Spam - La chaîne du spam viral

Forts des constats d'échecs précédents lors de la propagation classique des spams, les spammeurs recherchent de nouveaux moyens de propagation. L'un d'entre eux est de prendre nos machines pour les leurs. Ils ont observé que les virus se répliquent, grâce à de micros serveurs SMTP embarqués, à une vitesse fulgurante, prenant de court les mises à jour des bases de données des antivirus. L'idée est simple : demander au même mécanisme de réplication de répliquer et propager un spam au lieu de répliquer et propager un virus. Des virus de ce type sont, par exemple, Sobig, Swen, Sober, W32.Gluber.B@mm, MyDoom (Novarg, Mimail), Netsky, Bagle... D'autres formes de propagations virales utilisent les envois réels d'e-mail par un internaute pour s'attacher à ces envois. L'opération se déroule en 2 temps.

Premier temps:
Dans un premier temps, le spammeur entre en relation avec un créateur de virus (ce serait, d'ailleurs, plutôt, le créateur de virus qui proposerait ses services à un spammeur car les créateurs de virus sont particulièrement discrets et furtifs) et, moyennant finances, un virus est lâché dont le but est d'infester très proprement le maximum de machines. Ce genre de virus a besoin de machines saines. Il se donne même des airs de chevalier blanc en agissant parfois en antivirus histoire d'assainir une machine et en chasser les spammeurs concurrents (pousse toi de là que je m'y mette). Ces virus ne sont absolument pas destructeurs. Ils agissent en simple cheval de Troie.

Ils installent un serveur smtp et se répliquent, grâce à lui, vers la totalité des adresses e-mail trouvées dans la machine infestée.
Ils lâchent aussi un backdoor qui permettra le réemploi du mécanisme implanté.

Les données permettant d'identifier ce genre de virus à l'oeil nu sont, par exemple :

Documents dont les virus extraient des adresses e-mail.
adresses trouvées dans votre carnet d'adresse
adresses trouvées dans tous les documents susceptibles d'en contenir, sur les disques C: à Z: comme les pages Web visitées depuis longtemps déjà et qui se trouvent encore dans le cache de votre navigateur, sur votre disque dur, les historiques et archives de vos correspondances, les documents dont les extensions sont :
.a
.abd
.ad
.adb
.as
.asp
.b
.bat
.c
.cf
.cfg
.cg
.cgi
.cmd
.csv
.d
.db
.dbf
.dbx
.dh
.dht
.dhtm
.do
.doc
.e
.em
.eml
.f
.g
.h
.ht
.htm
.html
.i
.ini
.j
.js
.jse
.jsp
.k
.l
.log
.m
.mb
.mbx
.md
.mdx
.mh
.mht
.mm
.mmf
.ms
.msg
.n
.nc
.nch
.o
.od
.ods
.of
.oft
.p
.ph
.php
.pl
.pp
.ppt
.q
.r
.raw
.rt
.rtf
.s
.sh
.sht
.shtm
.shtml
.st
.stm
.t
.tb
.tbb
.tx
.txt
.u
.ui
.uin
.v
.vb
.vbs
.vcf
.w
.wa
.wab
.ws
.wsh
.x
.xl
.xls
.xm
.xml
.y
.z
Etc. ...

Expéditeur (de: from:)
Généralement une adresse usurpée (spoofée) ne répondant à aucune règle mais aussi les adresses remarquables suivantes :
Microsoft <support@microsoft.com>
Terrorist George W. Bush <president@whitehouse.gov>
Terrorist Ariel Sharon <pm_eng@pmo.gov.il>
careless <ch@care.net>
media <washtimes.com>
Rumsfeld <rumsfeld@pentagon.net>
Maybank <security@maybank2u.com>
condemn <fool@first.gov>
BinLaden <osama@fbi.gov>
BushScare <president@white.gov>

Sujet (objet)
Lorsque vous voyez un e-mail avec un sujet dans le genre de ceux-là, c'est un spam
Announcement
Approved
Attention
automatic notification
automatic responder
Bad News!
believe me
Bussiness
Buy 1 Free 2
Confirmation
Confirmation Required
Correction
Criminal
dear
Delivery Failed
denied!
Details
Error
exception
excuse me
Expired account
fake
fake?
Found
Free Porn!
Funny
good morning
great!
Hack me!
hello
Here is it
hey
hi
Hi!
hi, it's me
Hurts
Illegal
illegal...
I'm back!
important
info
information
its me
last chance!
Letter
lol
Love is
Mail Delivery System
Mail Transaction Failed
moin
Money
More samples
Need help!
News!
nice job!
notice!
notification
Numbers
oh
oh wow
Only love?
Password
Picture
Pictures
please read
please reply
plz!
Privacy
private?
Question
Re:
Re: <5664ddff?$????>
Re: <5664ddff?$??º2>
Re: <censored>
Re: Advice
Re: Application
Re: Approved
Re: Bill
Re: Cheaper
Re: Contacts
Re: Demo
Re: Details
Re: Document
Re: does it?
Re: e-Books
Re: Error
Re: Excel file
Re: excuse me
Re: Fax number
Re: Final
Re: Hello
Re: Here
Re: Here is the document
Re: hey
Re: Hi
Re: important
Re: Information
Re: Job
Re: Letter
Re: List
Re: Missed
Re: Movie
Re: Music
Re: My details
Re: Paint file
Re: Patch
Re: Photos
Re: Poster
Re: Presentation
Re: Pricelist
Re: Private
Re: Product
Re: Re: Document
Re: Re: Message
Re: Re: Re: Re:
Re: Re: Re: Your document
Re: Re: Thanks!
Re: Step by Step
Re: Summary
Re: Tel. Numbers
Re: Text
Re: Text file
Re: Thank you
Re: Thank you!
Re: Thanks!
Re: unknown
Re: War
Re: Website
Re: Word file
Re: Your archive
Re: Your bill
Re: Your details
Re: Your document
Re: Your letter
Re: Your music
Re: Your picture
Re: Your product
Re: Your software
Re: Your text
Re: Your website
read it immediatelly
read it immediately
read now!
Read this message
registered?
Registration confirm
report
Report!
Returned Mail
Schedule
Server Report
something for you
Spend Money
Status
Stolen
take it
test
Text
Thank you
Thank You very very much
Too easy
trust me
unknown
Update
warning
Warning!
what's up?
Wow
Yep
you are!
You have 1 day left
You use illegal...
you?
Your IP was logged
Your request was registered
Your resume
etc. ...
Nom de la pièce jointe -
Lorsque vous voyez une pièce jointe dont le nom est de ce genre, la pièce jointe est un virus qui va implanter un serveur smtp et un backdoor afin de transformer votre machine en un zombie ré-employable sans limite par un spammeur. L'extension de la pièce jointe est aléatoirement choisi parmi une liste d'extensions "exécutables" comme .exe, .scr, .pif, .bat, .com, .cmd, .zip etc. ... Lorsque la pièce jointe a 2 extensions, la première est "anodine" comme .htm ou .doc ou .txt...
454543403
aboutyou
abuses.pif
Alert
all_document.pif
all_pictures.pif
application.pif
Artificial Intelligence
associal
attach2
attachment
auction
bill
birth
body
brand
card
class_photos
Clever
collection
computers
concert
corrected_doc.pif
credit
creditcard
data
death
description
details
Digital Sign
dinner
disco
doc
doc_ang
document
document.pif
document_4351.pif
document_excel.pif
document_full.pif
document_word.pif
document1.pif
e machine
Empty
fees
file
final
found
freaky
friend
help
Hit For Money
hurts.pif
id
image
image034.pif
important
In the room
incest
information
injection
intimate stuff
jokes
large space
Less but high
letter
location
logfile
loveletter02.pif
magazine
mail2
mails
Main Mission
masturbation
material
me
message
message_details.pif
message_part2.pif
misc
moonlight
more
mp3music.pif
msg
msg2
multi
music
My_Advice.pif
my_details.pif
My_Fax_Numbers.pif
my_stolen_document.pif
My_Telephone_Numbers.pif
myabuselist.pif
myaunt
mydate
naked1
naked2
news
nomoney
note
nothing
number_phone
object
old_photos
Osam_Bin_Laden_Articel_42.pif
part2
party
password
passwords02.pif
paypal
pic
pictures
pin_tel.pif
portmoney
poster
posting
press any key
privacy
problem
product
ps
quiz
ranking
Re:
readme
Ready to attack
regards
regid
release
Reporter
request
response
schock
secrets
serial no.
setup
sexual
sexy
shower
solution
Spammer Activity
story
stuff
swimmingpool
talk
tear
test
text
textfile
topseller
transfer
trash
undefinied
unfolds
update
video
violence
visa
visa_data.pif
warez
Warranty Void
webcam
website
wife
word_doc
worker
your_archive.pif
your_bill.pif
Your_Contacts.pif
Your_Demo.pif
Your_Description.pif
your_details.pif
Your_Digicam_Pictures.pif
your_document.pif
Your_Document_Part3.pif
Your_E-Books.pif
Your_Error.pif
Your_Excel_Document.pif
your_file.pif
Your_Final_Document.pif
Your_Information.pif
Your_Job.pif
your_letter.pif
your_letter_03.pif
Your_List.pif
Your_Movie.pif
Your_Music.pif
Your_Paint_File.pif
Your_Patch.pif
Your_Pics.pif
your_picture.pif
your_picture01.pif
Your_Poster.pif
Your_Presentation.pif
Your_Pricelist.pif
Your_Private_Document.pif
your_product.pif
Your_Product_List.pif
Your_Software.pif
your_stuff
Your_Summary.pif
your_text.pif
Your_Text_File.pif
your_text01.pif
your_website.pif
yours
yours.pif

Les failles exploitées sont

Réseau P2P
Cette faille est, en réalité, assise devant le clavier, positionnée exactement entre 2 oreilles, et c'est l'une des failles les plus difficiles à éradiquer. Cette faille est renouvellée en continu à raison d'une nouvelle génération par jour, probablement due à l'usage de viagra justement promu par le spam. Cette faille s'auto reproduit ! C'est le cancer du Net. Heureusement que Assiste.com est l'antidote ! Cette faille se shoote aux fichiers infectés qui ont pour noms :

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
Microsoft WinXP Crack.exe
Teen Porn 16.jpg.pif
Adobe Premiere 9.exe
Adobe Photoshop 9 full.exe
Best Matrix Screensaver.scr
Porno Screensaver.scr
Dark Angels.pif
XXX hardcore pic.jpg.exe
Microsoft Office 2003 Crack.exe
Serials.txt.exe
Screensaver.scr
Full album.mp3.pif
Ahead Nero 7.exe
Virii Sourcecode.scr
E-Book Archive.rtf.exe
Doom 3 Beta.exe
How to hack.doc.exe
Learn Programming.doc.exe
WinXP eBook.doc.exe
Win Longhorn Beta.exe
Dictionary English - France.doc.exe
RFC Basics Full Edition.doc.exe
1000 Sex and more.rtf.exe
3D Studio Max 3dsmax.exe
Keygen 4 all appz.exe
Windows Sourcecode.doc.exe
Norton Antivirus 2004.exe
Gimp 1.5 Full with Key.exe
Partitionsmagic 9.0.exe
Star Office 8.exe
Magix Video Deluxe 4.exe
Clone DVD 5.exe
MS Service Pack 5.exe
ACDSee 9.exe
Visual Studio Net Crack.exe
Cracks & Warez Archive.exe
WinAmp 12 full.exe
DivX 7.0 final.exe
Opera.exe
IE58.1 full setup.exe
Smashing the stack.rtf.exe
Ulead Keygen.exe
Lightwave SE Update.exe
The Sims 3 crack.exe...
Pour ce qui est contre et contre ce qui est pour
Oh, cette faille est le propre de toutes jeunesses, à moins que ce ne soit l'inverse - ou que la jeunesse en elle-même soit une faille de sécurité. Quoi qu'il en soit, c'est encore une faille qui se situe juste là, assise devant le clavier. Ces naïfs par essence sont prompts à s'enflammer pour une cause et la cause leur semblait juste : lancer des attaques en déni de service distribué (DDoS) contre SCO ou Microsoft. Quelle chance de pouvoir participer à ce truc, de pouvoir dire plus tard, à ses enfants "j'y étais, j'en étais". Ce n'est pas les baricades de mai 68 mais, quand-même... Et toute la presse, la presse informatique mais aussi la presse d'information, les sites de news, les sites de sécurité etc. ... en ont fait leurs choux gras. Et toute une population à ouvert volontairement ce virus qui devait s'auto-arrêter un mois plus tard. Tandis qu'il jetait sa poudre aux yeux aux aveugles de service, il installait un serveur SMTP et un backdoor. Vous vous souvenez : s'était le 26 janvier 2004 et il s'appelait MyDoom. Les machines ainsi zombiifiées continuent de nous inonder de spams...
iFrame ( ms01-020 ) donc une faille corrigée depuis plusieurs années - 01-020 signifie 20ème publication de patch (correctif) de l'année 2001. C'était le 29 mars 2001 ! Bien sûr, les patchs n'ont pas été appliqués, on est donc, simultanément, façe à une faille de type zombioïde bipède à éradiquer de toute urgence. Encore le même type de faille assise devant le clavier.

Dans ce même premier temps d'infestation, le spammeur peut en profiter pour balancer, simultanément, un premier spam mais, généralement, ce n'est pas le cas.

Un spammeur se vante ainsi de contrôler 450.000 PCs et garanti à ses "clients" l'intraçabilité des spams envoyés par lui.

Second temps:
Le spammeur scanne le port maintenu ouvert grâce au backdoor implanté, sur quelques machines cibles par pays, par exemple tous les pays d'Europe de l'Ouest, et donne au mécanisme implanté précédemment, un spam à envoyer. La propagation est fulgurante, de proche en proche, par grappes successives. Le mécanisme est ré-employable indéfiniment tant qu'un anti-trojan et un firewall ne sont pas installés sur toutes les machines infestées. Même si le virus, qui a agit en simple cheval de Troie pour faire pénétrer la malveillance, est détruit, le mécanisme reste en place. Il faudrait un anti-trojan pour détecter et détruire le mécanisme et un vrai firewall (pas le gadget d'XP) pour s'apercevoir qu'un serveur SMTP tente d'envoyer des messages. Le spam étant un courrier très bref, il est extrêmement rapide à envoyer en masse et le pic de propagation peut être atteint en 1/2 heure à 1 heure soit longtemps avant que les organisations de lutte anti-spam n'aient eu le temps de classifier l'opération en spam. Ici, on s'apperçoit que les anti-spam classiques à base de signatures de spams sont, comme les antivirus, voués à l'échec.