Comment on attrape un virus informatique

aujourd'hui. En effet, la réponse à cette question est très mouvante et évolue avec le temps. Il y a quelques années encore, beaucoup de virus informatiques se diffusaient sur Internet sous forme de vers, se propageant d'une machine à une autre, mais vraisemblablement parce que de plus en plus d'ordinateurs ne sont plus connectés directement à Internet, ce n'est plus le mode de diffusion privilégié. En effet, derrière des box ADSL, même si vos ordinateurs, tablettes et autres télévisions connectées ne sont pas totalement protégés, ils ne sont pas directement et totalement accessibles depuis l'extérieur comme on pouvait l'être quand on se connectait avec un modem directement connecté à l'ordinateur.

Nous vous proposons de parcourir quelques modes de propagation qui, vous allez le voir, parfois s'entrecroisent. En effet, de la même façon qu'il est parfois difficile de classifier les logiciels malveillants, il est parfois tout aussi difficile de tracer une frontière entre ces différents modes de contamination.

L'installation par l'utilisateur

Ce mode de propagation permet notamment des attaques ciblées, par exemple en envoyant un lien spécifique ou une pièce jointe à une victime donnée. Il repose sur la confiance qu'a la victime dans le contenu qui lui est présenté, soit parce qu'il semble provenir d'une personne de confiance, soit parce que le sujet l'intéresse. Il peut s'agir directement d'un programme informatique qu'on est invité à installer ou qu'on souhaite soi-même installer, ou alors d'un document qui va exploiter une faille du logiciel permettant de l'afficher (PDF, document Word ou même encore une simple image qu'on ouvre dans le logiciel par défaut de son ordinateur, comme ce fut le cas avec le Kodak Image Viewer livré avec certaines versions de Windows). Dans tous les cas, c'est la victime qui clique sur le fichier pour l'ouvrir volontairement. Dans certains cas, il se peut que cette transmission soit réalisée par un ver (voir paragraphe plus bas) qui a contaminé l'ordinateur ou pris le contrôle du compte de réseau social ou de courrier électronique d'un ami. Bien évidement une personne malintentionnée peut aussi profiter d'un mot de passe défaillant ou d'un moment d'inadvertance pour installer un virus sur l'ordinateur de sa victime, soit en accédant physiquement à l'ordinateur, soit en y accédant à distance.

Les supports amovibles

Ici encore, c'est la victime qui est invitée à agir, en connectant un support amovible (souvent une clé USB, comme dans le cas du célèbre Stuxnet) sur son ordinateur. Ces clés vous arrivent de personnes en qui vous faites confiance (collègues de travail, amis, contacts professionnels) ou bien encore sont parfois trouvées dans la rue (cet été la société néerlandaise DSM semble avoir été victime d'une tentative d'attaque réalisée de cette manière). Ici, différentes techniques sont utilisées pour rendre invisible la contamination, celle-ci se réalisant automatiquement, par exemple avec les fonctions de démarrage automatique des systèmes d'exploitation.

... et les partages réseaux

Dans un environnement familial (disque dur partagé sur le réseau local pour mettre en commun documents, musique, films...) et surtout professionnel, ce type de contamination est particulièrement courant. Dans certains cas, on a vu qu'il pouvait être beaucoup plus efficace que les supports amovibles puisqu'on fait un peu plus confiance par défaut à un partage interne ou encore parce que certains environnements professionnels imposent d'exécuter au moment de leur connexion des fichiers de configuration se trouvant dans ces répertoires partagés.

Les vers

Les différents modes de contamination décrits ci-dessus sont parfois comparés aux vers, notamment lorsqu'on parle des espaces partagés, mais ils ont tous la particularité de passer par des étapes intermédiaires avant de contaminer l'ordinateur cible. En effet, on parlera plus facilement de vers pour les propagations qui se font directement d'une machine à une autre, exploitant une faille dans tel ou tel protocole réseau ouvert sur une machine. La plupart des vers exploitent une faille ou un type de protocole spécifique, même si certains ont plusieurs modes de diffusion. Ainsi, le ver Conficker, encore très présent aujourd'hui sur Internet, utilise trois modes de propagation (voir cet article de synthèse par P. Porras et al.): une vulnérabilité d'un des protocoles de communication réseau sous Windows (MS08-067), mais aussi le partage de répertoires sur les réseaux locaux ou encore le partage de supports amovibles. Dans certains cas, ces vers vont exploiter des trous laissés ouverts par d'autres virus informatiques. Enfin, les vers peuvent aussi profiter des plateformes de communication par courrier électronique ou sur les réseaux sociaux (comme le ver Koobface) pour atteindre leurs victimes.

Les plateformes d'exploits

Il s'agit ici d'exploiter des failles dans les différents composants qui servent à afficher des contenus provenant d'Internet, le plus souvent dans les navigateurs (Internet Explorer, Chrome, Firefox, etc.), mais aussi dans les clients de messagerie (Thunderbird, Outlook, etc.) qui affichent le même type de contenus riches. Et il y a plusieurs niveaux d'attaque: directement dans les fonctions du navigateurs, mais aussi dans les extensions les plus courantes qui permettent d'afficher des contenus enrichis (Flash et Java en particulier). Dans certains cas, l'interaction de l'utilisateur est recherchée, pour valider l'installation d'un module complémentaire. Ces plateformes sont hébergées sur des serveurs Web et sont particulièrement recherchées aujourd'hui par les délinquants qui veulent diffuser des logiciels malveillants, parce qu'elles permettent d'atteindre directement le poste de l'utilisateur et se montrent très efficaces avec selon les pays des taux de contamination oscillant autour de 10% des visiteurs. Elles ont des noms guerriers ou en tous cas très commerciaux (Blackhole, Sakura, Sweet orange,... voir la catégorie Plateforme d'exploits sur botnets.fr - @botnets_fr) ; elles sont ainsi un des indicateurs les plus forts de l'évolution de la cybercriminalité vers une véritable activité de services, avec des bannières publicitaires sur les forums où se discutent les marchés illégaux, de véritables services après vente allant jusqu'à rembourser des clients mécontents, et une gestion très avancée des besoins des utilisateurs. Leur démarche est très agressive, comme lorsque le créateur de Blackhole, surnommé Paunch, s'est empressé à la fin du mois d'août d'intégrer la toute dernière vulnérabilité Java ou encore cette semaine avec la sortie d'une version 2 avec toutes sortes de nouvelles fonctionnalités (dont beaucoup ont pour objet de protéger celui qui l'exploite des enquêtes judiciaires ou de la surveillance des chercheurs en sécurité informatique - voir cet article par @Kafeine ou une autre synthèse chez Sophos).

