J’écris cet article pour deux raisons : la première, c’est que le spam m’a toujours passionné. Remonter un réseau à partir d’un unique mail, chercher des liens entre les différentes pistes, fouiller dans d’immenses listes d’IP, lancer intentionnellement des virus « juste pour voir »… C’est mageek !
La seconde raison concerne mon article précédent : je vous ai promis une série de billets consacrés à la création d’un robot-spam en C, pour vous prouver que spammer un site ou un blog n’était pas qu’un loisir réservé aux professionnels. Pour introduire cette série d’articles, j’ai choisis de vous présenter le spam sous un aspect que vous n’avez probablement jamais approché.
Hier, quand j’ai commencé à réfléchir à la manière dont j’allais écrire cette introduction sur le spam, j’étais loin de me douter que j’allais faire des découvertes aussi exaltantes ! Je vais donc essayer de vous expliquer de quoi je suis parti et où je suis arrivé.
Avant toutes choses, je tiens à remercier @giyomu, @erdnaxeli, @hsztheater et @DJKweezes pour leur aide précieuse et leurs supers idées.
Je me suis toujours posé cette question : « pourquoi le spam ? ». Je me suis toujours demandé qui pouvaient envoyer le spam, qui pouvaient l’ouvrir, à qui profitait-il, et comment tout ça pouvait s’organiser, techniquement parlant.
Puisque Google ne m’a absolument pas renseigné sur ces quelques questions, j’ai décidé d’ouvrir ma propre enquête.
Chercher le spam qui va bien, et remonter jusqu’à l’expéditeur.
Première étape : chercher des commentaires-spam sur mes blogs. J’en reçois une vingtaine par semaine minimum, ce n’était donc pas la partie la plus ardue de mes recherches.
Deuxième étape : choisir un spam et essayer de remonter jusqu’à l’expéditeur. Là , il fallait viser juste. J’ai dans l’idée que certains spam sont moins intéressants que d’autres. Celui là par exemple, amène directement sur un site porno vitrine qui vous demande de passer un coup de fil surtaxé pour avoir accès au contenu. Au pire des cas, vous n’avez pas accès à vos vidéos porno et vous perdez 50€, je ne trouve pas l’arnaque bien intéressante :
Par contre j’ai repéré deux ou trois autres spams apparemment distincts mais en réalité très liés :
Analyse comparative rapide :
- Pas la même adresse mail.
- Pas le même message, pas les mêmes liens dans le message.
- Pas la même adresse IP.
- Pas le même site,….. mais point commun dans la structure de l’URL.
C’est grâce à cette ressemblance assez frappante entre les deux URL, à savoir :
que l’idée m’est venue de partir sur cette piste.
Vous pouvez visiter les deux sites en question, il n’y aucun risque.
Les deux sites ont été mis à jour en août 2008, les deux domaines ont été acheté par la même personne il y a quelques semaines, et partagent les mêmes serveurs DNS privés.
Analyser un spam et voir où il peut vous mener.
Analysez brièvement le contenu du site kfojg.com. Vous remarquerez vite qu’il s’agit de pavés sans aucun sens, composés d’une succession de mot anglais. (à fort potentiel SEO, certes.)
La majorité des mots-clef de chaque phrase est orné d’un lien menant vers une page interne du site kfojg. Je me suis longtemps demandé l’intérêt de spammer de telles pages : pas de contenu, pas de liens vers d’autres sites web, rien. Vous comprendrez plus tard, à la fin de l’article. C’est simplement du génie.
Maintenant, analysez brièvement le contenu du site jjehtrw.com.
ATTENTION : à partir de maintenant, vous serez amené(e) à parcourir des sites porno dangereux. Aussi, vous vous verrez peut-être proposé le téléchargement d’un virus. Tant que vous ne l’installez pas sur votre ordinateur explicitement, vous ne courrez aucun risque !
Le site jjehtrw est de la même trempe que kfojg.com. Seulement, les liens des pavés vous amènent sur un site externe cette fois-ci. Soit un site pornographique, soit une page vous proposant de regarder une vidéo « très regardée »Â (+ de 20.000 vues!) :
Pour visionner cette vidéo, le site vous demande de télécharger un plug-in manquant. Vous est alors proposé un téléchargement tout ce qu’il a de plus louche et dangereux : RunAV_460.exe. Surtout, ne le téléchargez pas.
