forensics : etude d'un ver qui se nomme PALEVO

Moderator: Mod

forensics : etude d'un ver qui se nomme PALEVO

Postby KEV-1 » Fri Sep 17, 2010 5:09 pm

Depuis le mois de mai un ver sévit sur internet notamment sur les messageries instantanées et les P2P.
Faites donc attention aux messages qui se présentent de manière sympathique comme un lien accompagné d'un smiley…

Ce virus demande à l'utilisateur de cliquer sur un lien accompagné d'un smiley souriant, censé les diriger vers une image ou une galerie de photos. Ils sont ensuite invités à sauvegarder un fichier jpeg, qui se révèle être en fait le ver nommé Worm.P2P.Palevo.DP. Parmi les dégâts causés par ce ver, Bit Defender prévient qu'il "est également capable d'intercepter des mots de passe et d'autres données sensibles saisies dans les navigateurs web Mozilla Firefox et Microsoft Internet Explorer".

Evidemment, vous vous dites mais pourquoi il nous parle de ça lui !!!

Tout simplement parce que j'ai eu le plaisir, avec un collegue, d'etudier ce virus qui a contaminé une bonne partie de notre reseau faisant planter (ddos) nos IDS.

apres etudes des paquet, on s'est rendu compte que ce ver concentre les login/pass recupérés sur la machine et les transmet en SMB a un serveur sur internet.

ce serveur est le 194.27.180.130, le login/pass en SMB est : administrator/123456
avec ça on a acces à C$ et D$. J'ai donc recupéré pas mal de truc dont une BDD filemaker PRO.

ce serveur est en turquie, enregistré sous le nom de Hasan Serindag (serindag@gantep.edu.tr) j'ai donc l'identité du proprio de ce serveur, mais est ce notre pirate ? ou s'est t'il fait piraté lui aussi .....

si ça tente quelqu'un de creuser sur ce serveur, allez y la porte est ouverte.
et peut etre un botnet en recompense ;)
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby hywiel » Sat Mar 05, 2011 12:09 am

Je déterre sans doute un peu le topic mais bon...

A mon avis, l'humble monsieur en .edu (le propriétaire) a dû se faire pirater sa machine à cause du mot de passe par défaut.
En effet, il me semble un peu bête, pour un programmeur de malwares, souvent très ingénieux (il suffit de regarder les sources ou de leur parler), de laisser un accès "défaut."...

Sur ce, je vais tenter de me connecter & voir tout ça...

Merci beaucoup, j'ai rien à étudier en ce moment !

EDIT : Serveur down.
User avatar
hywiel
Projets
 
Posts: 25
Joined: Fri Jul 03, 2009 11:03 am
Location: Dijon


Return to Virologie informatique

Who is online

Users browsing this forum: No registered users and 3 guests

cron