Création de trafic

Exemple de courrier électronique redirigeant vers une plateforme d'exploit en se faisant passer pour une application Facebook (source: Sophos)
Le délinquant qui veut diffuser un logiciel malveillant va donc installer une telle plateforme d'exploit, ou plus vraisemblablement louer les services de groupes qui se sont spécialisés dans leur administration, car en effet il vaut mieux disposer d'un grand nombre de serveurs différents, savoir administrer de façon sécurisée un serveur Web, gérer les mises à jour, etc. Il va ensuite devoir attirer des visiteurs vers la plateforme, sous formes de campagne de spam ou encore en insérant un code particulier dans des pages Web: des bannières publicitaires ou encore des sites Web légitimes, comme évoqué dans cet autre article, pour la diffusion des rançongiciels. Encore ici, ce sont des services criminels qui se sont développés autour de la création de trafic et ils vont louer leurs services à ceux qui veulent créer un botnet. On les appelle parfois traffers. Techniquement, le chargement du code malveillant depuis la plateforme d'exploit est réalisé par l'inclusion d'une fenêtre invisible au sein de la page Web, par des balises de type "iframe" qui ressemblent à ce code:

Directement dans le serveur Web

Et les traffers innovent eux aussi récemment: on a ainsi découvert récemment un module qui s'ajoute dans les serveurs Web de type Apache et injecte dans tout ou partie des pages Web diffusées les balises permettant d'insérer des contenus cachés provenant des plateformes d'exploit. C'est une évolution importante par rapport aux modes de diffusion classique suite à un piratage de serveur Web qui supposent de modifier de nombreux fichiers pour obtenir le même résultat. Ainsi, on pourrait imaginer qu'un serveur mutualisé, utilisé par des centaines de webmestres, intègre automatiquement ces vecteurs d'attaque sans qu'ils ne puissent eux-mêmes voir de modifications dans le code des pages Web ou des scripts PHP ou Javascript qu'ils ont chargé sur le serveur. On pourra lire les articles sur ce module Darkleech d'Unmask parasites, Webmasterworld ou encore Day by day par @it4sec.

Et même directement dans la chaîne de fabrication

L'action récente de l'équipe de lutte contre la cybercriminalité de Microsoft contre le botnet Nitol a permis de mettre en évidence que les logiciels malveillants pourraient parfois être insérés au moment de la fabrication de certains ordinateurs, ici au travers de l'installation de version contrefaites du système d'exploitation Windows. Ce problème n'est pas totalement nouveau, car des erreurs ont parfois été mises en évidence lors du recyclage de disques durs partis en maintenance, ou encore lors du téléchargement de versions contrefaites de systèmes d'exploitation, mais c'est - il me semble - la première fois qu'une diffusion massive de logiciels malveillants est identifiée dans une chaîne de distribution de matériels informatiques.

Comment se protéger ?

Nous ne le répèterons jamais assez : il est important de se tenir informé et d'informer sa famille, ses amis, ses collègues sur les risques. La connaissance de ceux-ci aide à éviter les actions qui favorisent les infections virales. Des forums peuvent vous aider à vous sortir de ces situations (Malekal, CommentCaMarche,...) . Il faut se méfier à tout prix des sources alternatives de diffusion des systèmes d'exploitation ou des logiciels, qu'il s'agisse de contrefaçons ou de plateformes de téléchargement. Bien entendu, ce conseil vaut pour les logiciels commerciaux ou ceux qui sont diffusés sous des licences libres (dans ce dernier cas on recherchera par exemple des miroirs officiels ou de confiance). Tenir à jour son système d'exploitation et tous les logiciels ou modules complémentaires qu'on a installés, particulièrement ceux qui sont les plus ciblés à savoir les outils de navigation Internet ou encore les clients de discussion en ligne. On pourra compléter son navigateur d'extensions de sécurité, comme évoqué sur cette page. Quoi qu'en disent certains enfin, l'installation d'un antivirus est indispensable sur les systèmes d'exploitation grand public. Cet antivirus, gratuit ou payant, doit absolument être maintenu à jour et sera systématiquement utilisé pour vérifier la sécurité d'une clé USB de source extérieure. Enfin, désactivez les fonctions de démarrage automatique (USB ou réseau) si elles ne sont pas indispensables dans votre environnement (voir cet article pour Windows XP, 2000, 2003).

Compléments

• Un article intéressant par Brett Stone-Gross (Dell SecureWorks) sur la façon dont se diffuse le botnet Gameover (une variante de ZeuS)

REF.: 
[Article reproduit depuis le Blog Criminalités Numériques avec l'aimable autorisation d'Eric Freyssinet]

Botnets: Le site Antibot.fr

Membre du réseau de sites d'information européen contre les botnets issu du projet Advanced Cyber Defence Centre (ACDC), Antibot.fr en est la plateforme française. Créé par le CECyF - Centre expert contre la cybercriminalité français, avec son membre Signal Spam, il vise à donner les informations immédiatement utiles pour prévenir la diffusion des botnets, mais aussi aider dans la détection des virus de botnets sur les ordinateurs des victimes et les aider à les nettoyer - en particulier grâce aux outils développés dans le cadre du projet ACDC.
Le projet Advanced Cyber Defence Centre, financé par la Commission européenne dans le cadre du programme ICT PSP (Information and Communication Technologies Policy Support Programme), regroupe des partenaires de 14 pays européens pour mettre en oeuvre une plateforme pilote comprenant: la centralisation de l'information collectée par les partenaires sur les botnets, des centres de supports nationaux comme Antibot.fr, la détection de sites Web infectés et d'anomalies dans les réseaux et l'intégration d'outils de détection et de suppression de virus des machines des utilisateurs finaux.
Le CECyF est une association à but non lucratif fondée en janvier 2014 sur les bases du projet 2CENTRE, financé par la Commission européenne. Il s'agissait de fonder dans chaque pays d'Europe un centre fédérant les efforts des partenaires institutionnels (services d'enquête, justice), académique et industriels contre la cybercriminalité. Le CECyF développe en France avec  ses 25 membres des actions de prévention, formation et recherche et développement contre la cybercriminalité.
Signal-Spam est une association à but non lucratif créée en 2005 pour lutter contre le courrier électronique non sollicité au travers d'actions partenariales avec l'ensemble des acteurs du courrier électronique et sur la base des signalements des internautes. 300.000 signalants sont enregistrés auprès de Signal-Spam et produisent plus de 5 millions de signalements chaque année. Signal-Spam est un des premiers soutiens à avoir rejoint le CECyF, dès mars 2014.
 

Source.:

Comment une firme en sécurité peut s'enrichire facilement ?

 

Comment un gang de pirates a-t-il pu voler plus d’un milliard de mots de passe ?

Un petit groupe de cybercriminels a employé un botnet pour infiltrer des dizaines des milliers de sites web et récupérer une quantité gigantesque de données sensibles. Mais la firme qui a fait cette découverte en profite pour faire un formidable coup de com’ et vendre un service derrière. Bizarre.

La page d'accueil alarmiste de Hold Security, entreprise qui a révélé le piratage… Et qui propose une solution payante pour tenter d’y remédier.

Que vous soyez un expert en informatique ou un technophobe, à partir du moment où vous avez des données quelque part sur le web, vous pouvez être affecté par cette brèche. On ne vous a pas nécessairement volé directement. Vos données ont peut être été subtilisées à des services ou des fournisseurs auxquels vous avez confié des informations personnelles, à votre employeur, même à vos amis ou votre famille  ». Voilà le discours flippant de Hold Security pour décrire la gigantesque collection de données personnelles volées que cette entreprise de sécurité a mis au jour.

Les chiffres présentés donnent en effet le tournis : d’après Hold Security, un gang d’une douzaine de hackers russes baptisé CyberVor aurait donc récupéré pas moins de 4,5 milliards de combinaisons de mots de passe et de noms d’utilisateurs. En omettant les doublons, CyberVor aurait accès à plus d’un milliard de comptes sur des milliers de sites différents, qui seraient rattachés à 500 millions d’adresses e-mail. Le hack du siècle, en somme.  

Pour voler autant d’informations sensibles, CyberVor aurait usé de multiples sources et techniques, mais aurait surtout profité des services d’un botnet (un réseau de PC infectés par un logiciel malveillant) « qui a profité des ordinateurs des victimes pour identifier des vulnérabilités SQL sur les sites qu’ils visitaient. » Les membres de CyberVor auraient de cette manière identifié plus de 400 000 sites web vulnérables, qu’ils ont ensuite attaqué pour voler leur bases de données d’utilisateurs. 

Des détails qui clochent

Sauf qu’il y a quelques petits détails qui clochent dans cette histoire. A commencer par le fait que Hold Security profite de cette annonce hallucinante pour tenter de s’enrichir immédiatement, en misant sur la peur du hacker qu’il a généré. En gros, la firme propose aux entreprises et aux particuliers de se préinscrire à un service –payant même s’il y a un essai gratuit- qui leur permettra notamment de savoir si oui ou non ils sont concernés par cette fuite de données. Et ce n’est pas donné : comptez 120 dollars par mois si vous êtes une entreprise.

D’autre part, Hold Security se refuse à donner le moindre nom de site dont la base a été piratée. Ce peut être compréhensible : son patron Alex Holden l’explique dans le New York Times, il ne souhaite pas révéler le nom des victimes pour des raisons de confidentialité. Il y aurait pourtant des entreprises du Fortune 500 selon lui dans le lot.

Mais comme le fait remarquer Forbes, il semble pour le moins étonnant (mais pas totalement impossible) que de si grandes entreprises se soient fait berner par une injection SQL, une technique très connue des hackers… et des experts en sécurité qui protègent les sites importants de telles attaques.

Des infos de piètre qualité ?

Il y a aussi de nombreuses informations qui manquent, dans la description de Hold Security. Quels botnets ont été utilisés ? Comment le malware a-t-il été inoculé dans la machine des victimes ? Et surtout pourquoi, comme l’indique le New York Times, le gang se contente-t-il d’utiliser pour l’instant leur fabuleuse base de données pour… envoyer du spam sur les réseaux sociaux, alors qu’ils pourraient à priori faire bien plus de mal ?

En réalité, il se peut que les milliards de mots de passe collectés par CyberVor étaient déjà disponibles sur le web underground depuis bien longtemps. Hold Security l’avoue sur son site : « Au départ, le gang a acquis des bases de données d’identifiants sur le marché noir ». Une pratique fort courante chez les cybercriminels, mais qui ne repose pas sur le moindre hack : il suffit de payer. Il est fort possible que ces « collectionneurs » aient au fil du temps accumulé un nombre de données incroyable, mais pas forcément « fraîches » et donc de piètre qualité. Il se peut aussi que la technique de l’audit d’un site par un botnet ait été fructueuse… Sur des sites de moindre envergure, voire des sites perso, mal sécurisés, qui n’ont pas fourni à Cybervor de quoi faire autre chose que du spam sur Twitter.

Quoiqu’il en soit, l’annonce de Hold Security vous donne une excellente excuse pour changer dès aujourd’hui vos mots de passe, ça ne fait jamais de mal !

Source : Hold Security

J-CAT: L'union européenne va se constituer,une cyberforce, le J-CAT, dès le 1er septembre prochain

 

L’Europe prépare une force d’action contre le cybercrime

 

L'union européenne va se constituer d’une cyberforce, le J-CAT, dès le 1er septembre prochain. Différents pays européens vont donc regrouper leurs forces et travailler de concert contre la cybercriminalité.

 

Le britannique Andrew Archibald vient d’être nommé à la tête d’une force d’action anti cybercriminalité par l’Union européenne. Une première. Afin d’endiguer la délinquance informatique qui coûte des milliards de dollars à l’économie mondiale, le J-CAT (Joint Cybercrime Action Task Force) aura pour but de coordonner les enquêtes anti-cybercriminalité mais aussi de lutter contre les botnets, les chevaux de Troie bancaires et les actitivtés des criminels sur le darknet.

Cette initiative va débuter par un test six mois qui regroupera sept Etats membres : La France, les Etats-Unis, la Grande-Bretagne, l’Autriche, la Hollande, l’Allemagne et l’Italie. Les enquêteurs seront installés à La Haye à l’EC3, le Centre Européen pour la Cybercriminalité.

Six mois pour faire ses preuves

De nombreux spécialistes des nouvelles technologies viendront joindre leur force aux équipes des unités anti-cybercriminalité des Etats membres afin de recenser et éradiquer les réseaux de machines zombies (botnets) et de réduire les attaques par déni de service. Europol (police criminelle internationale), Eurojust (unité de coopération judiciaire européenne) ainsi que des chercheurs en cybercriminalité australiens, canadiens et colombiens seront présents pour mener à bien ces enquêtes. Le FBI sera lui aussi de la partie pour prêter main forte aux Européens en amenant tout son savoir-faire en la matière.

L’échange instantané d’informations sensibles, l’utilisation de bases de données tierces et la possibilité de travailler presque sans frontière facilitera grandement cette Task Force dans sa lutte contre la cybercriminalité qui on le sait, n’a pas de frontière.

Cette initiative a donc six mois pour faire ses preuves. En cas de succès, l'UE mettra en place un dispositif permanent.

A lire aussi :

- Le FBI démantèle un énorme botnet piloté par un hacker russe

- Un botnet de 25.000 serveurs Linux infecte 5.000 utilisateurs Windows par jour

 

REF.:

Botnet: Microsoft et les dommages colatéraux

 

Quand Microsoft fait tomber des millions de sites web pour s’attaquer à un botnet

En voulant régler son compte à un malware infectant des millions de PC sous Windows, Microsoft s’est attaqué à No-IP.com… Un service qui était certes utilisé par les cybercriminels qu’il visait, mais également par une foule de clients parfaitement légitimes. Malaise.

