Publié le 07-12-2010 dans le thème Virus - Antivirus

Pays : International - Auteur : La rédaction

Pub : Tous les logiciels anti-spam gratuits disponibles sur Internet

Le botnet du réseau pirate Kroxxu a infecté, cette année, pas moins de 100 000 sites Internet. Au cours des douze derniers mois, les chercheurs des laboratoires avast! ont suivi l’évolution de Kroxxu, un réseau pirate novateur d'auto-génération de logiciels malveillants, volant les mots de passe. Ce botnet de grande envergure, a infecté environ 100 000 nouveaux sites et probablement plus d‘un million d'utilisateurs à travers le monde. Les chercheurs d’avast! n'ont cependant pas encore découvert comment ces créateurs se rémunèrent. « Il existe différentes méthodes qui auraient pu permettre à ce nouveau réseau de se développer. Les quatre méthodes les plus probables sont le piratage grâce à la vente d'espace sur les serveurs infectés, l'utilisation du botnet pour soutenir les activités d'autres pirates, aux virus plus rentables, la vente de lettres de créances volées, ou encore l‘utilisation de keyloggers (ou enregistreurs de frappe) pour étendre d’autres spams. Mais à ce stade, il est plus important de découvrir comment fonctionne ce botnet que de découvrir son business plan. »

Tout commence avec les mots de passe
Kroxxu se concentre exclusivement sur le vol des mots de passe FTP. A la différence de son prédécesseur Gumblar et aux botnet traditionnels, l'expansion de Kroxxu est entièrement basée sur des sites web infectés - et non sur des ordinateurs portables. Les mots de passe volés permettent aux créateurs de Kroxxu d‘ ajouter un script simple au contenu du site original, permettant de télécharger et de modifier des fichiers sur des serveurs infectés et d’étendre le réseau vers d'autres serveurs dans le monde entier. Les laboratoires avast! estiment ainsi que le « zombie » Kroxxu inclue plus de 10 000 redirecteurs, 2 500 redirecteurs PHP et  700 logiciels malveillants supplémentaires dans le monde, connectés aléatoirement et contrôlés à distance dans  des lieux cachés.

La redirection est un élément essentiel pour Kroxxu puisqu’elle lui permet de se cacher. La plus longue connexion active trouvée jusqu'ici a utilisé au total 15 redirecteurs, sans troubler la méfiance de l’internaute, à travers sept pays et sur trois continents différents. Cela pourrait être aussi bien une caractéristique destinée à masquer la répartition et la diffusion des malwares qu’une courte panne dans le processus d’infection automatisé.

La capacité des composants du botnet à modifier sans cesse leur rôle, est une spécificité propre à Kroxxu. Les lettres de créance volées sont quant à elles utilisées pour soutenir le développement du réseau avec de nouveaux domaines infectés ajoutés à un réseau multi-couches où chaque élément exécute des tâches bien spécifiques. « Les attaques de Kroxxu sont basées sur le fait que toutes les parties du réseau sont égales et interchangeables. Si une partie est utilisée comme redirecteur initial, elle peut également l‘être pour la distribution finale au même ou à un autre moment », explique Jiri Sejtko. « Cela lui permet de se dupliquer beaucoup plus facilement et rapidement. »

Kroxxu: des virus dont il est difficile de se débarrasser
La croissance de Kroxxu a été régulière avec 1 000 nouveaux domaines employés improprement chaque mois depuis son émergence en octobre 2009. Elle se caractérise par la longévité des infections et la difficulté à les éliminer d‘un serveur. Les laboratoires avast! ont ainsi constaté que 985 redirecteurs PHP et 336 distributeurs de logiciels malveillants installés dans les sites infectés ont survécu plus de trois mois sans attirer l‘attention de la part des administrateurs des sites en question. Il semble que la plupart d’entre eux ignorent ou  plus vraisemblablement, ne soient pas au courant de l'infection. Or seul l'administrateur ou le propriétaire du site piraté peut légalement se débarrasser de l'infection.

La distinction entre les sites malveillants de base et les sites piratés redistribuant des virus
A moyen terme, la présence de Kroxxu sur des serveurs infectés pourrait avoir un impact sur les URL des moteurs de recherche qui doivent faire la différence entre de purs virus informatiques et des logiciels malveillants provenant de réseaux zombies. Avast! par exemple, utilise ces URL pour empêcher ses utilisateurs d‘accéder aux 100 000 domaines infectés par Kroxxu. Le succès relatif de Kroxxu et son utilisation exclusive de serveurs détournés, augmente le risque d’imitation d’autres botnets. Un problème mettant en évidence la façon dont les autorités déterminent les statuts d’un site. La confusion qui existe aujourd’hui entre  les virus informatiques de base et les virus provenant de réseaux zombies pourrait décupler l’impact de Kroxxu au delà de l’estimation d’un million d’utilisateurs et de 100 000 domaines désormais infectés.

Les chiffres Kroxxu
Réseau avec plus de 10 000 redirecteurs, 2 500 redirecteurs PHP et 700 sites supplémentaires de distribution de logiciels malveillants ; les 15 redirecteurs utilisés en terme de connexion active la plus longue, renvoient les internautes à travers sept pays dans trois continents différents ; la durée de vie des serveurs infectés par Kroxxu est de 90 jours.

Tweet

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Class action de 15 milliards contre Facebook

20-05-2012 à 20:23 - 0 commentaire(s)

Facebook rentre en bourse, des internautes lancent une Class Action de 15 milliards de dollars contre Facebook.

Fuite pour l'Université du Massachussets

20-05-2012 à 20:13 - 0 commentaire(s)

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Rapport sur l’état des e-menaces au 1er trimestre 2012

Les 3 premiers mois de 2012 ont permis de constater l’émergence du plus grand botnet sous Mac OS X.

Rapport viral pour le premier trimestre 2012

Les chevaux de Troie représentent 4/5ème des nouvelles menaces créées sur Internet au premier trimestre 2012

Quelle est la star la plus dangereuse pour votre compte Facebook ?

Le Top 5 des personnalités les plus utilisées par les pirates pour créer des scams sociaux. Mefiez-vous de Justin Bieber et Selena Gomez.

Prudence aux connexions Internet des Hôtels

Une alerte du FBI informe sur des piratages d´ordinateurs à partir de connexions wifi proposés dans les hôtels.

Code source de Norton 2012 piraté ?

Un mystérieux chantage diffusé ce week-end sur Internet. Des pirates annoncent avoir mis la main sur le code source de Norton 2012.

Fausse boutique Google Play

INFO ZATAZ - Prudence aux fausses boutiques Google Play dédiées aux applications pour Android.

Le site Français de Assassin's Creed assassiné

INFO ZATAZ - Le site Internet Assassinscreedfrance.fr utilisé par des pirates pour diffuser un code malveillant.

L'encyclopédie en ligne vulgaris medical infectée

Le site Internet de vulgarisation médicale, vulgaris-medical.com, considéré comme dangereux par Google.

Réagissez à ce contenu