Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Sunday 16 November 2003
0 comment(s) | Subnetwork France

Vol, spam : au fil de ses différentes versions, le virus Mimail apparaît comme le parfait petit laboratoire du cyber-escroc. Les derniers opus en date essayaient déjà de voler les mots de passe de leur victime ou encore de mettre à genoux des sites de lutte anti-spam. Aujourd'hui, la version H (ou I, selon les éditeurs d'antivirus) s'attaque aux utilisateurs du service de paiement Paypal et tente de dérober leur numéro de carte bancaire. Mimail.H arrive dans un email rédigé en anglais, provenant d'une (fausse) adresse du site Paypal.com et intitulé "YOUR PAYPAL.COM ACCOUNT EXPIRES".

Le texte du courrier indique que le compte associé à l'adresse email de la victime sera désactivé d'ici cinq jours si cette dernière ne met pas à jour ses informations bancaires, tout en s'excusant bien sûr pour ce "désagrément".

L'idée est loin d'être originale : les pirates utilisent depuis longtemps la peur d'une interruption de service pour contraindre les utilisateurs naïfs à communiquer leurs informations confidentielles. Mais ce n'est pas là que Mimail.H se révèle malin, c'est dans sa pièce jointe.

Pour mettre son compte à jour, la victime est incitée à cliquer sur un lien appelé "www.paypal.com". Toutefois, il ne s'agit pas d'un lien mais d'un programme exécutable nommé "www.paypal.com.scr". L'utilisation de la double extension, cachée par défaut sous Windows, permet de maquiller le cheval de Troie : son nom apparaît comme un simple lien Internet. Et l'extension .scr (habituellement utilisée pour les économiseurs d'écran de Windows, mais pouvant être n'importe quel exécutable) permet de tromper un peu plus les internautes qui apercevraient le véritable nom du fichier. Et pour ceux qui auraient un doute malgré tout, le lien est présenté par le courrier comme une "application sécurisée". On apprécie l'ironie.

Une fois exécuté, le programme affiche une interface plutôt bien faite, qui présente à la victime un formulaire de mise à jour de ses informations bancaires. Tout y passe (voir ci-dessous), y compris le code de vérification inscrit au dos de la carte.

Bien sûr, une fois validées, ces informations sont envoyées par email à l'une des quatre adresses de l'auteur du virus, qui peut alors les exploiter à sa guise. Mimail utilise pour cela sont propre serveur SMTP.

Pour ses propres besoins de propagation, Mimail capture aussi les adresses email trouvées sur le PC infecté et s'envoie sous la forme du même email que celui reçu initialement.

Enfin, pour les spécialistes, il est intéressant de noter que le processus du virus en mémoire se nomme "SVCHOST32.exe", de quoi être facilement confondu avec le SVCHOST.exe légitime de Windows. Là encore, Mimail tente de brouiller les pistes.