{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tous les syst\u00e8mes d'exploitations Windows peuvent \u00eatre  victimes de ce logiciel malveillant.</P>","closed_at":"2015-11-26","content":"## Solution\n\nAfin de se prot\u00e9ger contre ce type de menace, les pr\u00e9conisations\nhabituelles sont rappel\u00e9es :\n\n-   ne pas ouvrir les documents en pi\u00e8ces jointes d'un message\n    \u00e9lectronique non sollicit\u00e9s ;\n-   d\u00e9sactiver l'ex\u00e9cution automatique des macros dans les suites\n    bureautiques ;\n-   maintenir le syst\u00e8me d'exploitation et l'antivirus du poste de\n    travail \u00e0 jour.\n\nLa d\u00e9sactivation de l'ex\u00e9cution automatique des macros Office se\nparam\u00e8tre dans le menu suivant :\n\nFichier / Options / Centre de gestion de la confidentialit\u00e9 / Param\u00e8tre\ndu Centre de gestion de la confidentialit\u00e9 / Param\u00e8tres des macros /\nD\u00e9sactiver toutes les macros avec notifications\n","cves":[],"links":[],"reference":"CERTFR-2015-ALE-012","revisions":[{"description":"version initiale ;","revision_date":"2015-10-23T00:00:00.000000"},{"description":"ajout de marqueurs suppl\u00e9mentaires ;","revision_date":"2015-10-27T00:00:00.000000"},{"description":"ajout de marqueurs suppl\u00e9mentaires ;","revision_date":"2015-11-04T00:00:00.000000"},{"description":"ajout de marqueurs suppl\u00e9mentaires ;","revision_date":"2015-11-18T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte.","revision_date":"2015-11-26T00:00:00.000000"}],"risks":[{"description":"Installation d'un logiciel malveillant de type dridex"}],"summary":"Depuis la mi-octobre 2015, le CERT-FR constate \u00e0 l'\u00e9chelle nationale une\nvague de pourriels dont le taux de blocage par les passerelles\nanti-pourriel est relativement faible. Cette vague est similaire \u00e0 ce\nqui a d\u00e9j\u00e0 pu \u00eatre observ\u00e9 au mois de juin de cette m\u00eame ann\u00e9e et d\u00e9crit\ndans le bulletin d'actualit\u00e9 CERTFR-2015-ACT-024 (\n\n    http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-024/index.html\n\n).\n\nCes pourriels embarquent des documents Microsoft Office contenant des\nmacros VBA malveillantes. Elles ont pour but d'infecter la victime avec\nun logiciel malveillant connu initialement sous le nom de Dridex.\n\nCes pourriels sont tr\u00e8s souvent r\u00e9dig\u00e9s dans un fran\u00e7ais sans faute. Le\nsujet et le contenu du pourriel mentionnent des probl\u00e8mes de\nfacturation, dans la plupart des cas, pour inciter la victime \u00e0 ouvrir\nla pi\u00e8ce jointe. Dans certains cas il est aussi fait r\u00e9f\u00e9rence \u00e0 un\ndocument scann\u00e9.\n\nNous avons \u00e9galement pu constater la pr\u00e9sence de pourriels r\u00e9dig\u00e9s en\nlangue anglaise embarquant des documents Microsoft Excel.\n\nD'apr\u00e8s les \u00e9chantillons que le CERT-FR a observ\u00e9s, le t\u00e9l\u00e9chargement de\nDridex s'effectue par l'interm\u00e9diaire d'une macro VBA ayant pour\nobjectif le t\u00e9l\u00e9chargement du binaire \u00e0 partir d'un serveur malveillant.\nIl est int\u00e9ressant de noter que sur la plupart des \u00e9chantillons\naujourd'hui analys\u00e9s, le t\u00e9l\u00e9chargement du binaire s'effectue sur un\nport HTTP non standard. Cette caract\u00e9ristique r\u00e9seau permet de d\u00e9tecter\npour cette variante les postes ayant ex\u00e9cut\u00e9 la macro cit\u00e9e\npr\u00e9c\u00e9demment.\n\n\u00c0 l'aide les \u00e9chantillons remont\u00e9s, le CERT-FR a constat\u00e9 que les URLs\nde t\u00e9l\u00e9chargement du binaire Dridex sont les suivantes (toutes les URLs\nsuivantes ont \u00e9t\u00e9 d\u00e9militaris\u00e9es par l'adjonction du suffixe .\\_BAD\\_\naux noms de domaines et adresses IP) :\n\n-   http://5.2.199.30_BAD\\_:8080/uniq/load.php\n-   http://84.200.52.52_BAD\\_:8080/uniq/load.php\n-   http://93.170.104.168_BAD\\_:8080/uniq/load.php\n-   http://113.30.152.165_BAD\\_:8080/uniq/load.php\n-   http://113.30.152.167_BAD\\_:8080/uniq/load.php\n-   http://168.243.33.195_BAD\\_:8080/uniq/load.php\n-   http://178.62.7.183_BAD\\_:8080/uniq/load.php\n-   http://195.37.231.2_BAD\\_:8080/uniq/load.php\n-   http://199.175.55.116_BAD\\_:8080/uniq/load.php\n-   http://webmatique.info_BAD\\_/35436/5324676645.exe\n-   http://www.tokushu.co.uk_BAD\\_/56475865/ih76dfr.exe\n-   http://113.30.152.170_BAD\\_:8180/uniq/load.php\n-   http://186.47.80.90_BAD\\_:8080/images/getimg.php\n-   http://117.239.73.244_BAD\\_:8880/images/getimg.php\n-   http://178.33.167.120_BAD\\_:8880/images/getimg.php\n-   http://landprosystems.com_BAD\\_/34g3f3g/68k7jh65g.exe\n-   http://103.252.100.44_BAD\\_:8880/Citrix/applet.php\n-   http://68.169.59.208_BAD\\_:8880/Citrix/applet.php\n-   http://117.239.73.244_BAD\\_:8880/Citrix/applet.php\n-   http://86.34.133.90_BAD\\_:8180/Citrix/applet.php\n-   http://78.129.133.249_BAD\\_:8880/Citrix/applet.php\n-   http://103.252.100.44_BAD\\_:8880/benzin/ai76.php\n-   http://178.32.136.167_BAD\\_:8880/benzin/ai76.php\n-   http://68.169.59.208_BAD\\_:8880/benzin/ai76.php\n-   http://skredman.webz.cz_BAD\\_/334g5j76/897i7uxqe.exe\n-   http://novyzeland2013.webzdarma.cz_BAD\\_/334g5j76/897i7uxqe.exe\n-   http://187.5.6.136_BAD\\_:8008/sezamstreet/ziliboba.php\n-   http://203.172.180.195_BAD\\_:8008/sezamstreet/ziliboba.php\n-   http://1.179.170.7_BAD\\_:8008/sezamstreet/ziliboba.php\n-   http://mgming.rs_BAD\\_/87yte55/6t45eyv.exe\n-   http://www.davidcaballero.com_BAD\\_/87yte55/6t45eyv.exe\n-   http://bbofilinc.com_BAD\\_/\u00a0builder2012/87yte55/6t45eyv.exe\n-   http://www.clemenciaortiz.com_BAD\\_/87yte55/6t45eyv.exe\n-   http://sanoko.jp_BAD\\_/5t546523/lhf3f334f.exe\n-   http://aniretak.wz.cz_BAD\\_/5t546523/lhf3f334f.exe\n-   http://piotrektest.cba.pl_BAD\\_/45yfqfwg/6ugesgsg.exe\n-   http://wmdrewniana8.cba.pl_BAD\\_/45yfqfwg/6ugesgsg.exe\n-   http://williamcannady.com_BAD\\_/345u754/433fd.exe\n-   http://hardware-software.xf.cz_BAD\\_/345u754/433fd.exe\n\nEnfin, les \u00e9chantillons Dridex ainsi r\u00e9cup\u00e9r\u00e9s tentent de communiquer\navec les serveurs suivants :\n\n-   5.63.88.100:4403\n-   5.187.4.183:473\n-   31.29.106.75:443\n-   37.128.132.96:443\n-   41.38.18.230:443\n-   45.55.136.31:473\n-   46.31.43.57:443\n-   67.211.95.228:5445\n-   68.169.54.179:6446\n-   74.208.12.150:444\n-   75.99.13.123:8443\n-   78.243.156.115:444\n-   89.32.145.12:4483\n-   89.189.174.19:444\n-   93.185.75.21:443\n-   103.251.90.43:5445\n-   106.187.38.36:473\n-   107.170.237.112:473\n-   118.174.31.57:444\n-   119.47.112.227:473\n-   124.219.79.244:443\n-   128.199.122.196:6446\n-   130.185.189.81:443\n-   157.252.245.49:473\n-   158.85.92.20:443\n-   162.13.137.236:444\n-   168.187.96.115:443\n-   183.81.166.5:443\n-   185.48.144.4:443\n-   188.21.18.226:443\n-   192.130.75.146:444\n-   193.251.76.63:443\n-   195.154.251.123:473\n-   195.251.250.37:448\n-   198.50.205.130:443\n-   198.74.58.153:5445\n-   200.29.90.162:443\n-   202.129.57.130:443\n-   202.157.171.198:444\n-   217.160.110.232:444\n-   221.132.35.56:8843\n","title":"Campagne de messages \u00e9lectroniques non sollicit\u00e9s de type Dridex","vendor_advisories":[]}