dechezmax messenger spam

un texte qui vient directement de http://terroirs.denfrance.free.fr de Pierre PINARD
suite à une chronique de J.Colombain du 8/11/2003 sur l'informatique et diffusée tous les jours sur France-Info

à suivre surtout sur :

messenger spam

Résumé : messenger spam - publicité très agressive utilisant les boîtes de dialogue de Windows en pop-up directement sur l'écran des ordinateurs connectés à Internet.
Mots clé : messenger spam, messages, pop-up, publibité intrusive, Spam Service Windows, NetBios Spam, Pop-up Spam, direct advertiser, net send, windows messaging service, windows messenger, harvester,ads-bot, bot, advertisement, ads, pop-over, adware, spot, spyware, adserver, ...

Aucun anti-virus, aucun anti-pop-up, aucun anti-hijack ni aucun anti-trojan n'y peut rien. C'est une fonctionnalité normale de Windows qui est utilisée et il n'y a pas de faille de sécurité. Il y a simplement emploi abusif de cette fonctionnalité.

Qu'est-ce que Messenger spam ?
Une nouvelle forme de publicité non sollicitée est apparue peu de temps après le lancement de Windows XP. Elle est particulièrement agressive et n'est pas acheminée par les voies habituelles, à savoir les e-mails ou le Web. Il s'agit d'une forme de " spam" qui tiend des pop-ups, du spam "traditionnel" et de la " publicité intrusive". Elle est dénommée "Messenger Spam" ou "Spam Service Windows" ou "NetBios Spam" ou "Pop-up Spam" ou "Spam pop-up"... "pop-up" désignant ici les fenêtres s'affichant par-dessus toutes les autres, y compris les applications locales et pas seulement les pages Internet comme avec les pop-ups "habituelles".

Elle utilise un "service" de Windows qui n'est pas, en lui-même, une faille de sécurité, mais peut être utilisé pour envoyer des messages publicitaires (ou autres) qui vont surgir sous forme de pop-up.

Toutefois, elle n'ouvre aucune brêche dans votre système et ne peut retourner aucune information à son envoyeur.

Quelle forme cela prend ?
Lorsque vous êtes connecté à Internet, des messages s'ouvrent en pop up sous forme de fenêtres au look totalement homogène avec le look de votre Windows. Ces fenêtres ressemblent à n'importe quelle boîte de dialogue ou fenêtre habituelle d'information ou d'avertissement de Windows, avec leur bouton "Ok" et leur petite croix de fermeture. Ces messages sont, en général, publicitaires. Ils incitent souvent à aller sur des sites pour adultes (et risquent d'être reçus alors que des enfants jouent en réseau) ou à effectuer une opération scabreuse (acheter un élargisseur de pénis, acheter un "diplôme"...), ou illégale (acheter des médicaments sans ordonnance...) ou donne dans l'escroquerie (par exemple, un comble, en faisant peur aux internautes et en les incitant à acheter, fort cher, un logiciel pour éviter, justement, de recevoir ce type de message). Dans tous les cas, ces messages n'ont rien à voir avec votre navigation actuelle ou avec ce que vous êtes en train de faire sur le Net.

Mais que font les antivirus et anti-pop-ups ?
Les antivirus et les anti-pop up ne peuvent rien contre ce fléau car il ne s'agit pas d'un virus ni d'une pop-up. Les anti-trojan non plus car il ne s'agit pas d'un trojan. Les anti-hijack non plus car votre système n'est pas hijacké etc. ... Pourtant la solution existe et, en sus, elle est simple et gratuite.

Quels avantages à pratiquer ce genre de Spam ?
Voici ce que dit un site vantant un programme permettant de commetre ce genre de spam :

Envoyez vos publicités directement sur l'écran des ordinateurs connectés à Internet.
Votre message apparaîtra au 1er plan masquant ainsi les autres programmes (Internet Explorer y compris).
Notre technologie est basée sur le service de messagerie inclus dans Microsoft Windows 2000 et XP.
Caractéristiques

Simple à utiliser, composez votre message, sélectionnez les destinataires et lancez votre campagne de e-marketing...
Les messages sont délivrés sur le bureau des utilisateurs au moment où vous les envoyez.
Possibilité d'envoyer des messages longs (775 caractères).
Les pop-ups ne font pas l'objet de lois. Ils sont donc légaux.
Possibilité de ciblage géographique.
Les pop-ups envoyés par ce programme arrivent directement à l'écran de votre client.
Les pop-ups sont complètement anonymes et virtuellement non traçables. (Votre adresse Ip n'apparaît nulle part.)
L'impact de votre message est très important.

Comment cela fonctionne t'il ?
Ce spam est appelé "Messenger Spam" car il utilise une fonctionnalité normale des versions de Windows sur base NT, soit Windows NT4, Windows 2000 et Windows XP : le "service d'affichage des messages", "Messenger Service" (Microsoft Windows Messenger Service) dans les versions US de Windows, qui n'est pas lié et n'a rien à voir avec Windows Messenger ni avec MSN Messenger, l'outil Microsoft de conversation en ligne. Cette fonctionnalité est installée en même temps que Windows, dont elle fait naturellement partie, et permet l'envoi et la réception de messages de service entre un serveur et ses clients (typiquement - un réseau dans une entreprise). Par exemple, l'administrateur d'un réseau peut envoyer un message sur un ou des postes clients et les utilisateurs (les "clients") peuvent envoyer un message à l'administrateur du réseau). Le problème est que ceci n'est pas circonscrit à une connexion à un réseau local mais fonctionne également lors d'une connexion sur Internet.

