Contre-attaque à une attaque d’espiogiciels !

illustration2006072401.jpgCe matin, il y avait à travers mes courriels, une histoire comme vous les aimez. Grosso modo, un poste de travail dans l’entreprise où travaille M. Luc Gagnon, un habitué de Technaute, a été infecté, vendredi dernier, par un espiogiciel particulièrement salaud. Pour s’en débarrasser, un technicien y a investi toute sa journée, cela au détriment du travail pour lequel il était payé. Irrité, M Gagnon a tenté de remonter à la source, question de voir qui pouvait être à l’origine du méfait. Or, il croit avoir trouvé et se demande maintenant, quoi faire. Compte tenu de la qualité de sa démarche, je vous en colle ci-après la description, après avoir apporté au texte quelques légers remaniements.


illustration2006072404.jpg« Vendredi, un de nos techniciens a vu son poste de travail s’infecter par un nouvel espiogiciel, une bébitte inconnue de Lavasoft, Spybot, Trend Micro ou même Hijackthis, et ça lui a pris la journée pour s’en sortir. Quelle histoire ! La page de démarrage s’est retrouvée changée par une pub pour SystemDoctor.com et le système est devenu pratiquement inutilisable. Non seulement était-il ralenti, mais il générait des pop-ups à répétition. L’espiogiciel s’est installé sans jamais demander un consentement quelconque. S’il a affiché une fenêtre demandant une autorisation d’installation, il était déjà trop tard, même en fermant ladite fenêtre. L’ordinateur était déjà rendu lent et ca allait déjà mal. On croit toujours que c’est l’utilisateur qui accepte de telles cochonneries sans lire les messages, mais pas cette fois. Notre technicien a vu exactement comment cela s’est déroulé.

Je suis allé voir la page Web de SystemDoctor.com et je me suis vite rendu compte que ce site n’avait aucune adresse courriel de contact. Pire, pour envoyer un commentaire, il fallait que notre adresse courriel se retrouve dans la base de données des propriétaires de SystemDoctor. Assez incroyable ! On peut difficilement parler ici de bonne volonté.

Avec whois, j’ai obtenu les informations suivantes:

SystemDoctor.com :
P.O. Box 143, Y Felinheli
Wales, NA LL56 4WQ, GB
+380 39 294 6731

illustration2006072403.jpgWales ? Pays de Galles ? Aussi bien oublier. Sauf que les DNS pointaient vers « nscache.net », lequel pointait vers « setupahost.net ». Or, surprise, ce dernier avait une adresse en Ontario (toujours selon whois). La voici :

Setupahost.net :
P.O. Box 2122 Peterborough
Ontario, K9J 7Y4, Canada
905 248-3003

En regardant de plus près la page Web de Setupahost.net, j’ai constaté que ce qui semblait être une entreprise d’hébergement, n’existait pas vraiment et n’était là que pour brouiller les traces. Mes courriels envoyés à cette société n’ont jamais été répondus. De plus, sa présentation sur la page principale de son site était bourrée de fautes de frappe. J’avais vraiment l’impression de me retrouver enfin à la source de l’espiogiciel nous ayant infecté.

Or, une recherche finale dans whois pour « setupahost.net « m’a appris ceci :

DNS Admin, SetupAHost dnsadmin@setupahost.net
2135A des Laurentides Blvd.
Suite 170
Laval, QC, H7M 4M2

Tiens tiens tiens ! Ce foutu code malicieux s’avérerait possiblement commandé ici de chez nous et ses concepteurs se cacheraient sous différentes identités.

illustration2006072406.jpgQue faire maintenant ? Où doit-on s’adresser pour savoir s’il y a des démarches à entreprendre ? Pour savoir s’il y a des recours légaux ayant déjà été intentés envers une compagnie de ce type ? Si j’avais la certitude que cet espiogiciel avait été fabriqué et/ou hébergé aux États-Unis, je ne serais pas en train d’écrire à Technaute pour obtenir des conseils. Mais c’est au Canada qu’il semble l’avoir été. Or les présumés responsables ne répondent pas aux courriels. Soit dit en passant, comme le numéro de téléphone dans la fiche DNS donne sur un télécopieur, je me suis servi de ce moyen pour demander de l’aide. Encore là, je n’ai reçu aucun retour d’appel.

