[Malware Analysis & Diagnostic – 16/03/2009]

Waledac « intoxique » l’agence de presse internationale Reuters en diffusant des rumeurs d’attaques terroristes. La technique de social engineering habituelle est combinée à des progrès techniques. Une page spécialement conçue est générée en fonction de la géolocalisation des visiteurs. Le fait que ces rumeurs soient plus personnalisées incitent le lecteur à la faute, télécharger le faux « Flash player ».

Le code ressemble à ceci :

<TITLE>Reuters-%COUNTRY%: Terror attack in %TOWN%</TITLE>Powerful explosion burst in %TOWN% this morning.

At least 12 people have been killed and more than 40 wounded in a
bomb blast near market in %TOWN%. Authorities suggested that
explosion was caused by « dirty » bomb. Police said the bomb was
detonated from close by using electric cables. « It was awful » said the
eyewitness about blast that he heard from his shop. « It made the
floor shake. So many people were running »
Until now there has been no claim of responsibility.

You need the latest Flash player to view video content. Click here to download.

Related Links:
http://en.wikipedia.org/wiki/Dirty_bomb
http://www.google.com/search?q=%TOWN%+terror+attack

L’ébauche de la page correspond à peu près à ceci.

On retrouve la balise iframe habituelle au format: http://%server%/tds/Sah7

Exemple de contenu de la page Sah7.

Comme à chaque fois, les serveurs sont en fast-flux.

trace
;; AUTHORITY SECTION:
yourbreakingnew.com.    172800  IN      NS      ns1.farboards.com.
yourbreakingnew.com.    172800  IN      NS      ns2.farboards.com.
yourbreakingnew.com.    172800  IN      NS      ns3.farboards.com.
yourbreakingnew.com.    172800  IN      NS      ns4.farboards.com.
yourbreakingnew.com.    172800  IN      NS      ns5.farboards.com.
yourbreakingnew.com.    172800  IN      NS      ns6.farboards.com.

;; ADDITIONAL SECTION:
ns1.farboards.com.      172800  IN      A       125.4.65.148
ns2.farboards.com.      172800  IN      A       137.21.239.212
ns3.farboards.com.      172800  IN      A       211.42.217.14
ns4.farboards.com.      172800  IN      A       128.8.142.33
ns5.farboards.com.      172800  IN      A       77.35.253.110
ns6.farboards.com.      172800  IN      A       67.162.105.222

;; Query time: 169 msec
;; SERVER: 192.5.6.30#53(192.5.6.30)

Et les binaires et noms de fichiers sont différents ( fréquences ).

Merci à Jeremy pour ses travaux et son Waledac tracker ainsi qu’au concepteur du FastFlux Tracker.