Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Messenger Spam

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
13.06.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Correction d'une erreur et ajout d'un lien

Messenger Spam - Utilisation abusive du service d'affichage des messages (Messenger Service) de Windows pour spammer les internautes.

Messenger Spam

Messenger SpamMessenger SpamMessenger Spam

Action rapide - Pas le temps de lire.

« Messenger Spam » est le nom donné à des petites fenêtres apparues en 2002, qui utilisaient, de manière abusive, le « Service d'affichage des messages » (Messenger Service) de Windows et apparaissaient en surimpression (pop-up), uniquement en format « texte » (sans lien ni image), avec un message publicitaire d'une longueur maximum de 775 caractères.

Cette malveillance a été possible dans les versions suivantes de Windows :

  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP 64-Bit Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professionnel
  • MSN Messenger 4.5
  • MSN Messenger 4.6
  • MSN Messenger 5.0
  • Microsoft Windows Messenger 4.0
  • Microsoft Windows Messenger 4.5
  • Microsoft Windows Messenger 4.6
  • Microsoft Windows Messenger 4.7


Messenger Spam est le nom donné à un usage abusif du « Service d'affichage des messages » (Messenger Service) du système d'exploitation Microsoft Windows pour inonder les internautes de messages non désirés et inattendus. Cette usage détourné d'un dispositif légitime de Microsoft Windows relève des Spam, d'où le nom de Messenger Spam.

Les messages sont publicitaires et incitent les utilisateurs à une action plus ou moins dangereuse comme :

  • Incitation à se rendre sur un site marchand douteux
  • Incitation à se rendre sur un site de pornographie
  • Incitation à acheter un logiciel inutile (plusieurs cybercriminels font de la pub par « Messenger Spam » pour vendre un utilitaire qui permet de désactiver les « Messenger Spam », pour la modique somme de 20 US$ tout de même, alors que la contre-mesure à « Messenger Spam » est simple et gratuite !)
  • Faire peur (message du type « Scareware ») et inciter à acheter un logiciel crapuleux
  • Inciter, par ingénierie sociale, à une action dangereuse ou criminelle ouvrant une faille de sécurité qui sera exploitée ou installant toutes formes de virus et malveillances.
  • Incitation à acheter de faux papiers et faux diplômes (ce genre d'incitations fut une caractéristique des Messenger Spam.).
  • Etc. ...

« Service d'affichage des messages » (Messenger Service) : envoie du message « hello » depuis soi-même (adresse IP 127.0.0.1)
« Service d'affichage des messages » (Messenger Service) : envoie du message « hello » depuis soi-même (adresse IP 127.0.0.1)

« Service d'affichage des messages » (Messenger Service) : réception d'un message incitant à l'achat de faux diplômes
« Service d'affichage des messages » (Messenger Service) : réception d'un message incitant à l'achat de faux diplômes

Les antivirus, les anti-pop up, les bloqueurs de publicités, les bloqueurs de malveillances, comme tous les types de dispositifs et logiciels de sécurité, ne peuvent rien contre ce fléau, car il ne s'agit pas d'un dispositif malveillant mais de l'usage abusif d'un dispositif légitime. Le « Service d'affichage des messages » (Messenger Service), utilisé dans ces attaques, n'est pas un dispositif malveillant mais est une fonctionnalité normale et légitime de Microsoft Windows. Il n'y a pas de faille de sécurité.

Une contre-mesure simple et gratuite existe.

Qu'est-ce que Messenger spamQu'est-ce que Messenger spamQu'est-ce que Messenger spam

Messenger Spam est une forme de publicités non sollicitées apparue en 2002, peu de temps après le lancement de Windows XP (le 25 octobre 2001). Messenger Spam est particulièrement agressif et n'est pas acheminé par les voies habituelles du spam (e-mails; scripts insérés dans les pages Web visitées; Adwares; etc. ...). Messenger Spam est une forme de nuisances et de malveillances qui tient des pop-ups, du spam « traditionnel » et de la « publicité intrusive ».

Plusieurs noms sont donnés à ces attaques : « Messenger Spam » ou « Spam Service Windows » ou « NetBios Spam » ou « Pop-up Spam » ou « Spam pop-up » ou « Spam-up », etc. ...

Pop-up désigne ici les fenêtres du « Service d'affichage des messages » (Messenger Service) s'affichant par-dessus toutes les autres fenêtres de l'utilisateur, y compris par-dessus les applications locales et pas seulement par-dessus les pages Web, comme avec les pop-ups « habituelles ».

« Messenger spam » utilise un « service » de Windows, le « Service d'affichage des messages » (Messenger Service), qui n'est pas, en lui-même, une faille de sécurité.

Le « Service d'affichage des messages » (Messenger Service) est un dispositif normal et légal permettant, par exemple à un administrateur de réseau, d'envoyer des messages (plutôt de type alertes urgentes) aux postes clients depuis le serveur du réseau. Ces messages, compte tenu de leur caractère, vont surgir sous forme de pop-up par dessus toutes les fenêtres actives. Le « Service d'affichage des messages » (Messenger Service) n'ouvre aucune brèche dans votre système et ne peut retourner aucune information à son envoyeur.

Quelle forme prend Messenger spamQuelle forme prend Messenger spamQuelle forme prend Messenger spam

Uniquement lorsque vous êtes connecté à l'Internet, des messages s'ouvrent en pop-up sous forme de fenêtres à l'apparence totalement homogène avec Windows. Ces fenêtres ressemblent à n'importe quelle fenêtre habituelle d'information ou d'avertissement de Windows, avec leur bouton « Ok » et leur petite croix de fermeture. Ces messages sont publicitaires. Ils incitent à aller sur des sites pour adultes (et risquent alors d'être reçus tandis que des enfants jouent en réseau) ou à effectuer une opération scabreuse (acheter un élargisseur de pénis, acheter un « diplôme », etc. ...), ou une opération illégale (acheter des médicaments et molécules interdites sans ordonnance, etc. ...) ou donnent dans l'escroquerie (par exemple, un comble, en faisant peur aux internautes et en les incitant à acheter, fort cher, un logiciel pour éviter, justement, de recevoir ce type de spam). Dans tous les cas, ces messages n'ont rien à voir avec votre navigation actuelle ou avec ce que vous êtes en train de faire sur le Web.

Quels avantages tirer de Messenger SpamQuels avantages tirer de Messenger SpamQuels avantages tirer de Messenger Spam

Voici ce que dit un site vantant un programme permettant de commettre ce genre de spam :

  • Envoyez vos publicités directement sur l'écran des ordinateurs connectés à Internet.
  • Votre message apparaîtra au 1er plan masquant ainsi les autres programmes (Internet Explorer y compris).
  • Notre technologie est basée sur le service de messagerie inclus dans Microsoft Windows 2000 et XP.
  • Caractéristiques
    • Simple à utiliser, composez votre message, sélectionnez les destinataires et lancez votre campagne de e-marketing...
    • Les messages sont délivrés sur le bureau des utilisateurs au moment où vous les envoyez.
    • Possibilité d'envoyer des messages longs (775 caractères).
  • Les pop-ups ne font pas l'objet de lois. Ils sont donc légaux.
  • Possibilité de ciblage géographique.
  • Les pop-ups envoyés par ce programme arrivent directement à l'écran de votre client.
  • Les pop-ups sont complètement anonymes et virtuellement non traçables. (Votre adresse Ip n'apparaît nulle part.)
  • L'impact de votre message est très important.

Comment fonctionne Messenger SpamComment fonctionne Messenger SpamComment fonctionne Messenger Spam

Le service « Service d'affichage des messages » (Messenger Service) est un service normal de Microsoft Windows qui transmet, dans un réseau, des messages « net send » et des messages envoyés par le service « Alertes », entre les ordinateurs clients et les serveurs.

Le service « Service d'affichage des messages » (Messenger Service) est utilisé par les administrateurs réseau pour envoyer des alertes d'administration aux utilisateurs du réseau.

Le service « Service d'affichage des messages » (Messenger Service) peut être utilisé par Windows et d'autres programmes logiciels.

  • Windows peut l'utiliser pour vous informer qu'un travail d'impression est terminé ou que votre ordinateur subit une panne de courant et passe sur un onduleur.
  • Votre antivirus peut utiliser le service « Service d'affichage des messages » (Messenger Service) pour vous envoyer des notifications.
  • Etc. ...

Le « Service d'affichage des messages » (Messenger Service) n'est pas lié à votre navigateur Web, ni à votre programme de courrier électronique, ni à Windows Messenger ou MSN Messenger...

L'attaque « Messenger Spam » ne peut se produire que lorsque les conditions suivantes sont remplies :

  • Le service Affichage des messages est démarré.
  • Le service Appel de procédure distante est démarré.
  • Le trafic de diffusion NetBIOS entrant (NetBIOS sur TCP/IP) et UDP est activé pour votre connexion Internet.

Ce spam est appelé "Messenger Spam" car il utilise une fonctionnalité normale, appelée « Messenger Service », des versions de Windows basées sur la technologie NT, soit :

  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP 64-Bit Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professionnel
  • MSN Messenger 4.5
  • MSN Messenger 4.6
  • MSN Messenger 5.0
  • Microsoft Windows Messenger 4.0
  • Microsoft Windows Messenger 4.5
  • Microsoft Windows Messenger 4.6
  • Microsoft Windows Messenger 4.7

Le « Service d'affichage des messages » (Messenger Service) est installé en même temps que Windows, dont il fait naturellement partie, et permet l'envoi et la réception de messages de service entre un serveur et ses clients (typiquement - un réseau dans une entreprise).

  • L'administrateur d'un réseau peut envoyer un message sur un ou des postes clients
  • Les utilisateurs (les "clients") peuvent envoyer un message à l'administrateur du réseau

Le problème est que ceci n'est pas circonscrit à un réseau local mais fonctionne également lors d'une connexion sur l'Internet.

Le « Service d'affichage des messages » (Messenger Service) est donc, avant tout, un simple outil d'administration destiné au travail sur un réseau. Puisqu'il travaille sur un réseau, il utilise forcément au moins un port : le 135 en l'occurrence (port 135 RPC - Location Service - protocoles de transport TCP et UDP) - (voir cette page pour la liste des ports "normaux"). En l'absence de pare-feu, il reste ouvert par défaut, comme tous les autres, dès que vous êtes connecté.

Ce port est accédé à distance par des logiciels de Spam créés à cet effet.

  1. Ces logiciels de Messenger Spam permettent de mettre en forme un simple petit message (775 caractères maximum - pas de lien ni d'image possible).
  2. Ces logiciels de Messenger Spam permettent de saisir des intervalles d'adresses IP (par exemple les intervalles attribués aux FAI (Fournisseurs d'Accès Internet) français. Ces intervalles (IP range) sont connus - par exemple, l'intervalle 217.128.0.0 - 217.128.0.255 est attribué à "France Telecom IP2000 ADSL BAS" pour son hôte "BSVZY101 Velizy Bloc1").
  3. Ces logiciels de Messenger Spam vont envoyer le message mis en forme sur le port 135 de toutes les adresses IP d'un intervalle, sans distinction et sans se préoccuper de savoir si le message a été délivré ou non. Tous les ordinateurs distants connectés à l'Internet à ce moment là recevront et afficheront ce Spam immédiatement.

Comment fonctionne Messenger SpamDifférences entre Spam et Messenger SpamComment fonctionne Messenger Spam

Ce type de Spam diffère beaucoup du Spam habituel dans nos boîtes e-mail.

  • Message très court
  • Aucun enrichissement possible du message (gras, italique, souligné, véritable indentation, polices de caractères...)
  • Aucun lien cliquable possible dans le message
  • Aucun objet média possible (pas de son, pas d'image, rien que du texte)
  • Ne nécessite que Windows et une connexion ouverte à Internet. Aucun besoin d'avoir un compte ouvert quelque part avec une boîte e-mail (spam "traditionnel"), ni même d'être en train de surfer sur le Web (pop-ups "traditionnelles").
  • La délivrance est immédiate, sans avoir à relever une boîte aux lettres
  • Aucune règle de filtrage possible
  • Obligation de cliquer sur la croix (ou sur "Ok") pour fermer la fenêtre
  • La fenêtre s'incruste par dessus toutes les autres, de quelque nature qu'elles soient
  • Le message s'affiche lorsque le destinataire est en ligne et est ignorée si ce n'est pas le cas
  • Problèmes de traçage et d'identification pour dénonciation ou dépôt de plainte :