C’est à partir de là que ça devient intéressant.
A quoi sert et à qui profite RunAV_460.exe ?
Pour en avoir le cÅ“ur net, j’ai décidé d’installer une machine virtuelle sous Windows XP, et d’installer ce truc. Cette machine virtuelle, protégée par Avast, ne m’a absolument pas signalé de virus lorsque je téléchargeais, lançais ou installais le logiciel RunAV_460.
Sur le site porno de toute à l’heure, on nous dit que RunAV_406 est un contrôle Active-X permettant de voir la vidéo. Quand on l’installe, il se présente sous forme d’un anti-virus agréé par Microsoft.
Pendant l’installation, j’ai lancé un netstat dans une invite de commande MS-DOS. La commande netstat permet de connaitre toutes les connexions entrantes et sortantes de votre ordinateur.
Et BAM, un serveur louche établi une connexion avec mon ordinateur durant l’installation. Je parle de 91.213.157.104. Un petit whois sur cette IP :
Puis une petite recherche de PE Sattelecom sur MalwareURL.com et on tombe rapidement sur cette page : http://www.malwareurl.com/listing.php?domain=findercrs.org
Ah, un petit nouveau dans l’histoire ! Le site findercrs.org propose une identification dont je n’ai évidement pas les accès, mais laisse en libre circulation plusieurs virus aux adresses suivantes :
findercrs.org
/ms/install01 /ms/setup
Je les ai téléchargé sur ma machine virtuelle après avoir désactivé Avast. Il suffit de les renommer en setup.exe et install01.exe pour les exécuter.
… le rapport entre spam, phishing & ordinateurs zombies.
Et le hasard fait bien les choses : le soit disant anti-virus que j’ai téléchargé toute à l’heure (RunAV_460.exe) me les détecte automatiquement comme de méchants virus. RunAV_460 alias « Digital Protection » se lance pour la première fois, et se met en analyse automatique. Il me sort énormément de virus dont la dangerosité est mise en évidence. Pour les supprimer, je dois acheter la version complète de l’anti-virus. Le plus drôle, c’est la phase de paiement :
Plutôt que d’ouvrir une page Internet explorer, on me propose un « safebrowser » made in RunAV_460, en me certifiant que la transaction est SSL, cryptée & compagnie. Je ris, et je ferme tout ça.
Ah, une nouvelle fenêtre s’ouvre. Cette fois, on m’explique que tous mes mots de passe sont entrain d’être piraté !!!! Vite, il faut que j’achète la version complète de l’anti-virus !!!
Bref.
Entre temps, une nouvelle IP est apparue dans mon netstat: 194.129.79.22.
Un whois sur elle me renvoie sur une machine hébergée par le fournisseur d’accès américain UU Net…… spécialisé dans les hébergements d’attaque spam !
Cette fois c’est officiel : ma machine virtuelle est bien connectée à des serveurs de spam ! Youpi, les mails commentaires-spam-porno que vous recevez sur vos blogs proviennent peut-être de mon PC désormais :-D Ne me remerciez pas.
Une question m’a longtemps turlupiné : à quoi ont servi les deux sites de départ, à savoir kfojg.com & jjehtrw.com ?
Ce qu’il faut avoir en tête, c’est que les faux sites porno proposant de télécharger un virus tombent environ toutes les 5 heures. En effet, toutes les 5 heures, ces domaines sont bloqués et blacklistés par les navigateurs web (sauf IE), par Google et par vos antivirus.
Pour résoudre le problème, les spammer ont trouvé une solution assez géniale il faut l’avouer : ils spamment des sites comme kfojg.com et jjehtrw.com dont les URL, complètement aléatoires, ne peuvent pas être filtrées.
Ces deux sites ne contiennent que des liens internes. On a donc l’impression qu’aucun des deux ne link des sites pirates ou ce genre de chose. Que neni ! Cliquez sur un soit disant lien interne de jjehtrw.com et vous serez très vite redirigé (grâce à un .htaccess) vers un site porno dangereux.
La technique est donc la suivante :
- Spammer des sites « vitrines » ne contenant à priori aucun backlink vers des sites dangereux.
- Faire pointer les liens internes des sites vitrines vers des sites dangereux.
Lorsqu’un site dangereux est blacklisté, il suffit d’en créer un nouveau et de modifier les redirections sur les sites vitrines ! C’est ce qui se passe tout la journée, j’ai fait le test.
Toutes les 5 heures environ, les redirections m’envoyaient vers un nouveau site me proposant à chaque fois le même virus. Grâce à cette ingénierie, les spams envoyés il y a 2 semaines contenant des liens vers jjehtrw.com sont toujours valables ! :-)
Tout ça peut se résumer en quelques points clef :
- Les spammeurs sont très riches, très organisés, et très malins. Dans un article sur la pédopornographie, j’expliquais la relation entre cyber-mafia et spam.
- Le spam permet de lancer d’immense vague de phishing.
- Le spam permet de prendre le contrôle de millions d’ordinateurs par l’intermediaire de chevaux de Troie comme RunADV_460.
Écrire cet article m’a permis d’apprendre beaucoup sur le spam, j’éspère que c’est le cas pour vous aussi. J’attends vos réactions avec impatience :
- Que pensez-vous de tout ça ? Aviez-vous déjà essayé de tracer du spam ?
- Avez-vous reçu des spam qui mériteraient que l’on s’y intéresse ?
- Avez-vous des questions sur le spam ?
Si vous avez autre chose à dire, n’hésitez pas ! Je serai ravi de recevoir vos commentaires.
Mon prochain billet entamera la série sur la création d’un bot-spam en C. Vous vous rendez compte qu’il est hors de notre portée de créer un tel réseau de spam, mais créer un simple bot-spam-flood est une chose enfantine;
A très vite, et n’oubliez pas de suivre @giyomu, @erdnaxeli, @hsztheater et @DJKweezes sur Twitter ! Tous les 4 m’ont beaucoup aidé à y voir plus clair dans tout ça. Merci à eux !
Vraiment sympa ton billet, on sent la valeur ajoutée des recherches personnelles ! J’attends le prochain avec impatience :)
Wah ! Article très intéressant, je ne pensais pas que c’était aussi développé !
Tu crois que tu pourrais essayer de voir comment fonctionne le spam sur Twitter ?
Waou c’est de l’article non je n’est jamais tracer un spam peur de me faire infecter :) mais je pensé pas que c’est site bidons etait si important !
Super article. Je ne pensais pas que les spam était changé juste en changeant une URL.
Le principe est super malin. En tout cas, j’attends le reste. :))
Merci pour vos commentaires, vous êtes cool !
@Khamsou : bonne idée en effet, mais c’est compliqué. Un spam sur un blog, on peut avoir l’IP du posteur, ça m’a beaucoup aidé dans mes recherches. Malgré tout, je vais voir ce que je peux faire ! Quoi que, les britney ont pratiquement disparues du réseau ces temps-ci… !
@Hydrogen : Autant le dire tout de suite, ma machine virtuelle sous XP est morte et enterrée ! RunAVP et les deux virus de finderdow ont eu raison de la pauvre bête :( Violent !
Tu a créé ta machine virtuelle comment ? Si non je sais pas pour toi, mais moi sur mon blog j’ai des spams sur un seul article ! Qui est un groupe de musique :O !
Excellent article ! Vraiment très intéressant.
Leur technique est très ingénieuse, il faut énormément de temps pour la réaliser, déjà il faut mettre tous les liens, créer les redirections, créer un faux antivirus (qui soit un trojan), créer un autre navigateur ( au cas où quelqu’un va jusque là ) enfin bref c’est du boulot et il faut être malin pour y penser.
Dire qu’à partir d’un commentaire tout l’ordi peut-être foutu..
Merci pour l’article, ça m’a permis d’apprendre beaucoup de chose :)
Merci Hayk, ton commentaire me fait plaisir!
En ce qui concerne le temps que mettent les pirates à créer tout ça, je pense qu’il est largement compensé par la puissance des attaques qu’ils peuvent mener grâce au réseau d’ordi qu’ils construisent & de l’argent qu’ils arrivent à récupérer avec leur phishing !
@Hydrogen : J’ai crée une machine virtuelle avec VirtualBox et une image de Windows XP au format iso.
Pour le coup de l’article qui reçoit tous les spam à lui tout seul, je pense m’y pencher prochainement ! J’ai aussi remarqué une sorte d’effet aimant sur certains de mes articles qui contenaient plus de mots anglais que les autres.
Je ne peux pas t’expliquer encore exactement le pourquoi du comment, mais je pense que les robots US sniffent les articles pour repérer ceux qui sonnent anglophone afin d’éviter de perdre des ressources et du temps à spammer des articles francophones. J’aimerai confirmer cette idée!
Â
Â
@Stéphane concernant les articles « aimant » c’est en effet le % de mots en anglais, on pourrait faire un recoupement en demandant à plusieurs blogueurs de voir quel article reçoit le plus de spam sur une période donnée histoire de vraiment le prouver mais c’est ce qui était ressorti d’un javascript utilisé par un spambot.
Merci pour cet article très intéressant. Ma vision du spam se limite généralement à l’insertion de lien en commentaire et ne va pas aussi loin.
La technique de l’anti-virus est drôlement bien ficelée, cela me fait même sourire (surtout car je sais que cela doit fonctionner avec une majorité d’internautes).
Très sympa comme billet. On y apprend pas mal de choses. Et je suis ravi d’y avoir un tant soit peu participé.
Très intéressant ! Je n’ai jamais essayé de tracer un spammeur comme ça, c’est vraiment passionnant !
Mais une fois qu’ils ont infecté une machine, ils en font quoi ? Parce que spammer pour infecter des machines qui serviront à spammer, ça sert un peu à rien… À quelles fins sont utilisées les machines zombies ? L’échange de fichiers illicites (pédophilie…) uniquement ?
Désolé si les questions ont déjà été posées, j’ai lu les commentaires en diagonale (shame on me).
@hsz : Merci, je vais me pencher là dessus très vite !!
@Aurélien : ça fonctionne très très bien en effet ! Je balance personne mais… il y a quelques mois, ma soeur d’une 20aine d’année m’appelle paniquée : « STÉPHANE, J’AI PLEIN DE TROJAN SUR MON ORDI JE FAIS QUOI ? »
Je vais à son appart, et là elle me montre……. des popup sur un site de poker en ligne qui lui disait d’installer un anti-virus pour virer « 10 trojans »…. Elle avait téléchargé le truc (un exe dégueulasse), mais m’attendais juste pour l’installer !
@erdnaxeli : merci encore !
@Vince : personne n’a posé ta question ! Alors je vais y répondre :p
Grâce au spam, les hackers peuvent prendre le contrôle de millions d’ordinateurs dans le monde; ces millions d’ordinateurs sont appelés des « réseaux zombies ». Grâce à ces réseaux, le hacker peut tuer à peu près n’importe quel serveur. C’est ce qui arrive quand Facebook, Twitter ou Google sont attaqués par exemple. Des attaques par DoS : Deny of service. (on submerge un serveur de requêtes grâce à ses millions de zombies)
Les hackers installent aussi des keyloggers sur les machines des victimes, pour ramasser un max de login et de codes confidentiels. Grâce à cela, ils s’enrichissent (phi$hing), et accumulent énormément de données personnelles qu’ils peuvent ensuite revendre à des grosses sociétés.
Ces mêmes pirates utilisent les ordi zombies pour envoyer des spams, ça tu l’as dis. Comme tu l’as vu, le spam ne sert pas uniquement à prendre le contrôle des PC, il sert aussi à récupérer des numéro de cartes bancaires ! Le plus tu envoies de spam, le plus tu récupères de cartes bancaires. Décentraliser l’envoi est la solution la plus efficace, la plus discrète, et la moins gourmande en ressource.
Ces 3-4 raisons ne sont sûrement pas les seules, je me pencherai peut-être sur un « pourquoi » plus profond! Il y a sûrement des utilisations du spam que l’ont ne peut même pas imaginer, qui doivent être monstrueuses.
Rapidement :
Superbe article, documenté, suivi, unique et du coup exceptionnel. Du lourd quoi. Le spam a forcement un objectif. D’ailleurs, à ce propos et puisque tu le demandes et pour amener un complément, voici un suivi de spam SEO que j’avais réalisé (toujours en cours d’ailleurs) :
1 :Â http://www.keeg.fr/2010/04/22/comment-ne-pas-spammer-un-blog-dofollow/
2 :Â http://www.keeg.fr/2010/04/27/black-hat-fail-mais-black-seo-fail/
3 :Â http://www.keeg.fr/2010/05/03/referencement-le-spam-massif-en-commentaire-des-blogs-ca-marche/
Très très bon article!
Très intéressant, bien amené et très compréhensible même pour les novices (du moins je pense!)
N’empêche que s’il n’y avait pas de gros pervers pour cliquer sur les liens, ce genre de site disparaitrait :D
Merci Blaise !
@Keeg : très interessant ! La partie SEO m’intéresse moins dans mes recherches, mais c’est important d’avoir les deux côtés du décors.
Et merci pour les compliments, ils me font très plaisir !
Â
Très bon article! On en apprend des choses!
J’ai eu l’occasion de « tracer » un email qui venait d’un de mes contacts, un email de pub pour une boutique en ligne en anglais, il s’est avéré que ça provenait de Chine. Comme quoi, il faut toujours se méfier. Et sans parler des mails de chez UPS, Facebook et co qui balance le même genre de saloperie (Faux anti-virus) via les pièces jointes! C’est très vicieux aussi pour ceux qui n’y connaissent rien.
Méfie toi du « ça vient de Chine » !
L’expéditeur est spam est américain, un virus est signé par la Russie, l’autre par les UK, un des sites est hébergés en Ukraine, et l’autre à Trinité et Tobago.
La décentralisation poussée au plus profond de ses retranchements, pour ne laisser aucune piste.
Merci pour ton commentaire !!
Je m’incline devant cet article extrêmement passionnant. Merci pour ces explications claires et surtout simples,  le spam est plus intéressant que ce que je pensais.
J’ai pas vraiment de question ni d’indices sur le spam, mais si ça t’intéresse le scam 419 peut être un thème à étudier aussi (surtout les scambaiters). Enfin… ‘faut pas faire le mariolle avec les scammers, ça a l’air plutôt dangereux (cf. la page Wikipédia sur le scam 419).
Vraiment très intéressant. Ton article est clair et précis, même pour quelqu’un comme moi qui ne s’y connais pas trop dans ce genre de choses…
Pour ma part, j’ai toujours pensé que le spam existait uniquement dans un but purement publicitaire, mais en fait c’est beaucoup plus compliqué que sa comme tu le montres, c’est une vrai industrie !
Enfin bref merci pour cette leçon, j’attend avec impatience ton bot pour en apprendre encore plus !
Â
@6pri1 j’adorerai faire des recherches sur ce type de spam! Je vais essayer, mais là j’ai déjà 1001 idées à publier…. :p
@Arnaud Merci ! Moi aussi, je pensais que le spam était avant tout publicitaire avant tout ça.
A bientôt !
Je trouve simplement dingue le fait que des gens fassent des trucs aussi compliqués (enfin pour moi) pour spammer et envoyer des chevaux de Troie. C’est à la fois horrible et génial comme système.
Juste par curiosité j’ai lancé un netstat sur mon PC pour voir… Et là , surprise, un serveur basé au Danemark se connecte à ma machine! J’ai visité le site, ça ressemble à un truc de business bizarre…
Mais comment m’en protéger? Fermer le port? Demander une sorte de bannissement au FAI?
C’est étrange car le port auquel il se connecte n’est pas ouvert à ma connaissance (1146), peut-être est-il ouvert par défaut pour une autre utilisation?
Â
Ah et sinon, très bon article et très intéressant ;-)
Hello, merci pour ton commentaire !
Tu peux me passer l’IP du serveur ? J’essaierai de voir ce que c’est et te détaillerai les méthodes pour en savoir plus sur un correspondant louche.
Sinon pour ton histoire de port, je te renvoie brièvement à mon article sur les sockets !
