Hacking : 17000 PC Zombie grace au ver rootkit AIM
Par
La rédaction La rédaction
| Publié le 21/11/2005 à 11:14
Source : Présence PC | Mots-clés : AIM, rootkit
Source : Présence PC | Mots-clés : AIM, rootkit
Syndication :
Identifié le 28 octobre dernier, peu avant Halloween, "Oscarbot B" ou "Doyorg" est un ver dit "rootkit" (lockx.exe) se propageant auprès des utilisateurs AIM. Le 17 Novembre dernier, FaceTime Communications, une société spécialisée dans la sécurité informatique, indiquait qu'un groupe de "hackers" aurait pris le contrôle de plus de 17000 ordinateurs, grâce à ce ver, dans le monde.
Une fois le PC infecté, les pirates ont accès aux données personnelles qu'il contient et peuvent en prendre le contrôle, le transformant en PC Zombie, via le protocole IRC (Internet Relay Chat), pour former un réseau de ces drôles de bêtes dont tout le monde parle depuis quelques temps.
Diagnostique de l'infection
Pour se propager, le ver a infecté un PC, transformé alors en PC Zombie, munit du logiciel de Messagerie Instantanée (IM) d'AOL inc., AIM (AOL Instant Messenger). Il a ensuite envoyé un message à tous les contacts AIM enregistrés sur ce PC composé de ces quelques mots : "Hey Check this out" ("Hey, regarde ça !") avec un lien qui conduit sur site possédant un Cheval de Troie (spyware). Les utilisateurs qui ont cliqué sur le lien ont alors vu leur ordinateur infecté par le spyware se trouvant sur ce site, permettant l'intrusion du ver à son tour. Les contacts de ces mêmes utilisateurs ont alors reçu le même message menant au même site Internet. Lorsque le ver est sur le PC, il ouvre un accès IRC permettant alors aux pirates d'en prendre le contrôle.
Il est donc conseillé de mettre à jour son antivirus et de ne pas cliquer sur les liens des messages en anglais ou qui vous paraissent suspects. Les mêmes conseils que pour les mails que vous pourriez recevoir en somme.
Le piratage par les pirates...
FaceTime Communications a identifié les "hackers", à l'origine du ver et de la prise de contrôle des PC Zombie, comme étant originaires du Moyen-Orient. utilisant le réseau BitTorrent, ils utiliseraient des spywares pour infecter les ordinateurs et auraient pu prendre le contrôle d'un serveur. Ce serveur aurait alors permis d'infecter plus de 17000 PC, les transofrmant en PC Zombie. Si d'autres serveurs sont infectés, on peut imaginer qu'il y aura également plusieurs dixaines de milliers de PC qui le seront à leur tour.
Selon FaceTime Communications, le danger est bien réel, et cela est inquétant.
Sources : NetEconomie
Une fois le PC infecté, les pirates ont accès aux données personnelles qu'il contient et peuvent en prendre le contrôle, le transformant en PC Zombie, via le protocole IRC (Internet Relay Chat), pour former un réseau de ces drôles de bêtes dont tout le monde parle depuis quelques temps.
Diagnostique de l'infection
Pour se propager, le ver a infecté un PC, transformé alors en PC Zombie, munit du logiciel de Messagerie Instantanée (IM) d'AOL inc., AIM (AOL Instant Messenger). Il a ensuite envoyé un message à tous les contacts AIM enregistrés sur ce PC composé de ces quelques mots : "Hey Check this out" ("Hey, regarde ça !") avec un lien qui conduit sur site possédant un Cheval de Troie (spyware). Les utilisateurs qui ont cliqué sur le lien ont alors vu leur ordinateur infecté par le spyware se trouvant sur ce site, permettant l'intrusion du ver à son tour. Les contacts de ces mêmes utilisateurs ont alors reçu le même message menant au même site Internet. Lorsque le ver est sur le PC, il ouvre un accès IRC permettant alors aux pirates d'en prendre le contrôle.
Il est donc conseillé de mettre à jour son antivirus et de ne pas cliquer sur les liens des messages en anglais ou qui vous paraissent suspects. Les mêmes conseils que pour les mails que vous pourriez recevoir en somme.
Le piratage par les pirates...
FaceTime Communications a identifié les "hackers", à l'origine du ver et de la prise de contrôle des PC Zombie, comme étant originaires du Moyen-Orient. utilisant le réseau BitTorrent, ils utiliseraient des spywares pour infecter les ordinateurs et auraient pu prendre le contrôle d'un serveur. Ce serveur aurait alors permis d'infecter plus de 17000 PC, les transofrmant en PC Zombie. Si d'autres serveurs sont infectés, on peut imaginer qu'il y aura également plusieurs dixaines de milliers de PC qui le seront à leur tour.
Selon FaceTime Communications, le danger est bien réel, et cela est inquétant.
Sources : NetEconomie
-
Actualité précédente
Une vulnérabilité découverte dans iTunes -
Actualité suivante
Test ATI All-In-Wonder Radeon X1800 XL
Discussions en cours sur le forum
- Hacking : 17000 PC Zombie grace au ver rootkit AIM [Les news]
- Probleme de page cid qui s'ouvre seule [Sécurité - Virus]
- SOS Virus trojan gen other SVP aidez_moi mi comprend pas!! [Sécurité - Virus]
- PC très lent et pub [Sécurité - Virus]
- CID [Sécurité - Virus]
Posez votre question sur ce sujet à la communauté !
La faille réside-t-elle au niveau des serveurs, ou bien dans le client officiel ? Dans ce cas, quel est l'impact sur les autres clients ?
Alors, le ver en lui-même (W32/Oscabot-N ou Oscabot-E) exploite une faille dans AIM, le client officiel d'AOL, et envoi, via ce client, un lien aux contacts AIM qui mène à un site muni d'un spyware. Ce spyware va permettre d'ouvrir une porte dérobée sur l'ordinateur, via le protocole IRC, pour faire rentrer le ver et permettre au pirate de prendre le controle du PC.
Donc l'infection se fait de client à client en quelque sorte.
Trouvé sur FaceTime.com
Mais concernant les clients tiers, je n'ai rien trouvé du tout.
EDIT : en me relisant, je me suis apperçue que j'ai du faire une erreur d'interprétation, ou que j'ai mal expliqué, concernant le serveur infecté dont il est question. Le serveur infecté dont il est question serait un serveur IRC vers lequel l'acces IRC est ouvert par le spyware (pour l'infection par le ver). Mais ce que j'ai trouvé à ce sujet est très peu explicite. Ca pourrait aussi être le serveur du site web vers lequel renvoi le lien dans les messages... (ce qui est moins probable)
Effectivement, le passage sur "les serveurs" n'est pas très explicite.
Le passage que j'ai trouvé dans le site securitypipeline (lui-même pompé sur TechWeb News lui-même ...) à l'air de dire qu'en fait il s'agit de plusieurs serveurs, mais que ceux-ci ont été piratés par les pirates (... je sais) afin de diffuser le ver. Ce ne sont donc pas les vers qui les auraient infectés.
D'autres "rumeurs", toujours sur le même site, semblent dire les clients GAIM et trillian ne sont pas concernés ... ça vaut ce que ça vaut.
Par contre je ne comprends pas, par ce que sur le site, l'article parlant de "Oscarbot" (pour McAfee) and "Doyorg" (pour symantec) est daté du 9 mai 2005.
Le virus de ton article Aurélie ne serait-il pas plutôt "Sdbot.add" qui est une variante du 1er avec en plus un malware pour la prise de contrôle?
Hmm... Effectivement. Je me suis trompée semble-t-il dans les noms des vers.
Je crois que c'est ton premier arcticle aurélie ...
Ca ce voit =) c'est pas serieux quand même de poster des choses fausses sur un site aussi sérieux qu'infos du net ! ^^ (> <)
Prend exemple sur Onigri (ou nico, comme tu veut...)
Euh... s'pas du tout son 1er article hein !
C'est pas vraiment on premier mais bref...
En fait les informations que j'ai trouvé pour poster cette news étaient très dispersées et très peu explicites. Ne serait-ce que pour cette histoire de serveurs infecté. On en a un peu discuter avec Lissyx, apparament le serveur en question est celui qui envoi le ver sur les PC, donc un serveur HTTP. Quand j'ai trouvé l'info, on ne disait pas rien de plus que ce que j'ai écris "un seul serveur infecté a permis d'infecter 17000 PC". A partir de là, j'ai du chercher pour trouver d'autres infos. Mais rien de concret ne s'est présenté à moi.
Concernant le nom du virus, il y a un peu de tout et de n'importe quoi qui circule. Un coup c'est oscabot, un coup c'est sdbot. Cette histoire de virus sur aim a été révélée la semaine dernière, alors qu'elle existe depuis quelques mois... Et quand j'ai recherché des news, on ne parlait pas de variante d'oscabot mais d'un ver sur aim.
Partant de là, effectivement j'ai été trop vite dans mes conclusions pour l'article. Mais ca prouve qu'au final, il vaut mieux vérifier 50 fois les sources, plutôt que vérifier 49 fois. Enfin, ça ne change rien, il ne faut pas cliquer sur les liens suspects. Au final il n'y a que la forme qui est en partie erronée. Le fond reste juste.
Je me souviens d'un article sur le wi-fi où un commentaire de Lyssix était très cru ("de la merde en barre"...) car l'article était approximatif. C'est le cas ici également et bizarrement pas de réaction de la même sorte.
Bon t'es pardonnée car c'est la première fois sur tous les articles postés.
Se pose tout de même la question de savoir si un article doit être posté quand les éléments ne sont pas tous sûrs à 100%. Les personnes qui valident ont-elles une check-list ou quelquechose du genre ?
Si vous aussi, vous voulez êtres infectés par ce ver, vous pouvez le télécharger ICI. :-D :-D :-D
Lol, sinon, il faudrait peut-être créer une sorte de jauge de fiabilité, un peu comme dans wikipédia, bien que je ne sache pas trop encore comment marche ce site... :-?
@Twiggy38 : Et tu te rappelles de qui était la news ? Et est-ce que tu aurais un lien pour celle-ci, ça m'intéresse ? Merci ! :-)
Vous êtes un peu vache ave Aurélie je trouve, mon post n'avait pas pour but la critique mais de compléter avec les infos trouvées sur le net ... qui ne sont pas forcement plus juste ... (sacré internet).
Et le fond de l'histoire n'était pas tellement les détails que j'ai complété mais les 17000 PC zombie et ça c'est une info récente.
Oui c'est un article dont le titre est "Internet : Nouvelles normes Wi-Fi en perspective", il est paru le 13/10/2005 et a été écrit par isatis39871.
Et on est pas vâche avec Aurélie mais certaines réactions d'admins ou de modérateurs du site sont exagérées alors qu'un utilisateur normal ce serait pris un avertissement.
Je ne vois pas pourquoi nous devrions nous excuser lorsque nous dépassons les bornes alors que j'ai rarement vu de modérateur qui s'excuse.