Publié le 06-05-2004 dans le thème A RANGER !

Pays : International - Auteur : Damien Bancal

Pub : CA Anti-Spyware 2007 - Les logiciels espions sont notre cible avant que vous ne deveniez la leur!

Le virus IRC sont encore plus malin, plus rapide et plus destructeur. Les créateurs de ces virus constituent de véritable armées de robots prés a attaquer n'importe quel domaine. ZATAZ magazine a mené son enquête sur ces virus à la mode. (Anac)

Nid à virii
Le premier virus détecté utilisant le protocol IRC fût "script.ini", découvert en avril 1998, il consistait en une macrocommande qui, profitant d'une option de réception automatique de fichiers, se propageait auprès des utilisateurs du même salon que l'usager contaminé. Une fois installé, le cheval de Troie donnait accès à l'auteur qui pouvait ainsi prendre le contrôle de l'ordinateur de sa victime… et d'espionner ses conversations privées. Une mise à jour de mIRC va corriger le problème. Depuis ce premier vers, les nouvelles versions ne cessent plus. Pour exemple amusant, récemment, nous avons eu affaire, après le ver Lady Di, Kournikova, Jennifer Lopez, ... au worm Britney Spears. Celui-ci utilisait le protocol IRC pour se propager.

Sa technique était de diffuser un lien sous entendant une photo de la chanteuse nue sur des canaux publique. Après avoir cliqué sur le lien, un executable était alors téléchargé et exécuté, via Internet Explorer, sans même que l'usager ait son mot a dire. Classique, une fois l'executable installé sur le système, l'adresse de téléchargement du virus était rediffusé.. Un faux liens qui n'affichait en fait pas une image, mais lançait un script pour installé le trojan.

Le virus va se reprendre tellement rapidement, que le serveur de diffusion du virus affichait un "bandwidth exceeded" soit "Utilisation de la bande passante excédée" au bout de quelques heures de mise en fonction. 12 heures plus tard, les autorités s'était chargée de faire taire le compte qui hébergé le virus.

Agobot et compagnie
Dans la famille des virus IRC méchant je voudrais AgoBot, digne des pire scénario de film d'horreur, celui ci a environ une quarantaine de variante ! A la différence des précédents virus, AgoBot se propage via la faille RPC DCOM (la même que blaster). Une fois la cible contaminée, AgoBot se copie sur des partages réseau avec des mots de passe triviaux et cherche d'autre cible en scannant des ranges d'ordinateurs. Comme je le disais, ce virus est diffèrent car il n'utilise pas IRC pour se propager mais pour être contrôlé. Le trojan rejoint un serveur puis un canal secret ou l'auteur de ce virus peut prendre contrôle de votre ordinateur. L'avantage de ce principe est qu'il peut commander les bots depuis les ordinateurs d'un college, d'un cybercafés ou même de chez lui derrière plusieurs proxy avec un faux pseudo. L'auteur devient alors plus difficile à cibler. Mais armé d'un simple debugger, il est facile de retrouvé le serveur et le canal secret de l'auteur. Méthode que nous avons utilisé pour mettre la main sur le serveur utilisé par AgoBot.

Certain canaux secret peuvent contenir des milliers de bots ! Quelles sont leurs but ? ça dépend des auteurs, certains s'en serviront pour le stockage de warez (Divx, Mp3, ..) ou d'autre pour des DDoS (Déni de Service Distribué), c'est à dire utilisation de la connexion de chaque bots pour lancer une attaque simultanée à l'encontre d'une cible précise.

Actuellement, un virus du nom de "fyle" se propage de la même manière le virus Britney Spears sauf qu'ici il communique un message privé a chaque connecté, de chaque salon d'un serveur, et utilise son propre client IRC! Un exemple de message envoyé : " Come watch me on my webcam and chat /w me :-) http://195.252.80.17:1061/me.mpg ".

Concours Coca Cola 2008

Vous venez de gagner un lot de 32.000 euros via un concours organisé par Coca-Cola. Une arnaque sans sucre.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Un nouveau ver s'attaque aux réseaux d´entreprise

Une alerte concernant les nouvelles versions du ver Downadup. Ce ver infecte les postes de travail et serveurs Windows.

Espionnage informatique effectué par la police

Le département britannique de l´Intérieur annonce préparer un plan qui permettra à la police d´infiltrer et espionner les ordinateurs personnels de l´ensemble des citoyens.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

La justice Chinoise s´attaque aux contrefacteurs

La Chine a rendu public huit importants cas de réseaux de contrefacteurs de films, logiciels et livres.

L´actualité juridique du mois de décembre

Comme il est de tradition sur ZATAZ depuis 13 ans, voici les actualités mensuelles de Maître Murielle Cahen, avocate spécialisée dans les NTIC.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Virus dans l'auto

Le service en charge des permis de conduire et cartes grises bloqué durant une semaine à cause d'un virus.

Libertad !

Les disques durs hébergeant une vingtaine de sites Indymedia rendus.

Savez-vous planter des choux ?

Le réseau bancaire online Paypal en panne durant cinq jours.

Spy Act

La chasse aux logiciels espions est ouverte. mais qu'elle sera son efficacité ?

2 + 1 = spy

Un modèle mathématique pour surveiller les conversations dans les forums et autres chans IRC.

The winner is ...

Le ministère de la sécurité publique récompense les internautes qui ont balancé les webmasters de sites pornos.

Poisson d'eau douce

Des pirates Russes et Estoniens jugés pour avoir lancé une arnaque par mel de taille XXL.

Deux flics amis, amis !

L'Inde et les Etats-Unis s'unissent dans la lutte contre le piratage et les virus.

Réagissez à ce contenu