Un port doit être ouvert sur une machine type SERVEUR qui recevra des connexions de machine(s) CLIENTE(s). (par exemple un serveur WEB ouvre son port 80 pour permettre aux CLIENTS de se connecter et de récupérer des pages web)
Le port dont tu parles n’est probablement qu’un port VIRTUEL. Par exemple, pour que Firefox envoie une requête au serveur web de mangetamain quand tu viens ici, Firefox ouvre un port virtuel sur ton ordi pour envoyer sa requête. La requête transite sur internet et arrive au serveur web de mangetamain par le port 80 du serveur, qui lui est un port MATÉRIEL.
Tout cela n’est pas simple, mais bref : tout cela pour te dire que le port 1146 dont tu parles n’est probablement qu’un port virtuel. Ou alors, ta connexion internet n’est absolument pas sécurisée et il s’agit bien là d’un port matériel. Il te suffit de vérifier ça avec un scanner de port.
Â
Hum c’est embarrassant, un nouveau netstat lancé un peu plus tard ne m’indique plus la connexion de ce serveur… Et je ne me souviens plus de l’adresse IP, et j’ai effacé mon historique -.-’
Enfin bon j’ai retrouvé le site c’est http://www.euroinvestor.dk/.
Â
Pour mes ports je ne pense pas que ma connexion soit une passoire, j’ai configuré ma Freebox pour ouvrir quelques ports notamment pour que mon PC communique avec le boitier TV (je vais pas étaler ma vie hein…).
En tout cas merci de nous faire profiter de ton aide et de ton savoir ;)
Humm, à mon avis ce site n’est pas une connexion louche, je ne trouve rien d’évident…
Il s’agit peut-être de ton anti-virus ou d’un programme tiers. (par exemple, Opéra utilise un proxy suédois. Ça peut faire flipper au début, mais c’est normal !)
Si je trouve quelque chose d’intéressant je reposte ici, mais pour l’instant ça n’a pas l’air simple!
A bientôt peut-être :D
Très bonne article bravo :)
Une belle enquête (y)
Waw passionnant ton billet :ouch:
J’adore, bien joué !
Article vraiment intéressant, et effectivement je serais d’accord pour dire que les spammeurs sont très organisés et très malins, mais sont-ils vraiment très riches ?
Peut-être certains le sont-ils, mais je pense a l’article « phishing as a tragedy of the commons »( http://research.microsoft.com/apps/pubs/?id=74159 ) de microsoft research (désole si ces mots anglais augmentent la quantité de spam sur cet article), selon lequel le phisher de base aurait un revenu faible car la tragedie des biens communs (voir wikipedia) s’applique au phishing (il faut absolument le lire pour bien comprendre).
Ma théorie serait que le spam subirait le même phénomène, et que les spammeurs expérimentés vivraient en grande partie en arnaquant les nouveaux spammeurs en quête d’argent facile en leur vendant par exemple des « kits de spamming » qui pourraient inclure des logiciels comme celui que tu nous a présenté et autres, ainsi qu’en les utilisant comme du travail pas cher.
Que pense-tu de cette possibilité ?
Hello AdrienE !
Ta théorie est intéressante mais je pense qu’elle s’éloigne de la vérité.
Le spam fait couler des millions de dollars chaque jour, c’est sûr. Mais les spammeurs ne sont pas tout en haut de l’échelle. Je m’explique :
Pour spammer, tu as besoin d’un logiciel de spamming que tu vas payer disons 500$. Une fois le logiciel acheté, tu auras besoin de liste de mails ou de blogs, que tu achèteras à une autre société.
Dès les premiers spams tu seras vite bloqué par des captcha : il te faudra payer une société de captcha-breaking. Et pour plus de confort, des services de proxy.
Dans le cas du phishing, tu dois payer des serveurs, des noms de domaine et j’en passe.
Au final, le spammeur se fera un max de blé si et seulement si le retour sur investissement de son entreprise correspond à ce qu’il voulait. Si le taux de conversion spam<=>client est minable, il aura raté son coup.
Donc il n’y a pas vraiment de hiérarchie entre les spammeurs : les « kit » dont tu parles sont plutôt une multitude de service casi-obligatoires, proposés par des sociétés peu scrupuleuses (qui ont pignon sur rue quand même)
Quand à la tragédie des biens communs : je ne connaissais pas ça, c’est vraiment très interessant! Je vais me plonger dans cet article de MS !
Merci pour ton commentaire constructif :o)