 

Quand Microsoft joue au shérif de l’internet, cela peut aller très loin. Il y a deux jours, la firme entreprend sa dixième opération « coup de poing » contre un botnet, ces réseaux de PC zombies qui pourrissent des millions de PC sous Windows. Une pratique désormais rôdée : depuis déjà plusieurs années, Microsoft s’est en effet fait spécialité de ces blitz anti-pirates. En 2010, il avait par exemple fait tomber Rustock, l’un des plus gros pourvoyeurs de spams au monde. Et il y a deux ans, avait porté un sacré coup à Zeus. A chaque fois de façon musclée, grâce à l’appui d’un juge et de la police fédérale.

Des initiatives louables qui ont rendu l’internet (un peu) plus sûr. Mais on peut légitimement se demander si Redmond n’est pas allé beaucoup trop loin dans sa croisade avant-hier.

Tout commence par une plainte, déposée le 19 juin par Microsoft auprès d’une cour du Nevada. Elle incrimine deux individus, responsables selon la firme d’avoir généré les botnets Bladabindi et Jenxcus. Mais aussi une entreprise américaine, Vitalwerks Internet Solutions, éditeur du service de DNS dynamique* No-Ip.org. Ils sont co-accusés d’avoir joué un rôle dans « la création, le contrôle et l’assistance à l’infection de millions d’ordinateurs avec des logiciels malveillants, ce qui a fait du mal à Microsoft, ses clients et le public au sens large. »

Une méthode invasive et des millions de clients sur le carreau

Et le 26 juin, la firme obtient de la cour une injonction temporaire qui lui a permis de prendre le contrôle de 23 noms de domaines gérés par No-IP et largement utilisés par ses clients. Objectif de Microsoft : débusquer les sites web (il estime le nombre à 18 000) utilisés par les cybercriminels, qui utilisaient le service de No-IP pour toujours rester en contact avec les machines qu’ils ont infectées.

Une décision qui ne passe pas, du côté de chez No-Ip, une entreprise pourtant célèbre, qui a pignon sur Web depuis 1998. « C’est étonnament invasif » indique le service, qui se plaint immédiatement des méthodes de Microsoft. « Nous sommes très surpris. Nous avons toujours travaillé étroitement avec d’autres compagnies quand des cas d’activité malveillante nous ont été reportés. Malheureusement, Microsoft ne nous a jamais contacté, ne nous a jamais demandé de bloquer des sous-domaines. »

« Ils nous ont dit qu’ils ne feraient tomber que les mauvais sites et étaient censés rediriger tout le bon trafic à nos utilisateurs, mais ce n’est pas ce qui est arrivé » a commenté Natalie Goguen, directrice marketing de No-Ip sur le site KrebsOnSecurity. «[Leurs serveurs] n’ont pas été capables de gérer nos volumes de trafic. » Résultat : No-Ip s’est écroulé pour l’ensemble de ses clients. Goguen estime que pas moins de 4 millions de sites parfaitement légitimes sont devenus d’un coup inaccessibles, durant plus d’une journée, le service commençant à peine à reprendre de la vigueur.

Microsoft indique qu’une « erreur technique » de son côté a pu provoquer des problèmes de connexion au service. Soit. Mais au delà, il est étonnant de voir Redmond traiter une entreprise telle que No-Ip comme un vulgaire complice de cybercriminel, sans l'avoir -a priori- contactée pour trouver une solution à l'amiable avant cet assaut soudain. No-IP réfléchit d'ailleurs avec ses avocats à la meilleure réponse à apporter à Microsoft. L'affaire est loin d'être réglée... 

 

* Les services de DNS dynamiques sont très pratiques : ils vous permettent de lier l’adresse IP de votre connexion maison (qui change régulièrement chez certains FAI) à un seul nom de domaine. Grâce à eux, même si vous changez d’IP, vous accéderez toujours à votre site avec le même nom de domaine. Ils sont particulièrement utilisés par les utilisateurs de micro-serveurs ou de NAS, par exemple.

 

 

REF.:

Botnet: «botnet ZeroAccess» partiellement démantelé

Symantec a annoncé qu'elle a réussi à faire tomber une partie importante du «botnet ZeroAccess», un réseau d'ordinateurs «zombies» actif depuis 2011.

Il s'agit de l'un des plus grand réseaux de ce genre, ayant infecté plus de 1,9 millions d'ordinateurs et ayant engendré des dépenses annuelles de plusieurs dizaines de millions de dollars.

La compagnie affirme avoir fait tomber plus d'un demi-million de robots (bots), entravant sérieusement le nombre de robots contrôlés par ces pirates.

Plus d'informations sont disponibles sur le blogue de Symantec (en anglais seulement).

REF.:

1,400 Botnets et son logiciel Citadel vole plus de 540 millions $ aux Banques

Photo Bogdan Cristel / Reuters

Piratage informatique

Microsoft et le FBI s'attaquent à un réseau de cybercriminalité

BOSTON - Microsoft et le FBI ont lancé, avec le soutien de plus de 80 pays, une offensive contre l'un des plus importants réseaux informatiques de cybercriminalité au monde, soupçonné d'avoir volé près de 400 millions d'euros (un peu plus de 540 millions de dollars) sur des comptes bancaires à travers le monde.

Aussi sur Canoe.ca: Un outil québécois intercepte efficacement les cybercriminels7 conseils pour éviter les dangers du web Cybersécurité: 7 mythes auxquels tout le monde croit encore

Les réseaux botnetsCitadel ont permis à leurs exploitants de soutirer de l'argent à de nombreux établissements, parmi lesquels American Express, Bank of America, Citigroup, Credit Suisse, PayPal, HSBC, JPMorgan Chase, Royal Bank of Canada et Wells Fargo.

Les botnets sont des réseaux d'ordinateurs, dits «machines zombies», infectés à l'insu de leurs utilisateurs par des logiciels malveillants.

Pilotés par des serveurs distants, il sont utilisés pour envoyer des courriers indésirables (spams), diffuser des virus et commettre des crimes financiers.

Microsoft a annoncé mercredi avoir contribué à arrêter les opérations d'au moins mille botnets utilisant le logiciel Citadel, dont le nombre total est estimé à 1 400.

Le FBI a de son côté déclaré à Reuters qu'il collaborait avec Europol et d'autres polices criminelles à travers le monde pour interpeller les exploitants de Citadel, dont l'identité est encore inconnue, même si l'agence américaine dit en être à un stade «assez avancé" de son enquête.

L'Australie, le Brésil, l'Équateur, l'Allemagne, les Pays-Bas, Hong Kong, l'Islande, l'Inde, l'Indonésie et l'Espagne figurent parmi les pays impliqués dans l'enquête.

Selon Microsoft, le principal responsable de Citadel, connu sous le pseudonyme «Aquabox», habite probablement en Europe de l'Est et coopère avec au moins 81 «éleveurs» qui exploitent les botnets à travers le monde.

Citadel, apparu début 2012 et vendu au moins 1 800 euros (environ 2 400 dollars) sur internet, fonctionne principalement en désactivant les antivirus sur les machines infectées afin de les empêcher de détecter les logiciels malveillants.

Le logiciel est conçu de manière à ne pas attaquer les ordinateurs et les établissements financiers en Ukraine et en Russie, ce qui laisse penser que ses créateurs sont basés dans ces pays et ne souhaitent pas attirer l'attention des forces de l'ordre.

Il s'agit de la première collaboration de ce type entre le FBI et Microsoft, qui a demandé l'aide de l'agence à la fin du mois dernier.


REF.:

A quand les Smartphones Zombie ?, 2011 ? .... Les premiers seront des Samsung ?

Plusieurs Banques pensent a stopper le smartphone de Samsung

Faille critique de sécurité dans la plupart de derniers terminaux Samsung

Sécurité : La vulnérabilité serait présente dans les processeurs Exynos qui équipent la plupart des derniers smartphones du coréen. Elle permet une prise de contrôle voire un blocage du terminal à distance.

Par La rédaction de ZDNet.fr | Lundi 17 Décembre 2012

Dans le monde du mobile, le danger vient la plupart du temps des applications et de la naïveté des utilisateurs. Mais cette fois, la menace se situe à l'intérieur même de l'appareil.

Le célèbre forum XDA-Developpers a en effet mis à jour une faille majeure dans la plupart des derniers terminaux smartphones, faille qui se situe au niveau des processeurs maison, l'Exynos 4210 ou 4412. Les membres du forum cherchaient initialement une nouvelle méthode de rootage.

Best-sellers

Ces derniers sont implémentés par exemple dans les Galaxy SII, Galaxy SIII, Galaxy SIII LTE, Galaxy Note, Galaxy Note II et Galaxy Note 10.1.,ou la Galaxy Tab 2.8 ou Galaxy 10,1 parmi vos utilisateurs dans l'entreprise? Autant dire, tous les best-sellers du géant.

La vulnérabilité permettrait à un attaquant distant, à travers une application dédiée, de prendre le contrôle d'un de ces terminaux pour en modifier le contenu, effacer la mémoire physique, placer un espion, voire le bloquer définitivement.(voir le vol d'identité et numéro de cartes de crédits)

Les ordinateurs Lenovo ou le moins connu Meizu,sont aussi hackés et vos données sont potentiellement compromises aussi. Beaucoup d'entre eux ont également la puce Exynos a 4 processeurs de Samsung. Notez qu'il ne faudra pas longtemps pour que votre appareil soit compromise. J'ai déjà trouvé une vidéo sur YouTube qui explique comment le faire, et comme d'écrire ces lignes, YouTube ne l'avait pas enlevé.

Toujours selon XDA, la faille serait actuellement exploitée. Il s'agit donc encore une fois de réfléchir à deux fois avant de télécharger une application sur un market alternatif par exemple.

Samsung a été alerté et n'a pas confirmé ou démenti l'existence de cette faille. Vu l'importance de la vulnérabilité,un correctif ne devrait pas tarder.

XDA Developers dit qu'il n'a pas contacté Samsung, et moi aussi Ce n'est pas la première fois que les problèmes de sécurité ont frappé Samsung téléphones Android. Donc, garder un oeil surTechRepublic et / ou aNewDomain.net - lorsque nous entendons parler d'un correctif permanent, nous ferons tout notre possible pour que vous être le premier à le savoir. En attendant, vous devriez également consulter le XDA Developers Forum.
Certains spécialiste commence a penser que nous verront apparaître des Smartphone Zombie,controlé  en grappe pour rejoindre les PC Zombie des botnets ,pour la satisfaction des Hackers qui vendront cette bande passante, des nouveaux smartphones LTE(comparativement a du Spam par SMS en 2011).

Sur smartphones, il y a encore peu de botnet qui ont été découvert. En effet, en 2011, un ingénieur Microsoft avait crié au loup à ce sujet, mettant en avant le fait que des botnet séviraient sur les smartphones Android. Quelques jours plus tard, il s’est rétracté. Mais le ver est quand même dans le fruit.

L’intérêt d’un botnet sur smartphones reste limité. En effet, difficile de lancer une attaque DDOS depuis des smartphones. Cette difficulté réside non seulement dans les ressources limitées d’un smartphones – même s’ils sont devenus performants – et dans les connexions WiFi qui peuvent être aléatoires.

Mais les smartphones peuvent alimenter un parc de zombies pour au moins deux buts :

·         L’envoi massif de pourriels ;

·         Abriter des fichiers sensibles ou illicites.

Le premier cas s’est déjà vu. A titre d’exemple, des pourriels ont été envoyés via Yahoo, les téléphones ayant été infectés et les spams étant affichés comme envoyés depuis un smartphone. Je l’ai constaté dans la vague de spams reçus ces derniers temps. Georgia Weidman avait également fait la démonstration en 2011 de la transformation d’un smartphone en botnet, permettant ainsi d’envoyer en masse des SMS.

Pour le second cas, il n’y a pas encore eu de cas. Il s’agirait en l’espèce d’une hypothèse d’école. Mais partant du principe que les utilisateurs de smartphones sont – dans l’ensemble mais pas tous – moins attentifs sur leurs téléphones que sur leurs machines, il pourrait arriver que des fichiers, de taille limitée, puisse être abrités sur des téléphones portables et installés via des applications malveillantes.

Bien que restant pour le moment un cas d’école, cela reste d’autant plus possible que l’on sait que les anti-virus sur smartphones ne sont pas encore capables de tourner sous sandbox et qu’ils ne contentent de vérifier les signatures des différents malwares qu’ils voient passer sur un téléphone portable.

En augmentant considérablement les ressources d’un smartphone afin d’offrir de plus en plus de fonctionnalités, les constructeurs ont accidentellement créé de nouvelles menaces et la frontière entre les machines et les smartphones tend à s’amenuiser. 

ref.:

Socialbots, les nouveaux ennemis de votre vie privée sur Facebook

Facebook a vraiment été largement critiqué depuis son lancement et après sa popularité en raison de problèmes pourraient survenir à l'égard de notre vie privée. Plusieurs bogues et failles de sécurité prises dans le passé que la sonnette d'alarme à ce sujet, et même aujourd'hui il ya des nombreuses options de configuration, il ya encore beaucoup de gens qui découvrent que leurs données sont exposées sur le réseau qui est le plus grand le temps social.

Le problème aujourd'hui n'est pas Facebook , ou du moins pas entièrement. Laissez-moi vous expliquer. Facebook nous fournit les options nécessaires et est suffisamment souple pour configurer un réseau dans lequel nous choisissons ce que de partager avec qui et comment nous le faisons, mais souvent beaucoup de gens sont perdus dans la mer de choix, et ce vraiment pourrait être plus intuitive du réseau social. Bien, si nous avons le compte configuré correctement ou non, il ya un nouveau danger qui a commencé à devenir populaires concernent: Le soi-disant Socialbots .

Ces applications sont conçues pour créer de faux profils ou de profils existants fait et puis essayez à imiter que sont les gens. L'objectif est clair: obtenir des données auprès des gens qu'ils ajoutent ou qui ont déjà été ajoutées. Le contrôle est pratiquement identique à celui d'une personne, d'où la difficulté de les détecter: poster des messages, faire des demandes d'amis et, finalement, d'interagir en tant que membre du réseau social. Ce qui est vraiment inquiétant, c'est que traite de plus en plus Socialbots par les créateurs et les distributeurs essaient de vendre à des entreprises, bien évidemment, afin que ces fins de recueillir des données personnelles très proche de spams .

Un groupe de chercheurs de l'Université de Columbia a mené une étude qui a été critiqué par ses propres Facebook et rejeté comme irréaliste dans cette base de 102 socialbots ont eu accès aux données de 3055 personnes sur un total de 8570 demandes de l'amitié.

Le pourcentage est impressionnant, comme vous pouvez le voir, et dans la plupart des cas, ces robots ont un accès complet aux données pour au moins les premières minutes, assez pour extraire toutes les informations et les données personnelles de la même. Et non seulement cela, mais à travers le réseau des contacts ont été pris avec un total de 46 500 et 14 500 adresses e-mail.

Alors vous savez, à deux reprises avant d'ajouter pensároslo à un inconnu sur Facebook, surtout depuis qu'il ya derrière le bot ne peut pas être aussi bon que les fins de cette étude.

REF.:

R.I.P. Botnet Win32/Rustock, 2006-2011

Microsoft assomme le botnet Rustok plutôt mastoc

En supervisant "l'opération b107", Microsoft est parvenu à faire tomber un réseau de PC zombies qui était capable d'envoyer des milliards de spams par jour.

Le botnet avait transformé 1 million de PC en esclaves des spammeurs à l'insu de leur propriétaire.

Les spammeurs viennent de se prendre une grande claque. Microsoft a en effet annoncé voici quelques heures avoir porté un coup fatal au botnet (1) Rustock : un réseau de PC zombies déjà vieux de plus de quatre ans et qui était encore il y a peu, selon Symantec, la principale source de spam au monde, avec 47,5 % du total de pourriels et plusieurs millions de courriers indésirables envoyés chaque jour.

agrandir la photo

D’après les chiffres de Microsoft, ce sont plus de 1 million de PC contaminés par le malware Rustock qui ont ainsi été « libérés » des griffes des cyber-criminels par cette opération d’importance, conjointement menée par plusieurs divisions de Microsoft, avec l’appui des partenaires de l’industrie, d’universités et des autorités. « L’opération b107 » rappelle d’ailleurs beaucoup une autre opération du même type, b49, menée l’année dernière contre le botnet Waledac.

« Nous avons utilisé une conjonction de mesures techniques et légales afin de rompre la connexion entre la structure de commande et de contrôle du botnet et l’ensemble des machines infectées par le malware, avec pour objectif de stopper la totalité de ce botnet. », commente Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Pour faire tomber Rustock, il a fallu agir de façon coordonnée, afin de couper physiquement et simultanément des serveurs situés dans plusieurs Etats américains et pour certains à l’étranger. L’opération a notamment consisté, avec l’appui des forces fédérales américaines, à saisir des dizaines de disques durs chez cinq hébergeurs situés à Kansas City, à Scranton, à Denver, à Dallas, à Seattle, Chicago et à Colombus. Mais également à collaborer avec la police néerlandaise et le CERT chinois.

« Nous avons fait le nécessaire pour que l’on bloque l’enregistrement de domaines en Chine que le code du malware prévoyait d’utiliser dans le futur pour des opérations de contrôle », indique M. Ourghanlian. Et, à la différence de Waledac, dont le code pointait vers des noms de domaines - qui avaient donc pu être bloqués avec le concours de l’Icann -, Rustock comprenait dans son code 106 adresses IP, plus complexes à neutraliser, pour communiquer avec ceux qui le contrôlaient. D’où cette saisie chez les hébergeurs à qui elles étaient attribuées.

Une plainte pour violation du droit des marques

Cette saisie est le résultat d’une plainte déposée au mois de février par Microsoft contre les opérateurs de ce botnet. « Nous avons porté plainte à différents titres, notamment pour violation du droit des marques, puisque les opérateurs utilisaient les marques Hotmail, Windows ou Microsoft dans leurs courriers indésirables », indique M. Ourghanlian. Les disques durs récupérés sont en cours d’analyse. On espère notamment y trouver des logs, qui pourraient pointer vers les machines infectées. « Il serait alors possible de contacter les FAI afin qu’ils préviennent leurs abonnés et que ces derniers [les] nettoient. »

Grâce à cette opération, Microsoft en est certain, Rustock est hors d’état de nuire, même s’il demeure actif sur les machines : son code a été entièrement désassemblé et toutes les adresses IP vers lesquelles il pointait lui sont désormais interdites. Les contrôleurs du botnet, eux, courent toujours. « Vu la taille de Rustock, les gens qui le contrôlaient sont sûrement expérimentés et bien cachés. Il sera peut-être difficile de les retrouver. Mais au moins, nous avons eu la possibilité de démanteler l’un des plus importants botnets de la planète. C’est déjà ça de gagné pour les internautes », conclut M. Ourghanlian.

le nombre d’envoi de spams a appréciablement reculé dans le monde, particulièrement dans des pays comme la Turquie (-87%), le Vietnam (-22%) et le Brésil (-47%).

En revanche, la France fait mauvaise figure dans ce classement. Selon Cisco, certains pays ont connu une très forte poussée de son volume de spams : +115% (sic). Elle prend ainsi le pas sur d’autres pays européens, comme l’Allemagne, qui affiche un score « honorable » de +10%, ou le Royaume-Uni (+99%).

Ainsi, pour accroître le nombre de spams envoyés, les cyber-criminels n’ont pas hésité à solliciter la bonne qualité des réseaux ADSL européens pour propager rapidement des « pourriels » via des botnets.

Nota: Une opération similaire ,nommée "B49" en 2010 ,par Microsoft pour contrer Waledac.

Le réseau Rustock était considéré comme l'un des plus gros au monde, avec la capacité d'envoyer jusqu'à 30 milliards de pourriels par jour - la plupart pour proposer à la vente des versions contrefaites de médicaments comme le Viagra, prescrit contre les troubles de l'érection, ou pour adresser de fausses annonces de loterie.

Microsoft a travaillé durant plusieurs mois avec le fabricant du Viagra, le laboratoire américain Pfizer et la société de sécurité informatique FireEye pour démanteler ce réseau.

L'enquête a culminé avec l'intervention des autorités, qui ont pu prendre le contrôle de serveurs informatiques localisés dans l'État de Washington : mercredi, la connexion entre ces serveurs et les ordinateurs infectés a été rompue.

(1) Un botnet est un réseau de PC « zombies » infectés par un malware qui permet aux cyber-criminels qui les commandent de les utiliser pour diverses tâches à l’insu de leurs utilisateurs, notamment l’envoi massif de courriers indésirables.

