Depuis le mois de mai un ver sévit sur internet notamment sur les messageries instantanées et les P2P.
Faites donc attention aux messages qui se présentent de manière sympathique comme un lien accompagné d'un smiley…
Ce virus demande à l'utilisateur de cliquer sur un lien accompagné d'un smiley souriant, censé les diriger vers une image ou une galerie de photos. Ils sont ensuite invités à sauvegarder un fichier jpeg, qui se révèle être en fait le ver nommé Worm.P2P.Palevo.DP. Parmi les dégâts causés par ce ver, Bit Defender prévient qu'il "est également capable d'intercepter des mots de passe et d'autres données sensibles saisies dans les navigateurs web Mozilla Firefox et Microsoft Internet Explorer".
Evidemment, vous vous dites mais pourquoi il nous parle de ça lui !!!
Tout simplement parce que j'ai eu le plaisir, avec un collegue, d'etudier ce virus qui a contaminé une bonne partie de notre reseau faisant planter (ddos) nos IDS.
apres etudes des paquet, on s'est rendu compte que ce ver concentre les login/pass recupérés sur la machine et les transmet en SMB a un serveur sur internet.
ce serveur est le 194.27.180.130, le login/pass en SMB est : administrator/123456
avec ça on a acces à C$ et D$. J'ai donc recupéré pas mal de truc dont une BDD filemaker PRO.
ce serveur est en turquie, enregistré sous le nom de Hasan Serindag (serindag@gantep.edu.tr) j'ai donc l'identité du proprio de ce serveur, mais est ce notre pirate ? ou s'est t'il fait piraté lui aussi .....
si ça tente quelqu'un de creuser sur ce serveur, allez y la porte est ouverte.
et peut etre un botnet en recompense ;)