ven. Nov 15th, 2024

Par Check Point Software Technologies Ltd

Une étude menée par : Gil Mansharov et Alexey Bukhteyev

Dans sa publication annuelle de 2018, le centre IC3 (Centre des plaintes relatives à la criminalité sur Internet) du FBI signale une augmentation de 242 % des emails d’extorsion, dont la majorité sont des emails de sextorsion, avec des pertes totales estimées à 83 millions de dollars.

Le principe de la sextorsion est simple :
un email de chantage menace d’exposer du contenu du destinataire à caractère sexuel sauf si un paiement est effectué. Beaucoup d’entre nous ont reçu de tels emails ou connaissent d’autres personnes qui en ont reçu. Peu ont payé les sommes demandées, mais ce pourrait-il que vous ayez diffusé sans le savoir 15 000 de ces emails de sextorsion à des victimes innocentes ?

Enquêtant sur cette tendance actuelle, Check Point Research a découvert un botnet qui fait précisément cela : il utilise les milliers d’hôtes infectés sous son contrôle pour diffuser des millions de menaces à des destinataires innocents.

Le botnet Phorpiex (appelé également Trik) est actif depuis presque au moins une décennie et exploite actuellement plus de 450 000 hôtes infectés. Dans le passé, Phorpiex générait principalement des revenus en diffusant différentes autres familles de logiciels malveillants, notamment GandCrab, Pony, Pushdo, et utilisait ses hôtes pour extraire de la cryptomonnaie à l’aide de différents programmes. Depuis récemment, Phorpiex intègre un nouveau moyen de générer des revenus parmi ses fonctionnalités. Phorpiex utilise désormais un robot de spam décrit dans cet article pour effectuer des campagnes de sextorsion à grande échelle.

Depuis près de cinq mois que nous surveillons cette activité, nous avons enregistré des transferts de plus de 11 BTC vers les portefeuilles de l’auteur de Phorpiex, soit actuellement plus de 110 000 dollars. Cela peut sembler être une faible somme, mais pour une opération nécessitant peu de maintenance, et utilisant uniquement une longue liste d’identifiants et le remplacement occasionnel d’un portefeuille, cela représente un joli revenu mensuel de 22 000 dollars.

Emails de sextortion

Le botnet Phorpiex/Trik utilise un robot de spam qui télécharge une base de données d’adresses email à partir d’un serveur de commande et de contrôle. Une adresse email est sélectionnée de manière aléatoire dans la base de données téléchargée et un message est composé à partir de plusieurs chaînes codées en dur. Le robot peut générer une grande quantité d’emails de spam (jusqu’à 30 000 par heure). Chaque campagne de spam peut cibler jusqu’à 27 millions de victimes potentielles.

La caractéristique la plus intéressante des récentes campagnes de spam est que le robot de spam Phorpiex/Trik utilise des bases de données contenant des mots de passe fuités en combinaison avec des adresses email. Le mot de passe d’une victime est généralement inclus dans un email pour le rendre plus persuasif, montrant ainsi que le mot de passe est connu du pirate. Pour choquer la victime, un message commence par un texte contenant le mot de passe.

Voici un exemple d’email de sextorion créé par le robot de spam Phorpiex:

De : Évite les ennuis

Objet : Je t’ai enregistré – {password}

Bonjour, je sais que l’un de tes mots de passe est : {password}

Ton ordinateur a été infecté par mon logiciel malveillant privé puisque ton navigateur n’est pas à jour/corrigé. Il suffit de consulter un site web contenant mon iframe pour être automatiquement infecté. Si tu veux en savoir plus, Google : « Exploitation par téléchargement ».

Mon logiciel malveillant m’a fourni un accès complet à tous tes comptes (voir mot de passe ci-dessus), un contrôle total sur ton ordinateur et il était également possible de t’espionner via la webcam.

J’ai collecté toutes tes données personnelles et je t’ai enregistré (via la webcam) PENDANT QUE TU TE MASTURBAIS !

Après cela, j’ai supprimé mon logiciel malveillant pour ne pas laisser de traces et cet email a été envoyé depuis un serveur piraté.

Je peux publier ta vidéo et toutes tes données privées sur le web, les réseaux sociaux, et par email à tous tes contacts.

Mais tu peux m’en empêcher et je suis le seul à pouvoir t’aider dans cette situation.

La seule façon de m’arrêter est de payer exactement 800 dollars en bitcoin (BTC).