J’espère qu’il y a des habitués de Technaute qui vont m’aider, qui vont me fournir des conseils ou des idées de marche à suivre, spécialement ceux qui pourraient être, eux aussi, aux prises avec cette saleté d’espiogiciel. En attendant, je vais surement aller cogner au 2135A des Laurentides, suite 170, Laval. C’est sans doute un casier postal, mais sait-on jamais. » (Luc Gagnon, Montréal)

illustration2006010402.jpgPas pire, celle-là, non ? Malgré toutes les ressources que l’on peut trouver sur Internet pour éliminer SystemDoctor, il semble, à lire M. Gagnon, que cet affligeant produit soit devenu plus difficile à éradiquer d’un ordi. Quelle chtouille ! Quoi qu’il en soit, qu’il faille travailler une heure, cinq heures, une journée, pour se débarrasser de SystemDoctor, qu’il faille le faire avec des produits gratos ou avec des logiciels commerciaux, notre ami pose ici des questions on ne peut plus pertinentes, des questions de type « Y aurait des crosseurs à Laval, ai-je une prise sur eux ? »

Alors, chers lecteurs et visiteurs de Technaute, même si vous n’êtes pas avocat, expert, policier, enquêteur ou webmestre, si vous avez de l’info, quelle qu’elle soit, de l’info pouvant aider M. Gagnon et, par-delà, toute la communauté, vous êtes ardemment priés de nous la fournir. Merci d’avance.

À vos claviers !


Publicités

26 réflexions sur “Contre-attaque à une attaque d’espiogiciels !

  1. Hum, une recherche avec « system doctor removal » donne plusieurs résultats sur Google, mais avec des résultats mitigés. Certains semblent utiles, comme ces deux forums (http://www.castlecops.com/t161407-Another_System_Doctor_Popup_Annoyance.html et http://www.bleepingcomputer.com/forums/topic58656.html), tandis que d’autres (http://remove-system-doctor.info/?gclid=CPXp_M72qoYCFQFKHgodfWarCA) mènent vers des sites proposant de télécharger des logiciels soi-disant gratuits, ou même payants (http://teacherlibrarian.blogspot.com/). Comme quoi certains semblent vouloir (comme toujours) profiter des problèmes des autres pour s’enrichir…

    Personnellement, les deux forums semblent proposer des solutions efficaces, mais je n’irai pas jusqu’à installer SystemDoctor pour m’en assurer ! 😉

    Pour ce qui est des éventuelles poursuites judiciaires, il existe un projet de loi (présenté au Sénat en 2003) visant les messages non sollicités, i.e. le spam. Quant aux espiogiciels, je crois que ça rentre dans le même domaine, mais je ne suis pas sûr. Des avocats dans la salle ?

  2. Je sais qu’il y a beaucoup d’outils dans Google, j’ai même la page Web de Pareto illustrée ci-haut dans mon article. La question est à un autre niveau. M. Gagnon a remonté la filière jusqu’à Laval. À partir de là, qu’est-ce qu’il devrait faire ?

  3. J ai pour mon dire qu on ne tente jamais de nettoyer un poste infecter.

    De un on debranche immediatement le poste du reseau.
    De deux on ne ferme pas la dite machine, sinon les indices laisser en memoire serait probablement perdu.Ensuite avec l aide de quelques outils de Forensic on peut arriver a mettre le main sur le bobo.

    Je crois qu il est bien d analyser le Malware en question dans un endroit isoler du reseau, mais apres on REFORMAT le poste et on repart avec une image dont on a la certitude qu elle est clean, on ne rebranche jamais un poste dont on se sait pas ce qui roule…

    Parc contre moi ces saloperies ne me touche pas.
    BSD c est de la balle!
    .

  4. M Gagnon,

    Un petit nmap sur le dernier hop ca donne quoi?
    Tu as tester?

    Y a des ports de trojan connu sur la becanne?
    Y a des ports louches non reconnu par Nmap?

  5. Rebonjour,
    On a nettoyé le poste mais je sais qu’on a en note l’adresse du site où le poste a été infecté, je vais la retrouver, mais je pourrais difficilement la poster ici, pour des raisons évidentes. Chose certaine, je vais laisser se réinfecter un poste de test qu’on a ici, afin de pouvoir analyser un peu plus. Dans le cas du pc de notre programmeur, le besoin immédiat était de rendre le poste fonctionnel à nouveau afin de continuer le travail sur les contrats en cours.
    Chose certaine, le pc était clean à 100% avant de visiter ce site.
    IAN : Je te conseille de relire le message, l’hébergeur ET le concepteur du spyware semble être le même commerce. L’adresse abuse n’amènera à rien, si elle existe, et si elle est lue.
    Je vous reviens dès qu’on a du nouveau.

