Messenger Spam ou Spam Up
Messenger Spam ou Spam Up
|
||||
| |
Messenger Spam ou Spam Up
Usage abusif du service d'affichage des messages (Messenger Service) de windows pour spammer les internautes.
Aucun antivirus, aucun anti-pop-up, aucun anti-hijack ni aucun anti-trojan n'y peut rien. C'est une fonctionnalité normale de Windows qui est utilisée. Il n'y a pas de faille de sécurité. Il y a simplement emploi abusif de cette fonctionnalité.
Qu'est-ce que Messenger spam ?
Une nouvelle forme de publicité non sollicitée est apparue peu de temps après le lancement de Windows XP. Elle est particulièrement agressive et n'est pas acheminée par les voies habituelles, à savoir les e-mails ou le Web (avec les Adwares). Il s'agit d'une forme de "spam" qui tient des pop-ups, du spam "traditionnel" et de la "publicité intrusive". Elle est dénommée "Messenger Spam" ou "Spam Service Windows" ou "NetBios Spam" ou "Pop-up Spam" ou "Spam pop-up"... "pop-up" désignant ici les fenêtres s'affichant par-dessus toutes les autres, y compris les applications locales et pas seulement les pages Internet comme avec les pop-ups "habituelles". Elle utilise un "service" de Windows qui n'est pas, en lui-même, une faille de sécurité, mais qui peut être utilisé pour envoyer des messages publicitaires (ou autres) qui vont surgir sous forme de pop-up. Toutefois, elle n'ouvre aucune brèche dans votre système et ne peut retourner aucune information à son envoyeur.
Quelle forme cela prend ?
Lorsque vous êtes connecté à l'Internet, des messages s'ouvrent en pop up sous forme de fenêtres à l'apparence totalement homogène avec Windows. Ces fenêtres ressemblent à n'importe quelle boîte de dialogue ou fenêtre habituelle d'information ou d'avertissement de Windows, avec leur bouton "Ok" et leur petite croix de fermeture. Ces messages sont, en général, publicitaires. Ils incitent souvent à aller sur des sites pour adultes (et risquent d'être reçus alors que des enfants jouent en réseau) ou à effectuer une opération scabreuse (acheter un élargisseur de pénis, acheter un "diplôme"...), ou illégale (acheter des médicaments sans ordonnance...) ou donne dans l'escroquerie (par exemple, un comble, en faisant peur aux internautes et en les incitant à acheter, fort cher, un logiciel pour éviter, justement, de recevoir ce type de message). Dans tous les cas, ces messages n'ont rien à voir avec votre navigation actuelle ou avec ce que vous êtes en train de faire sur le Net.
Mais que font les antivirus et anti-pop-ups ?
Les antivirus et les anti-pop up ne peuvent rien contre ce fléau car il ne s'agit pas d'un virus ni d'une pop-up. Les anti-trojan non plus car il ne s'agit pas d'un trojan. Les anti-hijack non plus car votre système n'est pas hijacké etc. ... Pourtant la solution existe et, en sus, elle est simple et gratuite.
Quels avantages à pratiquer ce genre de Spam ?
Voici ce que dit un site vantant un programme permettant de commettre ce genre de spam :
Comment cela fonctionne t'il ?
Ce spam est appelé "Messenger Spam" car il utilise une fonctionnalité normale des versions de Windows sur base NT, soit Windows NT4, Windows 2000 et Windows XP : le "service d'affichage des messages", "Messenger Service" (Microsoft Windows Messenger Service) dans les versions US de Windows, qui n'est pas lié et n'a rien à voir avec Windows Messenger ni avec MSN Messenger, l'outil Microsoft de conversation en ligne. Cette fonctionnalité est installée en même temps que Windows, dont elle fait naturellement partie, et permet l'envoi et la réception de messages de service entre un serveur et ses clients (typiquement - un réseau dans une entreprise). Par exemple, l'administrateur d'un réseau peut envoyer un message sur un ou des postes clients et les utilisateurs (les "clients") peuvent envoyer un message à l'administrateur du réseau). Le problème est que ceci n'est pas circonscrit à une connexion à un réseau local mais fonctionne également lors d'une connexion sur Internet.
