Network Solution (NS), dans le paysage des registrars du monde entier, fait figure d’ancêtre… presque d’institution. L’histoire n’en est que plus piquante. Car, nous apprend le blog d’Armorize, un widget promotionnel d’origne NS –tout à fait légal- aurait été détourné par des pirates, le transformant en déclencheur de « téléchargeur de troyen ». L’installation de ce widget compromis transformait ipso facto en source de diffusion de malware tout serveur web, tout blog qui aurait été enrichi de cette appliquette par son Webmestre. NS a rapidement réagi en fermant le site growsmartbusiness.com chargé notamment de diffuser cette épique appliquette hippique.
Si l’aiguillon du doute n’avait pas poussé les chercheurs d’Armorize à aller plus loin, l’on aurait conclu à une petite attaque ciblée. Mais devant la grogne d’un nombre croissant de webmestres infectés, l’équipe continue son enquête, et s’aperçoit que ledit Widget –accompagné d’une fausse appliquette de messagerie instantanée- se retrouve avec une fréquence élevée sur un nombre impressionnant de « pages parking » gérées par NS. Pour en avoir le cœur net, les chercheurs du laboratoire d’Armorize déposent un nom de domaine test, lui adjoignent un service d’hébergement, et suivent la procédure standard consistant à activer sans le « remplir » le serveur Web du domaine. Page garée comme tant d’autres sur ces « parking publicitaires » destinés à séduire les internautes égarés ou en recherche d’un site qui n’existe pas.
Une rapide requête Google parvient à dénicher près de 500 000 pages de ce type…. Les moteurs de recherche Yahoo sont bien plus pessimistes, puisqu’ils trouvent plus de 5 millions de pièges au widget corrompu. Piège, doit-on préciser, qui n’est détecté que par un peu moins de la moitié des antivirus commerciaux standards. De son côté, un porte-parole de Network Solution estime ces deux chiffres très exagérés. Une requête Google est pourtant difficile à faire mentir.
« Entre 500 000 et 5 millions de vecteurs d’infection »… quel que soit le chiffre réel, c’est là indiscutablement l’un des plus jolis et des plus discrets botnets de la création. Le troyen –ainsi que la fameuse « fausse UA de messagerie instantanée »- sont spécifiquement conçus pour attaquer des internautes Chinois. Mais l’idée pourrait être reprise par d’autres amateurs d’infections massives plus intéressés par les richesses occidentales.
La charge utile du virus est elle-même un concentré d’efficacité. Outre un espionnage de tout ce qui est visité par la victime à l’aide des principaux navigateurs du marché, le malware détourne les requêtes Google, Ask, Yahoo ! AOL et Bing vers un autre site, et empoisonne la vie de l’internaute en lui assénant des publicités sur le thème « Cialis, pharmacie, casinos… ». A noter également une intéressante procédure de duplication ; ledit virus recherche l’existence de répertoires créés par des logiciels d’échange P2P et autres outils d’échange (Kazaa, eMule, eDonkey,ICQ, Limewire etc) et s’y camoufle sous des noms parfois édifiants : WinRAR v3.x keygen [by HiXem].exe, MSN Password Cracker.exe, K-Lite Mega Codec v5.2.exe ou encore Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe.