une Attaque Virale de grande envergure a paralysé le Réseau d'Inter-Connect le Vendredi 27 Janvier : le CONAFED et la CENCO ciblés

Une attaque virale de grande envergure a paralysé les Internautes dans la journée du Vendredi 27 janvier 2006. L’Assaut a été donné sur le serveur local du Conseil National des ONGD de la RDC (CNONGD). un faux e-mail de l’Asadho Katanga (asadhokat@lubum-ic.cd) signalait la publication d’un rapport sur la situation des droits de l’Homme dans la Province Cuprifère. L’e-mail de nature anodine transportait avec lui un Virus dénommé W32.Bagz.F@mm, qui est apparu sur Internet le 2 novembre 2004.

Après avoir compromis le Fichiers applicatifs du Serveur hôte et systématiquement désactivé le Pare-feu Zone Alarm et Norton Anti-Virus 2005. Le Virus a recupéré aléatoirement des e-mails du Carnet d’adresse principale du compte de messagerie pour expédier le même faux message de l’Asadho Katanga aux partenaires aux partenaires du Cnongd.
Quelques minutes plus tard un deuxième message, cette fois ci émanant de la Direction Technique d’Inter-Connect(dirtech@ic.cd) arrivait annonçant l’apparition d’un virus sur Internet et demandant de télécharger un Fix ou correctif de sécurité en pièce jointe. Même ce message était faux et la pièce jointe contenait également une portion de code du virus précité dissimulé sous un format Word.
L’Attaque a duré près de deux heures alors que personne n’occupait le serveur local, W32.Bagz.F@mm s’est dupliqué et à inonder d’autres boites électroniques d’organismes abonnés à Inter-Connect. Ce n’est que deux heures plus tard alors qu’il s’expédiait via la boite du CNONGD mais sous une fausse identité que l’attaque a pu être arrêté par le redémarrage à chaud de la machine et la réactivation de Zone Alarm et de Norton qui a pu procédé à une mise en quarantaine du Ver.

Le retraçage de la source du message ainsi que l’analyse du traffic smtp montrent que l’attaque a été lancé dès Kinshasa et relayé par un Relais SMTP d’Inter-Connect situé en Angleterre identifié sous l’Adresse IP 83.229.69.50
la procédure d’envois de mail en masse consistait probablement en deux objectifs :
- Planter les machines des victimes dont les systèmes d’exploitations sont vulnérables et non à jour
- les Infecter par le Téléchargement du Ver sur les serveurs hôtes
- provoquer l’engorgement du Réseau
Norton ayant été réinitialisé, les différentes adresses e-mails ayant été ciblés par cette attaque sont entre autre :

Le Comité National Femme et Développement ( conafed@ic.cd)
La Conférence Episcopale Nationale du Congo (conf.episc.rdc@ic.cd)
Le Cabinet de l’un des Vice President de la RDC (vice_presidence@ic.cd)
Le SERACOB ( seracob@ic.cd)
La Présidence ( pp@presidentrdc.cd)

Parmi ces quelques cibles, celle de la présidence est un Webmail, dont le serveur Hôte a certainement pu bannir de manière plus aisé les attaques et les IP des assaillants. Le CONAFED et la CENCO cependant semble être celle ayant le plus souffert de ces assauts, Norton ayant saboté l’envoi de près de 300 mails en partance pour la CONAFED et près d’une centaine pour la CENCO.
Les institutions cités devraient procéder à l’Analyse de leur serveur par des personnes qualifiés pour le faire. Le ver une fois executé crée une copie de lui même dans le dossier système du genre :
%System%SQLSSL.DOC.EXE et ajoute une clé dans la base de registre Windows du type :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesXuy v palto

Contrairement aux autres Infections déjà constaté de par le monde où le virus se composé d’un texte écrit en Anglais, cette version utilisait non seulement une version francaise mais également il était contextualisé à la RDC. Il s’agirait donc là à première vue d’une nouvelle variante de ce vers jusque là jamais rencontré ailleurs.