Messenger Service est donc, avant tout, un simple outil d'administration destiné au travail sur un réseau. Et, puisqu'il travaille sur un réseau, il utilise forcément au moins un port : le 135 en l'occurrence (port 135 RPC - Location Service - protocoles de transport TCP et UDP) - (voir cette page pour la liste des ports "normaux"). En l'absence de firewall, il reste ouvert par défaut, comme tous les autres, dès que vous êtes connecté.
Ce port est accédé à distance par des logiciels de Spam créés à cet effet. Ces logiciels permettent de mettre en forme un simple petit message (775 caractères maximum - pas de lien ni d'image possible). Puis ils permettent de saisir des intervalles d'adresses IP (par exemple les intervalles attribués aux FAI (Fournisseurs d'Accès Internet) français - ces intervalles sont connus - par exemple, l'intervalle 217.128.0.0 - 217.128.0.255 est attribué à "France Telecom IP2000 ADSL BAS" pour son hôte "BSVZY101 Velizy Bloc1"). Ces logiciels vont alors envoyer le message sur le port 135 à toutes les adresses IP possibles, ce peut être des millions d'adresses IP, sans distinction et sans se préoccuper de savoir si le message a été délivré ou non. Donc tous les ordinateurs distants connectés recevront ce Spam immédiatement.
Différences d'avec le Spam traditionnel ?
Ce type de Spam diffère beaucoup du Spam habituel dans nos boîtes e-mail.
Non, ce "service" de Windows n'est pas, en lui-même, une faille de sécurité mais on a vu qu'un site ou un programme peut en profiter pour envoyer autre chose que des messages de service. Plusieurs spammeurs "utilisateurs" de se "service" en profitent même pour faire de la pub pour son utilitaire qui permet de désactiver ce service - pour la modique somme de 20 US$ tout de même ! Il est donc recommandé de désactiver ce service, gratuitement. La procédure est la même sous Windows 2000 et sous Windows XP : voir anti-service "affichage des messages".
Et maintenant, voyons avec quoi ils font ce spam :
Il existe des programmes commerciaux pour exploiter ce dispositif (qui n'est pas une faille). Vous voulez faire du spam en exploitant ce service de Windows ? Voici des outils pour le faire...
Usage abusif du service d'affichage des messages (Messenger Service) de windows pour spammer les internautes.
Aucun antivirus, aucun anti-pop-up, aucun anti-hijack ni aucun anti-trojan n'y peut rien. C'est une fonctionnalité normale de Windows qui est utilisée. Il n'y a pas de faille de sécurité. Il y a simplement emploi abusif de cette fonctionnalité.
Qu'est-ce que Messenger spam ?
Une nouvelle forme de publicité non sollicitée est apparue peu de temps après le lancement de Windows XP. Elle est particulièrement agressive et n'est pas acheminée par les voies habituelles, à savoir les e-mails ou le Web (avec les Adwares). Il s'agit d'une forme de "spam" qui tient des pop-ups, du spam "traditionnel" et de la "publicité intrusive". Elle est dénommée "Messenger Spam" ou "Spam Service Windows" ou "NetBios Spam" ou "Pop-up Spam" ou "Spam pop-up"... "pop-up" désignant ici les fenêtres s'affichant par-dessus toutes les autres, y compris les applications locales et pas seulement les pages Internet comme avec les pop-ups "habituelles". Elle utilise un "service" de Windows qui n'est pas, en lui-même, une faille de sécurité, mais qui peut être utilisé pour envoyer des messages publicitaires (ou autres) qui vont surgir sous forme de pop-up. Toutefois, elle n'ouvre aucune brèche dans votre système et ne peut retourner aucune information à son envoyeur.
Quelle forme cela prend ?
Lorsque vous êtes connecté à l'Internet, des messages s'ouvrent en pop up sous forme de fenêtres à l'apparence totalement homogène avec Windows. Ces fenêtres ressemblent à n'importe quelle boîte de dialogue ou fenêtre habituelle d'information ou d'avertissement de Windows, avec leur bouton "Ok" et leur petite croix de fermeture. Ces messages sont, en général, publicitaires. Ils incitent souvent à aller sur des sites pour adultes (et risquent d'être reçus alors que des enfants jouent en réseau) ou à effectuer une opération scabreuse (acheter un élargisseur de pénis, acheter un "diplôme"...), ou illégale (acheter des médicaments sans ordonnance...) ou donne dans l'escroquerie (par exemple, un comble, en faisant peur aux internautes et en les incitant à acheter, fort cher, un logiciel pour éviter, justement, de recevoir ce type de message). Dans tous les cas, ces messages n'ont rien à voir avec votre navigation actuelle ou avec ce que vous êtes en train de faire sur le Net.
Mais que font les antivirus et anti-pop-ups ?
Les antivirus et les anti-pop up ne peuvent rien contre ce fléau car il ne s'agit pas d'un virus ni d'une pop-up. Les anti-trojan non plus car il ne s'agit pas d'un trojan. Les anti-hijack non plus car votre système n'est pas hijacké etc. ... Pourtant la solution existe et, en sus, elle est simple et gratuite.
Quels avantages à pratiquer ce genre de Spam ?
Voici ce que dit un site vantant un programme permettant de commettre ce genre de spam :
- Envoyez vos publicités directement sur l'écran des ordinateurs connectés à Internet.
- Votre message apparaîtra au 1er plan masquant ainsi les autres programmes (Internet Explorer y compris).
- Notre technologie est basée sur le service de messagerie inclus dans Microsoft Windows 2000 et XP.
- Caractéristiques
- Simple à utiliser, composez votre message, sélectionnez les destinataires et lancez votre campagne de e-marketing...
- Les messages sont délivrés sur le bureau des utilisateurs au moment où vous les envoyez.
- Possibilité d'envoyer des messages longs (775 caractères).
- Les pop-ups ne font pas l'objet de lois. Ils sont donc légaux.
- Possibilité de ciblage géographique.
- Les pop-ups envoyés par ce programme arrivent directement à l'écran de votre client.
- Les pop-ups sont complètement anonymes et virtuellement non traçables. (Votre adresse Ip n'apparaît nulle part.)
- L'impact de votre message est très important.
Comment cela fonctionne t'il ?
Ce spam est appelé "Messenger Spam" car il utilise une fonctionnalité normale des versions de Windows sur base NT, soit Windows NT4, Windows 2000 et Windows XP : le "service d'affichage des messages", "Messenger Service" (Microsoft Windows Messenger Service) dans les versions US de Windows, qui n'est pas lié et n'a rien à voir avec Windows Messenger ni avec MSN Messenger, l'outil Microsoft de conversation en ligne. Cette fonctionnalité est installée en même temps que Windows, dont elle fait naturellement partie, et permet l'envoi et la réception de messages de service entre un serveur et ses clients (typiquement - un réseau dans une entreprise). Par exemple, l'administrateur d'un réseau peut envoyer un message sur un ou des postes clients et les utilisateurs (les "clients") peuvent envoyer un message à l'administrateur du réseau). Le problème est que ceci n'est pas circonscrit à une connexion à un réseau local mais fonctionne également lors d'une connexion sur Internet.
Messenger Service est donc, avant tout, un simple outil d'administration destiné au travail sur un réseau. Et, puisqu'il travaille sur un réseau, il utilise forcément au moins un port : le 135 en l'occurrence (port 135 RPC - Location Service - protocoles de transport TCP et UDP) - (voir cette page pour la liste des ports "normaux"). En l'absence de firewall, il reste ouvert par défaut, comme tous les autres, dès que vous êtes connecté.
Ce port est accédé à distance par des logiciels de Spam créés à cet effet. Ces logiciels permettent de mettre en forme un simple petit message (775 caractères maximum - pas de lien ni d'image possible). Puis ils permettent de saisir des intervalles d'adresses IP (par exemple les intervalles attribués aux FAI (Fournisseurs d'Accès Internet) français - ces intervalles sont connus - par exemple, l'intervalle 217.128.0.0 - 217.128.0.255 est attribué à "France Telecom IP2000 ADSL BAS" pour son hôte "BSVZY101 Velizy Bloc1"). Ces logiciels vont alors envoyer le message sur le port 135 à toutes les adresses IP possibles, ce peut être des millions d'adresses IP, sans distinction et sans se préoccuper de savoir si le message a été délivré ou non. Donc tous les ordinateurs distants connectés recevront ce Spam immédiatement.