Messenger Service est donc, avant tout, un simple outil d'administration destiné au travail sur un réseau. Et, puisqu'il travaille sur un réseau, il utilise forcément au moins un port : le 135 en l'occurence (port 135 RPC - Location Service - protocoles de transport TCP et UDP) - (voir cette page pour la liste des ports "normaux"). En l'absence de firewall, il reste ouvert par défaut, comme tous les autres, dès que vous êtes connecté.

Ce port est accédé à distance par des logiciels de Spam créés à cet effet. Ces logiciels permettent de mettre en forme un simple petit message (775 caractères maximum - pas de lien ni d'image possible). Puis ils permettent de saisir des intervalles d'adresses IP (par exemple les intervalles attribués aux FAI (Fournisseurs d'Accès Internet) français - ces intervalles sont connus - par exemple, l'intervalle 217.128.0.0 - 217.128.0.255 est attribué à "France Telecom IP2000 ADSL BAS" pour son hôte "BSVZY101 Velizy Bloc1"). Ces logiciels vont alors envoyer le message sur le port 135 à toutes les adresses IP possibles, ce peut être des millions d'adresses IP, sans distinction et sans se préocuper de savoir si le message a été délivré ou non. Donc tous les ordinateurs distants connectés recevront ce Spam immédiatement.

Différences d'avec le Spam traditionnel ?
Ce type de Spam diffère beaucoup du Spam habituel dans nos boîtes e-mail.

Message très court
Aucun enrichissement possible du message (gras, italique, souligné, véritable indentation, polices de caractères...)
Aucun lien cliquable possible dans le message
Aucun objet média possible (pas de son, pas d'image, rien que du texte)
Ne nécessite que Windows et une connexion ouverte à Internet. Aucun besoin d'avoir un compte ouvert quelque part avec une boîte e-mail (spam "traditionnel" ni même d'être en train de surfer sur le Net (pop-ups "traditionnelles").
La délivrance est immédiate, sans avoir à relever une boîte aux lettres
Aucune règle de filtrage possible
Obligation de cliquer sur la croix (ou sur "Ok") pour fermer la fenêtre
La fenêtre s'incruste par dessus toutes les autres
Le message s’affiche lorsque le destinataire est en ligne et disparait si ce n’est pas le cas
Problèmes de traçage et d'identification pour dénonciation ou dépot de plainte :
- Pas de traçage possible (pas d'en-tête de message - même si celles des Spam par e-mail sont souvent également intraçables ou "spoofées - usurpées) - toutefois si le message est publicitaire il faut bien qu'il contienne une référence quelconque à un produit ou service et il suffit donc de chercher "à qui le crime profite". Il est également possible, avec un log de firewall, de remonter à l'IP distante étant entrée (ou ayant tenté de le faire) sur le port 135 et, avec un whois, de tenter d'identifier le propriétaire de la dite IP (peu de chance de succès).
- Pas de trace non plus après fermeture de la fenêtre, contrairement à un e-mail sur lequel on peut revenir longtemps après. La seule manière de conserver une trace de ce spam, pour le dénoncer par exemple, et de faire une capture d'écran.

S'agit-il d'une faille de sécurité ?
Non, ce "service" de Windows n'est pas, en lui-même, une faille de sécurité mais on a vu qu'un site ou un programme peut en profiter pour envoyer autre chose que des messages de service. L'un des "utilisateurs" de se "service" en profite même pour faire de la pub pour son utilitaire qui permet de désactiver ce service - pour la modique somme de 20 US$ tout de même ! Il est donc recommandé de désactiver ce service, gratuitement. La procédure est la même sous Windows 2000 et sous Windows XP.

Et maintenant, voyons avec quoi ils font ce spam :
Il existe des programmes commerciaux pour exploiter ce dispositif. Vous voulez faire du spam en exploitant ce service de Windows ? Voici des outils pour le faire...

Ip-Harvester.
C'est un logiciel de E-marketing qui permet l'envoi de messages grâce à ces fameuses fenêtres en pop-up, directement sur l'écran des destinataires. Oui, ces pop-up masquent toutes les fenêtres ouvertes. C'est en français et en anglais. Si vous avez quelque chose à vendre, il faudra mettre vos coordonnées quelque part pour qu'on puisse vous l'acheter alors j'espère pour vous que vous courrez vite car, avec vos coordonnées, il y aura plusieurs internautes exaspérés qui viendront vous offrir une manifestation palpable de leurs sentiments !
Direct Advertiser. Un autre outil du même genre

Contre-mesure
Voir anti-service "affichage des messages".

Pour voir se dresser vos cheveux sur la tête :
visitez aussi le site halte.chez.tiscali.fr
et suivez leur recette d'un bon couscous !

Merci Pierre, mais cela ne nous rassure pas !