La meilleure solution pour les victimes de ce spamming virale serait une analyse de la part de professionnels. Mais les victimes potentielles pourraient d’ores et déjà se faire une idée sur leur probable infection en recherchant sur le Disque dur local de leur machine les fichiers suivants :
804mbd1.chk,804mbd1.img,aboutplg.dll,alert.zap,appinit.ini,
apwcmdnt.dll,apwutil.dll,ashavast.exe,ashbug.exe,ashchest.exe,ashdisp.exe,ashldres.dll,ashlogv.exe,ashmaisv.exe,ashpopwz.exe,ashquick.exe,ashserv.exe,ashsimpl.exe,ashskpcc.exe,,ashskpck.exe,aswboot.exe,aswregsvr.exe,aswupdsv.exe,avcompbr.dll,avres.dll,bootwarn.exe,camupd.dll,ccavmail.dll,ccimscan.dll
ccimscn.exe,cerbprovider.pvx,cfgwiz.exe,cfgwzres.dll,defalert.dll
djsalert.dll,dunzip32.dll,edisk.dll,email.zap,emscnres.dll,filter.zap
firewall.zap,framewrk.dll,ftscnres.dll,idlock.zap,imscnbin.inf
imscnres.inf,ltchkres.dll,mcappins.exe,mcavtsub.dll,mcinfo.exe
mcmnhdlr.exe,mcscan32.dll,mcshield.dll,mcshield.exe,mcurial.dll
mcvsctl.dll,mcvsescn.exe,mcvsftsn.exe,mcvsmap.exe,mcvsrte.exe
mcvsscrp.dll,mcvsshl.dll,mcvsshld.exe,mcvsskt.dll,mcvsworm.dll
mghtml.exe,mpfagent.exe,mpfconsole.exe,mpfservice.exe,mpftray.exe
mpfui.dll,mpfupdchk.dll,mpfwizard.exe,mvtx.exe,n32call.dll,n32exclu.dll,naiann.dll,naievent.dll,navap32.dll,navapscr.dll,navapsvc.exe
navapw32.dll,navapw32.exe,navcfgwz.dll,navcomui.dll,naverror.dll
navevent.dll,navlcom.dll,navlnch.dll,navlogv.dll,navlucbk.dll,navntutl.dll,navoptrf.dll,navopts.dll,navprod.dll,navshext.dll,navstats.dll
navstub.exe
navtasks.dll,navtskwz.dll,navui.dll,navui.nsi,navuihtm.dll,navw32.exe
navwnt.exe,netbrext.dll,ntclient.dll,oeheur.dll,officeav.dll,opscan.exe
outscan.dll,outscres.dll,patch25d.dll,patchw32.dll,persfw.exe
pfwadmin.exe,probegse.dll,programs.zap,ptchinst.dll,qconres.dll
qconsole.exe,qspak32.dll,quar32.dll,quarantine,quaropts.dat,s32integ.dll, s32navo.dll,savrt.sys,avrt32.dll,savrtpel.sys,savscan.exe
scan.dat,scandlvr.dll,scandres.dll,scanmgr.dll,scanserv.dll
sched.exe,scriptui.dll,scrpres.dll,scrpsbin.inf,scrstres.inf
sdpck32i.dll,sdsnd32i.dll,sdsok32i.dll,sdstp32i.dll,security.zap
shextbin.inf,shextres.inf,shlres.dll,ssleay32.dll,statushp.dll
symnavo.dll,tutorwiz.dll,vsagntui.dll,vsavpro.dll,vsdb.dll
vsmon.exe,vsoui.dll,vsoupd.dll,vsowow.dll,vsruledb.dll
vsvault.dll,wormres.dll,zatutor.exe,zauninst.exe,zav.zap
zl_priv.htm,zlclient.exe,zlparser.dll,zonealarm.exe,
Si l’un de ces fichiers se trouvent sur votre machine, alors vous êtes infecté et vous devez immédiatement cessé tout type d’activité de nature sensible sur votre ordinateur
( consulter des mails, naviguer sur Internet,etc..) ce qui pourrait s’avérer une fois de plus préjudiciable.
C’est le premier véritable spamming virale de grande envergure enregistré à Kinshasa. Il serait plis que temps que le Ministère des PTT prennent des mesures salutaires afin d’éviter que ce genre d’incidents soit limité en termes de dommages colatéraux et éviter à ce que des données de valeurs et des machines soient compromises et détruites.
Inter-Connect a encore du pain sur la planche. Mais la situation de RagaNet est pire. Une attaque de ce genre sur son réseau aurait à coût sur eu des répercussions fâcheuses sur l’émission de leur signal satellites qu’ils émettent concomitamment avec celui du Net. Dans ce genre de cas, qu’adviendrait-il au cas où le Réseau entier était hors service ?
Seul l’avenir nous le dira.

KALONJI BILOLO Trésor Dieudonné
Assistant à la Recherche en Informatique et TIC
tresorkalonji@yahoo.fr

en partenariat avec le CRT
( Centre de Recherche Technologique )