    • Pas de traçage possible (pas d'en-tête de message - même si celles des Spam par e-mail sont souvent également intraçables ou "spoofées - usurpées) - toutefois si le message est publicitaire il faut bien qu'il contienne une référence quelconque à un produit ou service et il suffit donc de chercher "à qui le crime profite".
    • Possibilité, avec le journal d'un pare-feu, de remonter à l'IP distante étant entrée (ou ayant tenté de le faire) sur le port 135. Avec un whois, on peut alors tenter d'identifier le propriétaire de la dite adresse IP (peu de chance de succès car l'attaque passe certainement par une cascade de proxy d'anonymisation).
    • Pas de trace non plus après fermeture de la fenêtre, contrairement à un e-mail sur lequel on peut revenir longtemps après. La seule manière de conserver une trace de ce spam, pour le dénoncer par exemple, et de faire une capture d'écran.

Failles de sécurité et Messenger SpamFailles de sécurité et Messenger SpamFailles de sécurité et Messenger Spam

Le « Service d'affichage des messages » (Messenger Service) de Windows n'est pas une faille de sécurité. Un site ou un programme peut en abuser pour envoyer autre chose que des messages de service, c'est tout. Il est recommandé de désactiver ce service, gratuitement. La procédure est la même sous Windows 2000 et sous Windows XP : voir Contre-mesure à « Messenger Spam » - simple et gratuite.

Outils utilisés pour pratiquer du Messenger SpamOutils utilisés pour pratiquer du Messenger SpamOutils utilisés pour pratiquer du Messenger Spam

Il existe des programmes commerciaux pour exploiter ce dispositif (qui n'est pas une faille). Vous voulez faire du spam en exploitant ce service de Windows ? Voici des outils pour le faire...

  • Ip-Harvester.

    C'est un logiciel de E-marketing qui permet l'envoi de messages grâce à ces fameuses fenêtres en pop-up du « Service d'affichage des messages » (Messenger Service) de Windows, directement sur l'écran des destinataires. Oui, ces pop-up masquent toutes les fenêtres ouvertes. C'est en français et en anglais. Si vous avez quelque chose à vendre, il faudra mettre vos coordonnées quelque part pour qu'on puisse vous l'acheter alors j'espère pour vous que vous courrez vite car, avec vos coordonnées, il y aura plusieurs internautes exaspérés qui viendront vous offrir une manifestation palpable de leurs sentiments !
    http://www.ads-bot.com/Ip-Harvester/fr/
  • Direct Advertiser.

    Un autre outil du même genre à
    http://www.directadvertiser.net/directadvertiser.php.
    21.12.03 Merveille du e-business - le site est fermé mais le nom de domaine, directadvertiser, est à vendre. Eh oui, il a été tellement attaqué (et, en sus, ils ne devaient plus vendre leur salade, messenger-spam ne fonctionnant plus bien puisque tout le monde à fermé le port 135), qu'il faut profiter tout de suite de la popularité (l'impopularité) du nom pour en tirer encore quelques sous.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Clic sur le bouton « Démarrer » Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Performances et maintenance Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Outils d'administration Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Services Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Sélectionner l'affichage détaillé Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Ajuster la largeur des colonnes Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Sélectionner le « Service d'affichage des messages » Désactiver « Messenger Service » (Bloquer « Messenger Spam ») CLic droit Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Propriétés Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Désactiver le service Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Arrêter le service Désactiver « Messenger Service » (Bloquer « Messenger Spam ») Clic sur le bouton « Appliquer ».

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Comment désactiver le « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Dépendances amont et aval du « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.
Dépendances amont et aval du « Service d'affichage des messages » (Messenger Service) de Microsoft Windows.

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "

Messenger Spam
Messenger Service
Spam Service Windows
NetBios Spam
NetBios Messenger Spam
Pop-up Spam
IP-PopUp
Spam pop-up
Spam-up
Anti-Messenger Spam