  6. Qu’est-ce qui te dit que l’hébergeur et l’auteur de l’espiogiciel sont les mêmes?
    setupahost.net semble avoir des informations bidons dans whois.
    2135A? Avec un numéro de téléphone de Toronto? Et une adresse IP qui appartient à BigPipe, une division de Shaw, en Alberta? Ça ressemble à quelqu’un qui a loué un serveur dédié et qui sous-loue de l’hébergement et c’est pas interdit que ces sous-locataires sous-loue à leur tour! Tous ces noms (www.systemdoctor.com, setupahost.net, …) sont reliés à la même adresse IP, c’est pour ça que je pense qu’il pourrait s’agir de sous-location.
    Donc, pour trouver le vrai coupable, il faudrait obtenir de BigPipe qui est l’usager de l’adresse 66.244.254.64 et descendre ainsi la chaîne… Je ne suis pas avocat, mais je dirais que ça prend un mandat de la cour pour obtenir cette information. Regardez ce qui c’est passeé avec la CRIA et Bell et d’autres FAI, ça donne une idée scénario possible!

  7. Étrange coïncidence, il y a deux semaines, j’ai eu le même problème sur un poste, un logiciel qui m’avisait, de façon intrusive, que le poste en question était infecté, quand on cliquait, on se retrouvait sur une page de vente pour un logiciel anti-virus obscur.

    De plus, une pluie de popups sont apparus et à tout moment me proposait des casinos en ligne, pas très jojo, la clientèle que je sert est à risque pour ce genre de truc et je fais tout pour ne pas l’exposer à ces foutus casinos. Vous voyez à quel point ces foutus escrots n’ont aucune morale quand vient le temps de vous voler.

    Il m’aura fallu plusieurs heures de travail pour enfin trouver le moyen de me débarrasser de cette « M » qui était justement l’infestation virale.

    Alors attention à tous ces p’tits logiciels qui veulent votre bien, il viennent souvent sans moyen des les supprimer de votre système et parfois les antivirus ne le détectent pas.

  8. Je le répète, Qu est ce que vous fouttez a continuer d’utiliser une machine infecté alors que vous ne savez meme pas ce que le Malware en question fait. Qui vous dit qu’il n’affiche que de misérables pop-up?
    Et si le Malware était aussi un Keylogger?

    Vous êtes vraiment inconscient de continuer d’utilisé des machines infecté sur vos réseaux. Pour ma part on est sur Unix, dont pas de problèmes, mais si on était sur Windaube, je peux vous garantir qu’aucuns postes ne serait toléré sur le réseau dans un état inconnus.

  9. J’ai en ma possession un logiciel anti espion qui a le même type d’entête et se nomme Spyware Doctor.
    Je ne peux vous envoyer une photo du CD ainsi que le nom de la compagnie qui me l’a vendu car cette espace ne me le permets pas.

  10. SAID: Cette page n’est pas une page pour basher windows et faire de la pub pour linux. Ceci étant dit, quand linux va avoir 90% du marché, il va devenir la cible de 90% des virus. Point.

    Et on a cessé d’utiliser la machine, le temps de la décontaminer. Mais plusieurs des étapes de décontamination demandent d’être branché à internet, et si ça aurait été un keylogger, dans notre cas ça aurait pas été un problème.

    PA: En effet, le monde ne se méfie pas assez de ce qui est gratuit, et des raisons pour lesquelles certaines choses sont gratuites. Mais dans le cas présent, on parle d’une infection qui s’est fait sans AUCUN consentement, ce qui théoriquement distingue un virus d’un spyware.

    Voilà. On retourne à la case départ, dois-je conclure que personne n’a d’indices pour faire fermer ce site et ces manigances, même si le tout semble être orchestré par nos voisins ??

  11. said_az,

    Je me permets un point dans cette discussion, je vous trouve négatif. Vous avez droit à votre opinion (c’est un droit démocratique), mais la vôtre est pointue.

    Sans raucune.

  12. En quoi mon opinion est elle pointue?

    Messemble que c est evident que tu ne rebranche pas une machine infecter sur un reseau corporatif, et cela pour aucunes raisons. La decontamination par des logiciels anti-spyware, laisse moi rire…Ils t en gavent tout pleins en essayant de faire croire que ta machine est propres apres.

    En passant je ne fais pas de publicite pour Linux!
    Ou, je dis bien OU, une seul fois ai je parler de Linux ici?
    Je te mets au defi LucG de trouver cela…

  13. Note à Luc Gagnon: Quelqu’un a de l’info à vous faire parvenir par courriel. Pourriez-vous me communiquer votre adresse que je la lui fasse parvenir. Merci. (message@nelsondumais.com)

  14. Grace à un lecteur, j’ai recu du matériel très intéressant. plus de 40 sites « questionnables » sont hébergés sous ce IP, la majorité des sites reliés aux spywares, et possiblement aux virus.
    N’hésitez pas à écrire sur ce forum si vous avez des informations qui pourraient m’intéresser, mon but est d’essayer, si possible sans frais, de m’assurer que justice soit rendue, et si possible récupérer ce qu’on a perdu en temps/argent lorsque leur spyware a bousillé notre pc.

  15. Ouais, c’est ce qu’on a trouvé aussi. Mais s’il s’avère qu’il y a fraude, les policiers n’auront aucun problème à remonter à la source, même si c’est une case postale acquérie sans laisser de vraies coordonnées.

  16. Mon frère à été infecté et sa page de démarrage changeait toujours pour être diriger sur SystemDoctor, en plus des fenêtres qui ouvrait à répétition.
    J’ai trouvé ce petit logiciel qui m’a débarrassé de l’intrus.
    Son ordi fonctionne très bien maintenant.

    Voici une brève description du gratuiciel :
    «CWShredder est un petit utilitaire permettant de désinstaller efficacement des logiciels publicitaires (ou des chevaux de Troie selon certains) de la famille CoolWebSearch (CWS), qui sont notamment en mesure de détourner la page de démarrage d’Internet Explorer, de rediriger le fureteur lors du chargement de Google et parfois même d’empêcher l’exécution de programmes contre les logiciels espions.»

    http://www.intermute.com/products/cwshredder.html

  17. http://www.mailnetwork.com/atemporary.html
    oauis mais meme la compagnie de location d’adresse est  »louche »

    Allez dans leur page about us et il y’a des numeros 1800 qui peuvent être forwardé au numeros local de montreal, qui lui est un numeros de cellulaire…
    (514) 824-7678 is a cell phone based in Montreal, QC
    Le numeros de fax est basé a laval
    450 967-9248…

    Franchement cela ne regarde pas fort comme compagnie.

  18. S le coupable est originaire du quebec ou du canada l’avantage est depourvuire entamer des poursuite au civil. Le hic dans tout ca, c’est que même si on retrace la personne qui possede le nom, site etc, encore faut il prouver que c’est lui le coupable. En effet n’importe qui peut créer n’importe quel programme et el faire pointer (directement ou indirectement) sur le site d’une autre personen a qui il veut faire porter le chapeau.

    Sans vouloir faire l apologie des sysyteme unix ou autre il vaut mieux choisir un bon vieux qui a fait ses preuve. Ce n’est pas juste une question de part de marhé. Si windos est la cible c’est pas parcequ il occupe 90% mais simplement parce qu’il est médiocre.

  19. Jai ete infecte en downloader un programme sur internet,

    Apres 7 a 8 jours a me faire spammer…mon antivirus(McAfee) a reussi a eliminer le probleme…

    Peu-etre est il encore presnt, mais je ne sais pas? mon ordinateur va bien maintenant

  20. M. Gagnon

    Vous avez des informations sur l’hébergeur et le concepteur, alors prenez ces informations et donnez les à la GRC division « Groupe intégré de la criminalité technologique »

    « http://www.rcmp-grc.gc.ca/qc/pro_ser/int_finan_f.htm#GICT »

  21. Bonjour à toutes et tous,

    Je me trouve dans une situation quelque peu délicate. Tous les antivirus que j’utilise ne détecte aucun problème du côté système. L’ordi semble clean, mais lorsque je surfe sur IE, je visualise régulièrement des fenêtres internet intempestives genre winantivirus pro, system doctor et un download non voulu est généré et heureusement bloqué par mes antivirus. Je ne comprends pas le pourquoi de ce genre de pratique… peu importe.

    Concrètement j’ai besoin que quelqu’un me dise si je dois reformater mon disque dur pour bosser avec un système propre ou si je dois suivre une quelconque procédure informatique pour pouvoir me débarrasser de ces fenêtres publicitaires qui me pourrissent mon surf et mon travail. Cette dernière me plaiarit plus car je me vois mal réinstaller tout mon PC.

    Si quelqu’un entame une procédure judiciaire contre les personnes ayant créé ce malware, je me joins volontiers à lui.

    Vous pouvez m’écrire sur cette adresse webmaster at humanitaire.ws .

    Merci

  22. Faites le ménage avec les meilleurs anto-espiogiciels dont on parle ci-haut. De plus, cessez d’utiliser IE et adoptez Firefox, ça devrait faire une très bonne différence.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s