C’est une très bonne offre, comparée à ce qui se produira si je publie tout !

Tu peux facilement acheter des bitcoins ici : www.paxful.com, www.coingate.com, www.coinbase.com, ou rechercher un guichet automatique de bitcoin près de chez toi, ou chercher une autre place de change sur Google.

Tu peux envoyer les bitcoins directement à mon portefeuille ou créer ton propre portefeuille ici : www.login.blockchain.com/en/#/signup/, puis recevoir des bitcoins et en envoyer à mon portefeuille.

Mon portefeuille bitcoin est : 1Eim8U3kPgkTRNSFKN49jgz9Wv4A1qmcjR

Copie et colle mon portefeuille, en respectant les majuscules et les minuscules

Je te donne 3 jours pour payer.

Comme j’ai accès à ce compte de messagerie, je saurai si cet email a été lu.

Si tu reçois cet email plusieurs fois, c’est pour bien m’assurer que tu le liras. Mon programme est configuré ainsi et tu peux l’ignorer après le paiement.

Après avoir reçu le paiement, je supprime tout et tu peux vivre en paix comme avant.

La prochaine fois, mets ton navigateur à jour avant de surfer sur le web !

 

Le robot de spam est l’un des logiciels malveillants en bout de chaîne de chaque campagne Phorpiex observée en 2019. Il ne possède pas de mécanisme de persistance, car il est téléchargé et exécuté par d’autres modules Phorpiex. Voici quelques URL à partir desquelles le robot de spam a été téléchargé :

URL Date MD5
hxxp://185.176.27[.]132/5 31/7/2019 fac2fc1b97fc3ab4469e723e501cecef
hxxp://193.32.161[.]73/5 28/7/2019 8d1a1a39fec3efbd1700801266ba2529
hxxp://193.32.161[.]77/5.exe 9/7/2019 f895a1875b3e112df7e4d548b28b9927
hxxp://193.32.161[.]69/6.exe 9/7/2019 39b326e56ab3c48b5bec19ad9300d2cf
hxxp://193.32.161[.]77/4.exe 30/6/2019 586554bb5df08e8cabf54113d76b38e4
hxxp://osheoufhusheoghuesd[.]ru/5.exe 13/6/2019 29d3c08d5f9fcbbef6ea5493907f91d8

Tableau 1 – URL de pré-infection du robot de spam Phorpiex.

Détails techniques

 

Dès qu’il commence à fonctionner, le robot de spam effectue plusieurs vérifications et étapes d’initialisation, comme le reste des modules de Phropiex. Tout d’abord, pour empêcher l’exécution de plusieurs instances, il tente de créer un mutex avec un nom spécifique. Ce nom est codé en dur dans l’échantillon, mais chaque échantillon possède un nom mutex unique :

Figure 1 : Noms mutex du robot de spam.

 

Si le mutex existe déjà, le robot de spam s’arrête.  Sinon, il poursuit les étapes d’initialisation : Le robot de spam supprime le flux de fichiers alternatif « :Zone.Identifier » et ajoute une exception au pare-feu en créant une nouvelle valeur dans la clé de registre :

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\

Le robot de spam ajoute la valeur « <chemin_vers_le_robot_de_spam>:*:Enabled:<nom_codé_en_dur> » à cette clé, par exemple : %TEMP%\28764.exe:*:Enabled: WDrvConfiguration

 

Enfin, le robot de spam Phorpiex détermine l’entrée DNS MX du domaine « yahoo.com » ou « aol.com » et tente de se connecter à son serveur SMTP au port 25. Si le serveur SMTP est inaccessible, il cesse également de fonctionner :

 

Figure 2 : Vérification de l’accès au serveur SMTP de Yahoo.

 

Bases de données d’adresses email

 

Le robot de spam utilise une communication HTTP non chiffrée avec un serveur de commande et de contrôle. L’en-tête de user-agent suivant uniquement, bien qu’il ne soit pas réservé uniquement au robot de spam Phorpiex, est utilisé pour effectuer des requêtes http :

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0, et envoie une requête HTTP GET en utilisant l’URL :

hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/n.txt ou hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/p.txt

Exemple :

hxxp://193.32.161[.]69/111/n.txt

La réponse à cette requête contient un nombre N de bases de données d’adresses email stockées sur le serveur de commande et de contrôle. Des requêtes supplémentaires sont effectuées pour télécharger ces bases de données et les enregistrer dans le répertoire. %TEMP% avec l’extension « .jpg ».

