialise… un outil d’envoi de mails en masse baptisé DirectMailer… et qui est écrit lui aussi en Perl (donc forcément obfusqué 😉 )

Plus original encore : sur le site de Yellsoft on trouve un lien vers une copie de DirectMailer qu’il ne faut surtout pas télécharger selon eux (voyez la logique).
Cette version incorpore étrangement le malware Mumblehard… Autant d’indications qui laissent supposer que les Yellsoft est à l’origine du malware :p

RedHat : redémarre Squid, poutre ton système

Ça c’est du bug : sous RHEL 6.7 un bug sévère semble supprimer tous les fichiers du système quand on tente de redémarrer le service Squid (proxy http).

Le bug devrait être lié à une variable d’environnement d’après une discussion sur HN.

Le problème provient sans doute d’une erreur de packaging et doit être spécifique à la version de RedHat et la version du package Squid.

Komodia : la boîte derrière le scandale Superfish

Superfish est le adware créé par Komodia qui installe de faux certificats sur une machine dans le but d’intercepter (pour surveillance et/ou modification) le trafic encrypté.

Découvert sur les PCs Lenovo, la présence de cet adware a fait beaucoup de bruit en particulier parce que le certificat utilisé par Komodia était facilement cassable permettant ainsi à n’importe qui de déchiffrer le trafic SSL/TLS émit par un poste infecté.

Dans un article, Journal du Net a fait un bon résumé de cette histoire.

Microsoft / Comodo : double-team, double FAIL

Voici une nouvelle bien chantante :)

Un finlandais qui disposait d’un simple compte email sur le Microsoft Live finlandais (live.fi) s’est demandé s’il pouvait enregistrer une adresse paraissant comme étant du staff Crosoft et en faire quelque chose d’intéressant.

Comme Live.com permet, comme d’autres messageries connues, d’enregistrer des alias il en a profité pour obtenir l’adresse hostmaster@live.fi.

La suite ? Il a envoyé un email à Comodo pour demander un certificat SSL/TLS valide estampillé Microsoft et il l’a obtenu… sans que son identité ne soit vérifiée.

Panda s’autodétecte comme virus, brique des Windows

Oups… Ce n’est pas la première fois que ça arrive chez les éditeurs d’antivirus mais c’est toujours embarrassant : une mise à jour de la base de signature de Panda a provoqué la détection de certains fichiers systèmes de l’antivirus comme étant eux même vérolés.

Les utilisateurs qui ont eu le malheur de faire la mise à jour puis de redémarrer leur système ont au mieux un système très instable et au pire un système qui ne démarre plus…
Les utilisateurs de Panda sont donc appelés à ne pas redémarrer leur système tant qu’ils n’ont pas récupéré la dernière mise à jour corrective.