REF.:

Attaques sur les sites web et "botnets" : levons un coin du voile...

Alors que les attaques sur les sites web défraient régulièrement la chronique, on sait peu de choses sur les moyens employés et les motivations de ceux qui déploient les « botnets » utilisés pour ces attaques. Un botnet, c'est un réseaux d'ordinateurs, infectés à l'insu de leur propriétaire par un logiciel malveillant - ou malware - disséminé par un « botnet master », le créateur et administrateur du botnet. Cet individu sans scrupules peut ensuite utiliser le réseau de PC « zombies » ainsi « détournés » à son propre profit, par exemple pour lancer des opérations de « phishing » et détourner de l'argent de compte bancaires. Mais, comme on va le voir, il peut aussi « louer son botnet » à des « clients » qui vont, par exemple, le mettre en œuvre pour mener des attaques en déni de service.

Dialogue avec un Botnet Master

Le 16 août, un chercheur du Cisco Security Intelligence Operations a publié un très intéressant article (en anglais) titré « Infiltrating a Botnet » . Le chercheur y indique comment il a pu entrer en contact avec un « botnet master » et discuter avec lui, en se faisant passer pour un « confrère ». Il a ainsi réussi à lui soutirer d'intéressantes informations, qui donnent une idée de la dimension du phénomène, qui peut être très lucratif :

• ce « botnet master » est à la tête d'un réseau d'environ 10 000 PC infectés, qu'il loue au prix de 800 $ pour une opération :

• il déclare connaître un « collègue » qui, utilisant son botnet pour des opérations de phishing, gagne entre 5000 et 10 000 $ par semaine :

On comprend mieux, dès lors, pourquoi les infrastructures Internet sont si souvent victimes de ces botnet...

Cartographie des attaques sur Internet

Cisco met à la disposition de la communauté une cartographie synthétique des attaques en cours et des menaces sur l'intégrité ds architectures Internet, qu'il s'agisse de spam, de virus ou de malwares

Ce tableau de bord est disponible à l'adresse www.senderbase.org.

Interoute, un opérateur de réseau pan-européen, a développé un baromètre Internet qui cartographie et identifie les adresses sources et les adresses cibles lors d'attaques malveillantes (par exemple DDOS...) ainsi que le type de menace.

Cet outil graphique est mis à la disposition de la communauté, gracieusement, à l'adresse barometer.interoute.com ainsi que sous la forme d'un widget téléchargeable ici.

[ Complément d'information - le 25 août 2009 à 14 h ]

Symantec, l'éditeur de logiciels de sécurité,fournit également un intéressant tableau de bord à l'adresse www.messagelabs.com/intelligence.

Il apparaît que le spam représente environ 90% du trafic e-mail, et que les trois botnets les plus actifs envoient 21 milliards de spams par jour soit 15 à 20% du volume total de spam qui transite sur l'Internet !

N'hésitez pas à utiliser ces outils.REF.:

Attaque par BotNet toujours d'actualité

Ont appel ça une attaque par BotNet;cela a pour effet de rendre votre votre PC Zombie.

Les crakers de l’Europe de l’Est, c’est-à-dire de la Russie, de l’Ukraine et des pays baltes,s'amusent a faire de l'argent avec nos PC zombisés. Ils louent pour aussi peu que 100 $ l’heure(un Botnet de 10,000 a 30,000 PC) pour une émission de pourriels ou quelques milliers de dollars pour une attaque DoS. Le «botnet» devient ainsi une arme moderne utilisée par des hommes de main qui se spécialisent dans la cybercriminalité. Les ordis mis en « botnet » sont infestés par des RAT (Remote Access Trojan), des chevaux de Troie (virus porteur) très discrets qui sommeillent en l’attente d’un ordre de mission. Et a en croire le Centre de la sécurité des télécommunications, un organisme ultrasecret du gouvernement chargé de l'espionnage électronique. Le réseau étendu de la Défense(RED)qui est relier a l'internet,a été attaqué par des hackers a 160 reprises en 2003,dont 35 tentatives d'infection par un virus, un ver informatique ou un programme non sollicité....Huuuummmmmmmmça tu été Zombisé pendant un certain temps ?....ont le dit pas dans l'article du Matinternet.
Le problême est mondiale.Voyez z'y


Vos pc zombie ont servit aux Hackers Russes pour des attaques DDOS ,peut être même sur Google.com qui ont eut des problêmes par le passé.
Les hackers menaçaient les sociétés d'une attaque de «déni de service», une technique consistant à rendre un site internet inaccessible en l'inondant de requêtes: le serveur web ainsi visé finit par s'effondrer sous la charge. Les pirates envoyaient alors des courriels aux entreprises victimes, exigeant une forte somme pour cesser leurs attaques. Les suspects risquent jusqu'à 15 ans de prison s'ils sont reconnus coupables.


Par exemple, au 29 août 2008, le Malware Menace ISR
center,avait détecté 29 373 attaques botnet au cours de la précédentepériode de 456 jours, soit une moyenne de plus de 64 attaques chaque jour !

Souvant un botnet tel que Zeus ici ,est publié sur gethub:
c55a9fa on 23 Feb 2014

Visgean copied content of readme.txt

 

This is version 2.0.8.9 downloaded from

http://www.mdl4.com/2011/05/download-zeus-source-code/

This repository doesn´t contain my code I have uploaded it to GitHub to simplify the process of getting/analysing the code.

Third paragraph:

Setting up the bot

Step by step installation:

1) From your existing package assembly, run 'local \ cp.exe', is a builder and bot file konifguratsii

2) Open the 'Builder'. Click 'Browse' and select the configuration file there, the name of MDM 'local \ config.txt'.

3) Click 'Edit config', as a result should start a text editor. Migrate the file like this:

First:

The source configuration file is a text file encoding in Windows, and is needed to create the final configuration file (which is a binary file to download bot) and the bot. In your package assembly sample configuration file must be located in the folder 'local' and be named config.txt. You can open the file in a text editor such as 'Notepad' (Notepad).

The file consists of records, one record per line. Recording is composed of parameters, the first parameter is the name commonly write (but not always, such as in cases when there is any data transfer, no name). The parameters are separated by spaces, if the parameter is found in the space, or a tab, this option must be enclosed in double quotes ("), the same rule applies to the name. Unlimited number of parameters, and if the record has a name, it read insensitive

Examples:

username Kot Matroskin

recording name - username, option 1 - Kot, option 2 - Matroskin.

username "James" Bond "

recording name - username, option 1 - James, option 2 - Bond.

username "Volodia Putin"

recording name - username, option 1 - Volodia Putin.

"Url" "http://example.com/" index.php

recording name - url, option 1 - http://example.com/, option 2 - index.php

Also there are special names of entries that allow you to share the configuration file you want as far as sub-sections, which can contain within itself any number of sub-sections and records. They are called sections and consist of a name and a parameter determining the entry section name (case is also not taken into account in this parameter), the end of the same section, indicated by entering end. The documentation, nesting record in relation to sub-sections will be designated by ->. That is, Entries named username owned section userdata, will be designated as the userdata-> username, etc.

Examples:

entry "userdata"

fname "petia"

lname "lolkin"

end

entry compdata

name "pcvasya"

entry devices - the contents of this section, an example of when the record does not have a name, there is a listing of devices.

cdrom

"Hdd"

fdd

end

end

Also, you can insert comments, comments must be in a separate line, and start with a ';'. If it turns out that the first parameter in the record, too, begins with a ';', this parameter must be enclosed in quotation marks.

Examples:

; Hello.I think that I'm hero!

; How are you /-it does not record

"; I love you" - and here it is already recording.

Second:

Configuration File Entries

The file consists of two sections StaticConfig and DynamicConfig.

StaticConfig, the values ​​prescribed in this section directly to the bot file, ie in exe, and define the basic behavior of the bot on a victim's computer.

Depending on your build, some details may not have value for you, all the significant parameters prescribed in the example that came with the package assembly.

botnet [string] - specifies the name of a botnet, which owns the boat.

string - the name of a botnet to 4 characters, or 0 - for the default value.

Recommended value: botnet 0

timer_config [number1] [number2] - determines the intervals through which to receive updatings configuration file.

number1 - Specifies the time in minutes through which to update the configuration file, if successful boot last time.

number2 - Specifies the time in minutes through which to update the configuration file, in case of an error when loading the previous time.

Recommended value: timer_config 60 5

timer_logs [number1] [number1] - determines the intervals through which to send the accumulated logs to the server.

number1 - Specifies the time in minutes through which to send the logs, in cases successfully sent last time.

number2 - Specifies the time in minutes through which to send the logs, in case of an error in sending previous time.

Recommended value: timer_logs February 2

timer_stats [number1] [number2] - determines the intervals through which to send statistics to the server. (Includes inastally, finding in the online, open ports, services, socks, screenshots, etc.)

number1 - Specifies the time in minutes through which to send the statistics, in cases successfully sent last time.

number2 - Specifies the time in minutes through which to send the statistics, in the case of an error in sending previous times.

Recommended value: timer_logs 20 10

url_config [url] - URL that is located on the main configuration file, this is the most important parametor if the infection kompyuetra victim on a URL will not be available this configuration, the infection does not make sense.

url_compip [url] [number] - specifies the site where you can check your IP, is used to determine the NAT.

url - specifies the URL of the web

number - Specifies the kolichetsvo bytes that enough to swing from the site to see in the downloaded your IP.

blacklist_languages ​​[number1] [number2] ... [chisloX] - specifies a list of language codes Windows, for which the bot will always spyashem is in Safe Mode, ie it will not send the logs and statistics, but will appeal to the configuration file.

chisloX - language code, for example RU - 1049, EN - 1033.

DynamicConfig, the values ​​prescribed in this section, the final configuration file.

Depending on your build, some details may not have value for you, all the significant parameters prescribed in the example that came with the package assembly.

url_loader [url] - specifies the URL, which you can download the update bot. This option is relevant only if you are running the botnet new version of the bot and prescribed configuration of him for the same URL, as the old configuration, in which case the old version of the bot will start to upgrade by downloading the file specified in this record.

url_server [url] - specifies the URL, which will be sent to statistics, files, logs, etc. from the computers of victims.

file_webinjects - defines a local file, which is a list of web izhektov. Description of the format of this file can be found here

Subsection AdvancedConfigs - enumerates a list of the URL, which you can download a backup configuration file, in the cases of the inaccessibility of the main file. It is recommended to fill this subsection 1-3 URL, which will save the botnet from death in cases of unavailability of the main configuration file, and the result is easy to transfer it to another server. Required files exist on this URL is not required, then the main thing to be able to place the files on this URL. Files should be mixed there only after the discovery of the main configuration file is not available, but if you ever want to have the files on this URL, you should update them all in sync with the main configuration file. The backup files can not not be distinguished from the core, and are created in the same way.

Example:

entry "AdvancedConfigs"

"Http://url1/cdffd.ccc"

"Http://url2/cdf34.dc"

end

Subsection WebFilters - has two purposes:

enumerates a list of masks URL, which should be written down or removed from the log, regardless of the type of request (GET, POST). If the first character of the mask is a '!', Then the coincidence of the URL with this mask, the entry in the log will not be produced (eg mask! "*" Will ban entry of URL, except those listed before it).

The mask URL, at the beginning of treatment which will sozdavatsya screenshots of pressing the left mouse button (useful for bypassing the virtual keyboard). This mask URL should begin with the character '@'.

Note: URL listed in this section, the value is ignored StaticConfig.ignore_http

Example:

entry "WebFilters"

, The log will be written by all the URL matching with this mask.

"Http://www.google.com/ *"

, The log will be written all the URL matching with this mask.

"! Http:// * yahoo.com / *"

And after the opening of this page will be created in the screenshots click the left mouse button.

"@ Http://www.rambler.ru/"

end

Subsection WebFakes - enumerates a list of transparent URL-redirects (fake) sites, a detailed description of this topic can be found here

Subsection TanGrabber - determine the rules for TAN-grabber, a detailed description of this topic can be found here

Subsection DnsMap - DNS list of changes to be made in the file% system32% \ drivers \ etc \ hosts.

Recording format: [IP] [domain].

IP - the new IP domain.

domain - the domain name for which changes IP. If the domain name begins with a '!', This domain will have Dalen from the file, of course if it is found there. The value of IP and can be ignored by anyone.

Example:

entry "dnsmap"

127.0.0.1 microsoft.com

192.168.0.1 google.com

0.0.0.0! Yahoo.com

end

Third:)

Then save the file.

== END of original Readme ====

À quoi sert Zeus en pratique ?

Il ne sert en théorie qu’à une seule chose : piquer vos numéros de cartes bancaires ou retirer directement de l’argent depuis votre compte.

Mais en pratique, il était truffé de fonctionnalités additionnelles assez cool pour les pirates. Une fois infecté, votre ordinateur faisait partie ce qu’on appelle un botnet, c’est-à-dire une flotte d’ordinateurs infectés et complètement sous l’emprise d’un pirate.

Un pirate pouvait donc :

• Recevoir tout ce qui était tapé au clavier de l’ordinateur de la victime ;
• Prendre des captures d’écran à intervalle de temps régulier ;
• Récupérer toutes les données présentes sur l’ordinateur ;
• Utiliser l’ordinateur vérolé pour lancer des attaques ou envoyer du spam (on y reviendra), et propager un peu plus le virus.

Tout ça a été découvert après coup, mais ce sont surtout les numéros de cartes bancaires qui intéressaient les maîtres de Zeus. Le reste, c’est soit du gadget, soit un moyen détourné pour obtenir plus de cash.

 

REF.: