Pour gérer vos consentements :
Categories: Cloud

InfoSecurity 2007 : la menace Storm Worm décryptée par Kaspersky

Le 13 juin 2007, le FBI révèle par voie de communiqué avoir découvert plus d’un million de PC zombies. Autant de machines faisant parti d’un réseau contrôlé à distance par des pirates (un « botnet »). Surpris par cette annonce, Marc Blanchard, chercheur au laboratoire de Kaspersky, se lance dans une enquête pour comprendre comment un tel botnet a pu se créer aussi rapidement. Il va alors découvrir une nouvelle génération de technologies qui caractérisent désormais les malwares. C’est la génération des Storm Bot qui se propagent notamment par le biais des sites web.

« Les Storm Bot ne sont pas des vers très émergents comme Sasser ou Blaster qui ont envahi la planète en quelques heures« , commente le chercheur rencontré à l’occasion du salon InfoSecurity France, « un Storm Worm va infecter mille à deux milles machines« . Un taux de contamination ridicule à l’échelle du réseau mondial qui lui offre une discrétion efficace aux yeux laboratoires antivirus. Sauf que l’agent malveillant effectue des re-contaminations. « Ces deux milles machines infectées vont à leur tour infecter deux milles autres PC et ainsi de suite, mais pas avec le même code« . Une stratégie qui lui permet de conserver sa discrétion tout en assurant sa propagation exponentielle.

La discrétion reste de mise côté machine hôte. Contrairement aux vers d’ancienne génération qui occupent 100 % des ressources machine lors de leur implémentation (au risque d’attirer l’attention de l’utilisateur), la génération Storm Bot « est plus intelligente« , constate Marc Blanchard. « Le ver analyse dans un premier temps les ressources processeur de la machine et se contente d’en exploiter les 2/3 de sa puissance. » Soit environ 40 % d’occupation du processeur, ce qui laisse une entière liberté de mouvement de l’utilisateur évitant ainsi de lui mettre la puce à l’oreille.

Deux fois la puissance d’un Cray

Le plus redoutable est la puissance dégagée par ce type de botnet. Selon Marc Blanchard, 50 000 PC zombies équivalent à 10 % de la puissance d’un Cray XT, l’un des supercalculateur les plus puissants du monde après Blue Gene d’IBM. « Un million de PC zombie revient à 2 fois la puissance d’un Cray XT. » Une puissance exploitée non pas au profit de la recherche contre la myopathie hélas mais pour transformer les machines victimes en serveur de spam de web et de blogs. « Des sites et des blogs qui vont être indexés par Google et attirer du trafic« , alerte Marc Blanchard.

Des sites web vecteurs d’infection. « Du jour au lendemain, le site que vous avez l’habitude de visiter peut devenir contaminant. » En effet, par des opérations de defacing (remplacement d’une page web d’un site), les pirates injectent du script (Javascript, PHP, VBscript…) dans la page Web de manière transparente ou bien créent une iFrame qui télécharge du code infectieux, toujours de manière invisible pour l’internaute. S’ensuit la neutralisation du pare-feu logiciel et l’ouverture d’une porte dérobée (backdoor) qui permettra au pirate d’installer ce que bon lui semble et prendre le contrôle distant de la machine.

Page: 1 2

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago