Header Header Header
Header ISS Software
Header
  Pack Service Pack Securite Pack Web Pack Systeme Pack Client Pack Editeur Pack Contact  
Header Header Header
Header Header Header
 
  Près de 160 000 ordinateurs ont été infectés par MPack selon PandaLabs
Près de 160 000 ordinateurs ont été infectés par MPack selon PandaLabs Mardi 15 Mai 2007 à 14h48

Près de 160 000 ordinateurs ont été infectés
par MPack selon PandaLabs

Demander un devis 
 
»Suite à une détection par la bêta de NanoScan, PandaLabs a découvert MPack, un outil qui sert à télécharger des malwares en exploitant plusieurs vulnérabilités. 
   
»Plusieurs milliers de pages Web infectent les ordinateurs avec cet outil.  
   
»MPack est vendu 700 $ environ sur les forums en ligne. Son créateur propose également des mises à jour pour exploiter de nouvelles vulnérabilités. 
 
 

 

 
Un exploit détecté par NanoScan, l'analyseur en ligne de Panda Software, a mis PandaLabs sur la trace de MPack. Ce programme est utilisé pour télécharger des malwares sur des ordinateurs distants en exploitant plusieurs vulnérabilités. MPack a déjà été utilisé à plusieurs reprises. PandaLabs a eu accès à plusieurs versions dont une qui a servi à infecter 160 000 ordinateurs.
 
Ces données proviennent du module de statistiques inclus dans l'application. Les cyber-criminels peuvent ainsi savoir combien d'ordinateurs ont été infectés et consulter les données concernant les ordinateurs attaqués, en les regroupant par système d'exploitation ou par navigateur. Ils disposent également de statistiques sur l'efficacité des infections par région géographique.

MPack est vendu sur les forums en ligne pour 700 $ environ. Les créateurs offrent un an de support gratuit avec chaque version.

"MPack offre les mêmes types de services que des programmes licites, par exemple, des mises à jour. Les mises à jour de MPack sont de nouvelles versions de l'application comprenant de nouveaux exploits pour profiter des dernières vulnérabilités découvertes. Une nouvelle mise à jour est disponible tous les mois en moyenne et coûte entre 50 et 150 $.", explique Luis Corrons, le directeur technique de PandaLabs.

Pour 300 $, les clients peuvent obtenir DreamDownloader en supplément. Ce deuxième outil sert à créer des chevaux de Troie de type "Downloader" (qui servent à télécharger d'autres malwares). DreamDownloader fonctionne de la façon suivante.
Le pirate donne à DreamDownloader l'adresse à laquelle est hébergé le malware (un cheval de Troie, un ver, une mise à jour de malware, etc.) et l'utilitaire génère automatiquement un exécutable pour le télécharger.

"Ces deux outils sont complémentaires. Le premier permet d'infecter les ordinateurs avec le malware de son choix. Le deuxième permet de créer le malware, conçu pour télécharger d'autres codes malicieux.", ajoute Luis Corrons.
 
Attaques de MPack
 
MPack infecte les ordinateurs discrètement. Les cyber-criminels utilisent diverses techniques afin que les utilisateurs exécutent le code malicieux. Dans le cas des serveurs Web, les piratent ajoutent généralement dans les pages une balise de type iframe (non visible par l’utilisateur) qui charge la page sur laquelle MPack est installé.
 
Ils utilisent parfois le même site piraté pour héberger MPack ou d'autres malwares. Les cyber-criminels hébergent les malwares sur des serveurs tiers pour éviter que l'on ne retrouve leurs traces.
 
Une autre technique d'infection utilisée est l'insertion sur les pages Web de mots clés souvent recherchés. De cette façon, lorsque les pages sont indexées par les moteurs de recherche, les utilisateurs qui recherchent ces mots-clés peuvent se retrouver sur la page contenant MPack et se faire infecter.
 
Une autre technique est d'acheter des domaines avec des noms proches de ceux de sites web renommés, par exemple "gookle", en référence au fameux navigateur Internet Google. Les utilisateurs qui se trompent seulement d'un caractère en entrant le nom du navigateur peuvent ainsi se faire infecter.
 
Enfin, le spam est un autre moyen utilisé par les pirates. Les messages de spam contiennent un lien et utilisent des techniques d'ingénierie sociale pour inciter les utilisateurs à cliquer dessus.
 
Une fois parvenu sur l'ordinateur, l'exploit s'exécute et recueille des données sur l'ordinateur infecté : navigateur, système d'exploitation, etc. Ces informations sont ensuite envoyées à un serveur sur lequel elles sont stockées.
 

PandaLabs a publié une étude complète sur MPack (en anglais), elle est accessible à l'adresse http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf.

   

Pour plus d’informations et/ou devis sur les produits Panda Software. Merci de nous contacter au +33 (0) 4 68 25 85 48 ou par mail : panda@iss-software.fr

Valid HTML 4.01 Transitional  CSS Valide !  WAI-A Valide  Accesskey