Différences d'avec le Spam traditionnel ?
Ce type de Spam diffère beaucoup du Spam habituel dans nos boîtes e-mail.
- Message très court
- Aucun enrichissement possible du message (gras, italique, souligné, véritable indentation, polices de caractères...)
- Aucun lien cliquable possible dans le message
- Aucun objet média possible (pas de son, pas d'image, rien que du texte)
- Ne nécessite que Windows et une connexion ouverte à Internet. Aucun besoin d'avoir un compte ouvert quelque part avec une boîte e-mail (spam "traditionnel" ni même d'être en train de surfer sur le Net (pop-ups "traditionnelles").
- La délivrance est immédiate, sans avoir à relever une boîte aux lettres
- Aucune règle de filtrage possible
- Obligation de cliquer sur la croix (ou sur "Ok") pour fermer la fenêtre
- La fenêtre s'incruste par dessus toutes les autres
- Le message s'affiche lorsque le destinataire est en ligne et disparaît si ce n'est pas le cas
- Problèmes de traçage et d'identification pour dénonciation ou dépôt de plainte :
- Pas de traçage possible (pas d'en-tête de message - même si celles des Spam par e-mail sont souvent également intraçables ou "spoofées - usurpées) - toutefois si le message est publicitaire il faut bien qu'il contienne une référence quelconque à un produit ou service et il suffit donc de chercher "à qui le crime profite". Il est également possible, avec un log de firewall, de remonter à l'IP distante étant entrée (ou ayant tenté de le faire) sur le port 135 et, avec un whois, de tenter d'identifier le propriétaire de la dite IP (peu de chance de succès).
- Pas de trace non plus après fermeture de la fenêtre, contrairement à un e-mail sur lequel on peut revenir longtemps après. La seule manière de conserver une trace de ce spam, pour le dénoncer par exemple, et de faire une capture d'écran.
Non, ce "service" de Windows n'est pas, en lui-même, une faille de sécurité mais on a vu qu'un site ou un programme peut en profiter pour envoyer autre chose que des messages de service. Plusieurs spammeurs "utilisateurs" de se "service" en profitent même pour faire de la pub pour son utilitaire qui permet de désactiver ce service - pour la modique somme de 20 US$ tout de même ! Il est donc recommandé de désactiver ce service, gratuitement. La procédure est la même sous Windows 2000 et sous Windows XP : voir anti-service "affichage des messages".
Et maintenant, voyons avec quoi ils font ce spam :
Il existe des programmes commerciaux pour exploiter ce dispositif (qui n'est pas une faille). Vous voulez faire du spam en exploitant ce service de Windows ? Voici des outils pour le faire...
- Ip-Harvester.
C'est un logiciel de E-marketing qui permet l'envoi de messages grâce à ces fameuses fenêtres en pop-up, directement sur l'écran des destinataires. Oui, ces pop-up masquent toutes les fenêtres ouvertes. C'est en français et en anglais. Si vous avez quelque chose à vendre, il faudra mettre vos coordonnées quelque part pour qu'on puisse vous l'acheter alors j'espère pour vous que vous courrez vite car, avec vos coordonnées, il y aura plusieurs internautes exaspérés qui viendront vous offrir une manifestation palpable de leurs sentiments ! C'est à
http://www.ads-bot.com/Ip-Harvester/fr/
- Direct Advertiser.
Un autre outil du même genre à
http://www.directadvertiser.net/directadvertiser.php.
21.12.03 Merveille du e-business - le site est fermé mais le nom de domaine, directadvertiser, est à vendre. Eh oui, il a été tellement attaqué (et, en sus, ils ne devaient plus vendre leur salade, messenger-spam ne fonctionnant plus bien puisque tout le monde à fermé le port 135), qu'il faut profiter tout de suite de la popularité (l'impopularité) du nom pour en tirer encore quelques sous.
| Historique des révisions de ce document : |
|
Historique |
Rédigé en écoutant :
Music
Music