Dans la boucle infinie, le logiciel malveillant génère des URL au format suivant :

hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/<nombre aléatoire>.txt

Le <nombre aléatoire> est un entier aléatoire entre 1 et N.

L’URL finale d’une base de données d’adresses email à télécharger ressemblera à ceci :

hxxp://193.32.161[.]69/111/135.txt

La base de données téléchargée est enregistrée dans le répertoire %temp% avec le nom de fichier composé de chiffres aléatoires et l’extension « .jpg », par exemple :

%temp%\5173150314183010.jpg

La base de données téléchargée est un fichier texte, contenant jusqu’à 20 000 adresses email. Au cours des différentes campagnes, nous avons observé entre 325 et 1 363 bases de données d’adresses email sur un serveur de commande et de contrôle. Chaque campagne de sextorsion peut cibler jusqu’à 27 millions de victimes potentielles. Chaque ligne de ce fichier contient une adresse email et un mot de passe délimités par « : », comme indiqué ci-dessous :

 

utilisateur1@bigpond.com:motdepassesecret1

utilisateur2@gmail.com:motdepassesecret2

utilisateur3@yahoo.com:motdepassesecret3

utilisateur4@rambler.ru:motdepassesecret4

 

Le robot de spam crée un total de 15 000 threads pour envoyer des emails de spam à partir d’une base de données. Chaque thread prend une ligne au hasard à partir du fichier téléchargé. Le fichier de base de données suivant est téléchargé lorsque tous les threads sont terminés. En prenant en compte les délais, on peut estimer que le robot est capable d’envoyer environ 30 000 emails en une heure.

 

Figure 3 : Création de threads pour l’envoi d’emails de spam.

 

Diffusion du spam

 

Le robot de spam utilise une simple implémentation du protocole SMTP pour envoyer des emails. L’adresse du serveur SMTP est dérivée du nom de domaine d’une adresse électronique. Après avoir établi une connexion avec le serveur SMTP et obtenu un message d’invitation, le robot de spam envoie un message SMTP HELO/EHLO avec sa propre adresse IP externe qu’il a obtenue à l’aide du service icanhazip.com.

Le robot de spam tente ensuite de générer un nom de domaine aléatoire valide au format suivant : « {4 chiffres aléatoires}.com » La validité du domaine est vérifiée à l’aide d’une requête DNS. Cela entraîne une grande quantité de requêtes DNS avant de pouvoir contacter un serveur SMTP :

 

Lorsqu’un domaine est résolu avec succès, il est utilisé pour l’adresse de messagerie de l’expéditeur. La première partie de l’adresse email de l’expéditeur (avant le « @ ») est générée à partir d’un mot codé en dur et de 2 chiffres aléatoires. Le nom d’hôte de l’expéditeur, son adresse IP et le nom de domaine d’un faux serveur SMTP sont également des valeurs aléatoires, comme indiqué dans l’image ci-dessous :

 

Pour définir un champ d’objet, le robot de spam concatène le nom d’utilisateur ou le mot de passe avec des chaînes choisies au hasard (peuvent différer dans d’autres échantillons) :

 

Ainsi, si nous supposons que « jean_dupont@exemple.com » est la victime, l’objet de l’email pourrait être : « Je t’ai enregistré – jean_dupont ».

Revenus

Nous avons vu comment des pirates tentaient d’extorquer de l’argent à l’aide du robot de spam Phorpiex, mais est-ce vraiment couronné de succès ?

Check Point Research a surveillé la campagne et les portefeuilles Bitcoin extraits de tous les robots de spam que nous avons vus depuis avril 2019 et nous avons constaté que plus de 11 BTC avaient été transférés sur ces portefeuilles :

 

Portefeuille BTC Transactions entrantes Montant
1Eim8U3kPgkTRNSFKN49jgz9Wv4A1qmcjR 2 0,143446
1GAdm1HyyN9mAdx7j9WzfJyFtiiWbHNirF 0 0
1BYamnmKJmDE5ftfi73FgpjWhFPBs7ojzJ 0 0
1He7vySFu9pPVjUUgrYrULaAcpCEYddUrm 0 0
1LwPAckT7ettEpLEuAU2dBXbqqSd9SrLAD 2 0,011816
1D1nXbBdPmCpy9rPRdtaXjA5ftGzYPPw51 1 0,006144
1EQSAqbFwiZhpHrg6Wy4xhySc9fPpt7DQw 0 0
1JtTm5eCxqj94Pb4d58pWGZjLUMYHuC6yX 0 0
1J3xUWqjnDG5otximv6CcJ2bwEqggzBt3s 0 0
1LZStbAiQYiBGUTEH8mbTYu8pbvmrDprZQ 2 0,021601
1FLREuhB3U56yJBTTsj6zzEXjNf4BTzeZr 2 0,149816
1DizniLKc16G3C4Sv4LfwT4cDFY6P2TUZ1 0 0
1QBfCvZUuA3fbXX9bHeeTpqzkYgikvhtXR 2 0,081085
191chSfN28Qniupjv7DyJcJ9EVLouW33rL 0 0
1F73edsje5GbjqybTgKAesWfihvp4Q59Eq 2 0,358864
13HffyTVP8qcYzd5tga4Bc6rCGETNbbZuD 1 0,03665
1MnUgqSkToq3j7ozwjSh54m1WxWZ3Xqym6 3 0,24168
12EMaHiZG75ztkjUjuPZhQDcyW89qRJVuR 7 0,555361
15WGVWt16CzuK3opvJHg6i1XSstbXGEPcZ 2 0,664307
1PC3q4JgAJvHcpsT2LqwoqVN2ckzAVQoxf 1 0,019663
16JVTYxnaVqWM3gQffaZ3QD1CDzARUKQ15 0 0
1DEbZ7uqJYZpVcB3tBH2kGe9bucBjX3buS 0 0
1Nq84HeDmd2JGyRtjqh32QRG4zoSrp8bdL 2 0,159595
16JApT2K6Z9AirkMeBSWyhwuJ8dCfRhY9U 1 0,036712
14vMRojDhqPxp1uqmAS5Sv6CijFaUiXWs6 0 0
1GTzcCBW79F3BtBdN9jx7hqNq65ebbt1Wm 1 0,039957
1QJ3EPWv2SBuzNd25oPgNeDxSQSafRyx1E 0 0
19naMJAmQq6b9XJaSaWpw2MTBBVeW355Ro 1 0,043342
1HB3KtKoguFuZ4BdmCv9Fc4tYTwDQgmqmW 7 1,203933
1PzrJSAhZSiYK93qLZnKsRzQzS49j5Ugzc 2 0,101029
1BpwthndBC2aDHiztoMtMBnq7ejmNkHnSV 2 0,255925
1CJngGvXs8gAcBZAt9EZh9UDuanYLUrrpx 0 0
1CSDpCjyVHsuTb6i7zZ8dr81iUGL5ff7vM 11 0,435314
13vLpBJLtoxKPBm9pmjJi8WbH4Be37JtBU 0 0
1MX8BUf7R4rE7xLoaVMyiceX8DE8D3aFQg 7 0,423759
169mDo7VcVbWdzFzVKokErmfrAGYwmjLxT 0 0
1Bn4JYKoVgQpZ73doWVFSNZBbwKj3cpJNR 20 0,180276
1BdMo6PKJCR9S6FzLDtE4ChszHdrJdbWJ7 2 0,146331
12ZyXPMJBAFCfpyYTYo8V6QcG653Lcs9oj 3 0,471426
154J36DXD2wA512cJRdAJsr1KcKynbVtpM 3 0,267253
15xdJ5nhwQCTFGs9AqciPGxgf62hGdWog7 1 0,174063
1BuER8YdiA7jYbGo6Eh2EB8GZ223jyoCeS 0 0
1Kkhy6P6E2RczrMXmaGCFAEapMtGf8N7TZ 0 0
15w8KYwC76vDRiSZD2LK6dEbHvs7N38mh6 2 0,333779
1GLJa8dMq9XBaiMhXNJSQjVoNzh2xRanzD 1 0,00001
15dut9dbaZbSKZq27tyuLkjhCEiRaewvvh 1 0,129657
14VYd5JrPrrXD1qiMxZ5An2VsU5db5ZqS7 1 0,189384
1PTNbkmQckDTjbhCMtfa5zqY992ZNZ8biG 5 0,387527
17v35QnAre7Vd2T74SD9xhEGJVwYfTPDhN 7 0,868118
1HwJeZ5uyNJ6Peq8x1wixKVnurY1yURK8P 1 0,117079
1Mh8T6eVbP8zCRPzUqbb7b9PiW6Wv3mRPY 1 0,131903
1GmebPccNzPrkFiWknizbsCfzgXv27JGZP 0 0
14WqqoWch8bDkFYUtxP96qUgyEQxDZhsoZ 1 0,00000576
19iHbuwE21MpfjDcLY5qb7teH8RrKoPKGd 0 0
1PcZSbbc4u4juK64mpFSWwcR9hESPboRH8 1 0,000268
1EfKPq3Ac7cxud3gcrR4DWdHob9dMsGdhQ 0 0
17jHsGecV53ro2LGzo53s5trTH6Qf3gksS 6 0,940664
18jZzWe4Wv4mUNm93rjeWJscqPdhecwsAY 1 0,068113
1EMzDTxTMy3bJLof6yLVU8jC2T92j89rse 0 0
1CEi7Py9hNgMwqPMiCphFuF6SF263v7Yqj 1 0,013788
1AiBJcWZYQrz5Z9S9X7nYNueznU7iU5V5h 2 0,263333
1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17 2 0,010038
1HctxwLwjEFCacTPi83me927UBs7aTJ7LF 9 0,401235
14poC1Jg97vuvsyoKSZYz7h276LoAZcrtn 1 0,323483
1NpjBxiLhQQ5VVyDMrxESoA5HoHLLQXABa 1 0,134282
12KkDhdBX2zNv24D7SgBBrEBme7eNddvUj 2 0,071166
1JrdZLfH6j9KP2GjCJc7PhxwrrYKGYoSEi 1 0,08167
1Fjg3Q89MawTyfNcMbX6MUnfT923icRuMy 2 0,168246
1DZNohaDckSxJu6YxfeGkqCtxDAhtFP3Jq 3 0,443945
19razyqXme4evPi2wS9Zf8kor3VaYG8dTN 8 0,243171
1CWHmuF8dHt7HBGx5RKKLgg9QA2GmE3UyL 3 0,233163
1FqAEDNBFFjBZuVzk7V94tKgGwhVa8qABt 1 0,055759
1BXavFhbxCpno2dFpS4BU4NvEJjjqCN8Kd 3 0,156317
1PTtHP1ef2vMR2z8wExq6VB3PQePFF2UiV 0 0
Total 157 11,99545

Tableau 2 – Portefeuilles BTC utilisés dans une campagne de sextortion.

 

 

 

Étant donné le nombre de transactions entrantes sur ces portefeuilles, nous pouvons également estimer le nombre total de victimes affectées par cette campagne.  Par conséquent, environ 150 victimes ont payé les agresseurs sur une période de cinq mois. C’est un très petit pourcentage, compte tenu du nombre d’emails que le robot peut générer, mais cela signifie que cette technique d’arnaque simple a réussi.

D’autre part, les mots de passe des bases de données fuitées, tels que ceux utilisés dans la campagne de sextortion, sont généralement associés à d’autres ressources que la messagerie de la victime. Les mots de passe sont le plus souvent sans importance et la valeur de ces données est assez faible. Par conséquent, ces bases de données peuvent même être disponibles en accès libre ou vendues à un prix modique. Il est difficile de voir comment les pirates peuvent utiliser ce type de données pour réaliser des bénéfices. Cependant, les auteurs de Phorpiex ont mis au point une méthode de monétisation de leur botnet qui permet d’obtenir des bénéfices raisonnables.

Conclusion

 

Les listes d’identifiants fuités, contenant des mots de passe souvent incompatibles avec les adresses emails associées, sont courantes et peu coûteuses. Phorpiex, un botnet existant depuis un certain temps, a trouvé un moyen de les utiliser pour générer facilement un revenu à long terme. Cette nouvelle activité pourrait être une des conséquences de l’arrêt des activités de Gandcrab, un logiciel rançonneur distribué auparavant par Phorpiex, ou tout simplement au fait que les emails en texte brut parviennent toujours à s’infiltrer dans de nombreuses lignes de cyberdéfense. Quoi qu’il en soit, Phorpiex, qui exploite actuellement plus de 450 000 hôtes infectés, diffuse en permanence des emails de sextorsion, par millions.

