Ze blog 1426.info

Surf sous contrôle
Jacques à 49 ans. Il aime Internet et surf quelques heures par semaine. Il ne le cache pas, il aime visiter de temps en temps des sites pour adultes, des sites roses qui l'amusent. Il passe aussi, quelques fois, sur des sites warez. "Je trouve toujours rigolo de voir ce genre de site. Ils parlent de tout et de n'importe quoi." Un peu mateur Jacques, "oui, je ne le cache pas, mais c'est vraiment à dose homéopathique."

Seulement, un beau jour de fevrier Jacques a reçu sa facture mensuelle téléphonique. Une surprise, de taille, l'attendait. "Je paie d'habitude, entre 150 et 200 euros par mois. Cette fois, ma facture a explosé avec un montant de 800 euros".

Que s'est-il donc passé ? Jacques a-t-il laissé branché son Minitel ? Un de ses enfants a-t-il abusé d'émissions de real Tv qui demandent de voter par téléphone ? Malheureusement non. Plus simple encore, Jacques a été victime d'un dialer.

Comment cela marche ?
Lors d'une des ses visites sur un site adulte ou warez, Jacques n'a pas prêté attention à cette fenêtre qui s'est ouverte son surf. La page était simple, clair. "Cliquez ici pour fermer cette fenêtre" indiquait la pop-up. Jacques n'a pas cherché à savoir, des pubs, il en voit des dizaines. Il a donc obéit et cliqué sur le bouton "fermer".

Cette action a lancé la procédure. La fenêtre fermée, un petit logiciel s'est installé sur le pc. Un petit programme qui en paye pas de mine. Jacques n'y prêtera pas attention tout de suite.

Le lendemain, en relançant sa machine, Jacques aperçoit un icône qui ressemble fort à celui qu'il utilise chaque jour pour se connecter à Internet. Il clique et... le voilà connecté au web.

Il va découvrir, un mois plus tard, que ce logiciel le connectait bien sur le réseau des réseaux mais via une connexion audiotel surtaxée.

Dialer, raleur !
Si le logiciel a été lancé cette fois par Jacques, d'autres techniques "pirates" permettent de connecter et déconnecter dans la foulée l'internaute imprudent. Il ne se rendra pas compte du changement de connexion, sauf, peut-être, une erreur d'affichage lors de la transition.

D'autres sites pornos, warez, vois certains casinos, utilisent des failles Internet Explorer pour installer le programme "dialer" sans même que l'internaute ait besoin de cliquer sur quoique ce soit.

D'autres dialer peuvent être aussi téléchargés par des utilisateurs qui croient ainsi obtenir des jeux, des vidéos, des consultations astrologiques, ...

Cas dramatiques
Henry et Mary McNeill vivent à Glasgow. Ils ont découvert sur leur facture téléphonique des prélèvements plus que bizarre. Papy aurait-il eu un retour de sève ? Des dizaines de livres ont été dépensés sur des appels surtaxés à destination de communication pour adulte. Ils ont voulu se plaindre auprès de British Telecom.

Bilan "Les employés de BT se sont moqués de nous. Ca les amuse de savoir que des gens comme nous se fassent pirater. Il gagne sur tous les fronts car ce genre de piratage leur rapporte aussi beaucoup d'argent" dixit Mr McNeil. "Les employés nous ont fait remarquer que nous étions responsable de notre ligne et nous devions payer".

Autre exemple, plus d'un millier d'internautes italiens se sont retrouvés avec une facture téléphonique énorme. Le virus Marq.a, aka Zelig, est passé par là. Le problème est malheureusement tout simple. Les victimes, qui n'avaient ni antivirus, ni logiciels mis à jour et patchés se sont fait piéger par des sites web utilisant une faille permettant de télécharger un logiciel.

Une fois le dialer installé, les internautes ont cliqué dessus, pensant pour certains qu'ils avaient téléchargé un écran de veille. L'exécution du dialer les a déconnecté d'internet pour les reconnecter sur une ligne téléphonique surfacturée. Les sites "pirates" sont basés dans les Antilles Hollandaises. L'enquête de la police indique que l'argent ainsi prélevé, des milliers d'euro, ont été envoyés dans une banque à New York pour être crédité sur le compte d'un homme de 39 ans originaire du Venezuela.

Le pirate utilisait 30 comptes téléphoniques pour son escroquerie. Il était en cours de négociation pour augmenter le nombre de ligne à 120 au moment de son arrestation.

Qui ce cache derrière cette arnaque
Une fois sur l'ordinateur piraté, le logiciel met en place une connexion Internet, via un ligne téléphonique surtaxée. En France, cette méthode est censée être interdite par France Télécom. Les pirates utilisent donc des services téléphoniques internationaux. Les tarifs "surfant" entre 3 et 5 euros la minute. Sur les factures, les appels sont notifiés dans le Pacifique, aux Iles Cook, à Sao Tome (Afrique), au Togo ou encore à Madagascar. Les "pirates" ont trouvé ce moyen pour gagner beaucoup d'argent sans que l'internaute ne sorte son porte-monnaie... directement.

Les dialeuristes utilisent des outils tel que Dialer.CB. Ce numéroteur "dialer" se connecte à Internet et télécharge des fichiers qu'il sauvegarde ensuite dans un répertoire. Il crée également quatre fichiers (2_INFO_PERSIST, NAVPMC.DLL, NAVPMC.EXE et UNINSTALL.EXE) dans le sous-répertoire NAVPMC de Windows. En outre, Dialer.CB crée quatre entrées dans le registre Windows. L'outil, se connecte ensuite sur des sites pornos aux communications surtaxées.

Autre exemple, Dialer.AF. Il installe un fichier nommé "EROS.EXE" sur l'ordinateur affecté, ainsi que plusieurs clés dans le Registre Windows. Dialer.AF a les effets suivants : Une fois installé, il affiche une icône sur la barre des tâches de l'ordinateur affecté, près de l'horloge système. Lorsque l'utilisateur clique avec le bouton droit de la souris sur cette icône, une option de désinstallation (Uninstall...) apparaît. Si l'utilisateur choisit cette option, le programme semble se désinstaller. Un processus demeure toutefois en mémoire et ni l'entrée insérée dans le Registre Windows ni le fichier ne sont supprimés. Lorsque l'ordinateur redémarre, Dialer.AF est donc toujours résident sur l'ordinateur affecté et il laisse un port de communication ouvert. Il appelle via Internet un numéro à tarification majorée sans le consentement de l'utilisateur, avec le coût que ce type d'appel implique.

SysComm est un autre dialer qui effectue des appels sur les services téléphoniques payants 906-xxx-xxx dès que la date système atteint le 1er avril. La diffusion de SysComm est essentiellement basée sur des messages électroniques dotés des fichiers attachés suivants : FERIA.JPG.VBS qui se charge de propager la contamination. FERIA2.JPG contient pour sa part une simple image et ATXXXXX.ATT qui est vide.

Pornspa.D établit une connexion avec une ligne téléphonique payante. Il est facile de savoir si ce virus a infecté un ordinateur, comme il affiche une icône dans la poubelle du système Windows et crée un raccourci vers un fichier sur le bureau appelé DATEMAKERSPAIN.EXE.

On terminera avec un dialer vicieux couplé avec un virus. Timebomb.A installe une page web de 482 octets appelée index.htm dans le répertoire temporaire de Windows. La seule fonction de cette page est d'en télécharger une autre qui contient un minuteur. Lorsque ce minuteur arrive à zéro, une autre page est téléchargée conduisant à d'autres avec contenu réservé aux adultes et un dialer qui fera des connexions sur des lignes surtaxées.

Comment se défendre
Pour éviter ce genre de chose, n'hésitez pas à demander à France Télécom de bloquer la possibilité d'appeler des numéros payants via votre ligne. Pensez aussi à utiliser un firewall qui permettra de bloquer ce genre de logiciel inopportun, les bloqueurs de port et/ou navigateurs NIS permet ce genre de chose.
Vérifiez aussi toujours votre ordinateur, les icônes étranges et les nouveaux répertoires ouverts dans Windows/, Temp/, ... L'ADSL permet d'éviter ce genre de probléme.

Extrait de Zataz Magazine