 

Indicateurs de compromis

 

URL de pré-infection
hxxp://185.176.27[.]132/5
hxxp://185.176.27[.]132/4
hxxp://185.176.27[.]132/3
hxxp://193.32.161[.]73/5
hxxp://193.32.161[.]73/4
hxxp://193.32.161[.]73/3
hxxp://193.32.161[.]69/6.exe
hxxp://193.32.161[.]77/5.exe
hxxp://osheoufhusheoghuesd[.]ru/3.exe
hxxp://193.32.161[.]77/6.exe
hxxp://osheoufhusheoghuesd[.]ru/4.exe
hxxp://ouhfuosuoosrhfzr[.]su/2.exe
hxxp://ouhfuosuoosrhfzr[.]su/3.exe
hxxp://ouhfuosuoosrhfzr[.]su/4.exe
hxxp://osheoufhusheoghuesd[.]ru/5.exe
hxxp://193.32.161[.]77/4.exe
hxxp://193.32.161[.]69/5.exe
hxxp://193.32.161[.]69/7.exe

 

MD5 URL DU SERVEUR DE COMMANDE ET DE CONTRÔLE
790b14490eb56622f3cfa768887fcb08 hxxp://193.32.161[.]77/oaa/
b5dffcdf23ea0365c0bbf6e70983d351 hxxp://193.32.161[.]77/from/
a267bf9e58726a34a91c365b61e1424a hxxp://92.63.197[.]153/test2/
5c17496674a49f7ebaa44c5b33d32ae4 hxxp://193.32.161[.]77/3/
f1a69224571f7749f261fd8c08d6d8cb hxxp://193.32.161[.]77/2/
8887f6f532a489fcab28eba80185337b hxxp://193.32.161[.]77/fu/
c58bd54c962d4e236e770df983fd2329 hxxp://193.32.161[.]69/111/
9398682b9740d15dfb7b2996364cd979 hxxp://92.63.197[.]153/sp/
9434796df2d62e4f666525419db86d18 hxxp://193.32.161[.]77/neww/
7f52a1c1d63053bcf02c6225e4245345 hxxp://92.63.197[.]153/t2/
69076366f1a1bd622c0d813709f29e4a hxxp://87.120.37[.]234/
fc729a08001392406565808408cf6166 hxxp://193.32.161[.]77/dsh/
8a74d531fa839caf056a7a9c24237cd7 hxxp://193.32.161[.]77/send/
1f4447c12a0b8f99c1ce5b748c762a9f hxxp://92.63.197[.]153/t/
a2d30294e59cd15304d071c396618fa7 hxxp://193.32.161[.]77/mails/
646c630aa377f414e1e6820916952e1e hxxp://193.32.161[.]77/sorry/
ba24a030bd4d4b89a6ad16249d1674c2 hxxp://193.32.161[.]77/2/
0d7f456f908565fb547438cb402a4eff hxxp://193.32.161[.]77/en/
5b046452db5836deb47e359b4462ee16 hxxp://92.63.197[.]153/sex-pass/
6628c07aadd53f34357b9b63e07d62b8 hxxp://92.63.197[.]153/sex-pass-new/
d7cfd3b8d83ca0af1518267a15f9c249 hxxp://193.32.161[.]77/1/
9af3d711fd4733181fcd78796dd21cfa hxxp://193.32.161[.]77/en2/

 

Lignes d’objet des messages

 

Je connais ton mot de passe –

Ton mot de passe –

Sale pervers –

Pervers –

Je t’ai piraté –

Tu as été possédé –

Tu ferais mieux de lire ceci –

Tu ferais mieux de me payer –

Vidéo te montrant –

Je t’ai enregistré –

Arrête de regarder du porno –

Sale pervers –

Tu as été piraté –

Je sais tout –

Tu as été infecté –

J’ai infecté ton pc –

Prends soin de toi –

Mieux vaut me payer –

Sauve ta vie –

Protège ta vie privée –

Je peux ruiner ta vie –

Lis attentivement –

Je te donne une chance –

Je t’ai enregistré pendant que tu te masturbais –

J’ai tout vu –

Vidéos avec toi –

Tu as été enregistré –

Ton ordinateur est infecté –

Ta vie peut être ruinée –

Prends soin de toi la prochaine fois –

Paye –

Dans quelques jours –

N’attends pas trop longtemps –

Je n’attendrai pas trop longtemps –

Tout le monde saura –

Ce n’est plus privé –

Il vaut mieux lire –

Lis –

Tes données privées –

Ta vie privée –

 

La blade Check Point Anti-Bot offre une protection contre cette menace :

 

Worm.Win32.Phorpiex.C

Worm.Win32.Phorpiex.D

Worm.Win32.Phorpiex.H

 

 

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *