Hacking : 17000 PC Zombie grace au ver rootkit AIM

Identifié le 28 octobre dernier, peu avant Halloween, "Oscarbot B" ou "Doyorg" est un ver dit "rootkit" (lockx.exe) se propageant auprès des utilisateurs AIM. Le 17 Novembre dernier, FaceTime Communications, une société spécialisée dans la sécurité informatique, indiquait qu'un groupe de "hackers" aurait pris le contrôle de plus de 17000 ordinateurs, grâce à ce ver, dans le monde.

Une fois le PC infecté, les pirates ont accès aux données personnelles qu'il contient et peuvent en prendre le contrôle, le transformant en PC Zombie, via le protocole IRC (Internet Relay Chat), pour former un réseau de ces drôles de bêtes dont tout le monde parle depuis quelques temps.

Diagnostique de l'infection

Pour se propager, le ver a infecté un PC, transformé alors en PC Zombie, munit du logiciel de Messagerie Instantanée (IM) d'AOL inc., AIM (AOL Instant Messenger). Il a ensuite envoyé un message à tous les contacts AIM enregistrés sur ce PC composé de ces quelques mots : "Hey Check this out" ("Hey, regarde ça !") avec un lien qui conduit sur site possédant un Cheval de Troie (spyware). Les utilisateurs qui ont cliqué sur le lien ont alors vu leur ordinateur infecté par le spyware se trouvant sur ce site, permettant l'intrusion du ver à son tour. Les contacts de ces mêmes utilisateurs ont alors reçu le même message menant au même site Internet. Lorsque le ver est sur le PC, il ouvre un accès IRC permettant alors aux pirates d'en prendre le contrôle.

Il est donc conseillé de mettre à jour son antivirus et de ne pas cliquer sur les liens des messages en anglais ou qui vous paraissent suspects. Les mêmes conseils que pour les mails que vous pourriez recevoir en somme.

Le piratage par les pirates...

FaceTime Communications a identifié les "hackers", à l'origine du ver et de la prise de contrôle des PC Zombie, comme étant originaires du Moyen-Orient. utilisant le réseau BitTorrent, ils utiliseraient des spywares pour infecter les ordinateurs et auraient pu prendre le contrôle d'un serveur. Ce serveur aurait alors permis d'infecter plus de 17000 PC, les transofrmant en PC Zombie. Si d'autres serveurs sont infectés, on peut imaginer qu'il y aura également plusieurs dixaines de milliers de PC qui le seront à leur tour.

Selon FaceTime Communications, le danger est bien réel, et cela est inquétant.

Sources : NetEconomie
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
12 commentaires
    Votre commentaire
  • lissyx
    La faille réside-t-elle au niveau des serveurs, ou bien dans le client officiel ? Dans ce cas, quel est l'impact sur les autres clients ?
    0
  • aurelie@IDN
    Alors, le ver en lui-même (W32/Oscabot-N ou Oscabot-E) exploite une faille dans AIM, le client officiel d'AOL, et envoi, via ce client, un lien aux contacts AIM qui mène à un site muni d'un spyware. Ce spyware va permettre d'ouvrir une porte dérobée sur l'ordinateur, via le protocole IRC, pour faire rentrer le ver et permettre au pirate de prendre le controle du PC.

    Donc l'infection se fait de client à client en quelque sorte.

    Citation:
    Who is affected: All AIM PC users are at risk by new IM exploit.

    Trouvé sur FaceTime.com

    Mais concernant les clients tiers, je n'ai rien trouvé du tout.

    EDIT : en me relisant, je me suis apperçue que j'ai du faire une erreur d'interprétation, ou que j'ai mal expliqué, concernant le serveur infecté dont il est question. Le serveur infecté dont il est question serait un serveur IRC vers lequel l'acces IRC est ouvert par le spyware (pour l'infection par le ver). Mais ce que j'ai trouvé à ce sujet est très peu explicite. Ca pourrait aussi être le serveur du site web vers lequel renvoi le lien dans les messages... (ce qui est moins probable)
    0
  • ataofeal
    Effectivement, le passage sur "les serveurs" n'est pas très explicite.
    Le passage que j'ai trouvé dans le site securitypipeline (lui-même pompé sur TechWeb News lui-même ...) à l'air de dire qu'en fait il s'agit de plusieurs serveurs, mais que ceux-ci ont été piratés par les pirates (... je sais) afin de diffuser le ver. Ce ne sont donc pas les vers qui les auraient infectés.
    D'autres "rumeurs", toujours sur le même site, semblent dire les clients GAIM et trillian ne sont pas concernés ... ça vaut ce que ça vaut.

    Par contre je ne comprends pas, par ce que sur le site, l'article parlant de "Oscarbot" (pour McAfee) and "Doyorg" (pour symantec) est daté du 9 mai 2005.

    Le virus de ton article Aurélie ne serait-il pas plutôt "Sdbot.add" qui est une variante du 1er avec en plus un malware pour la prise de contrôle?
    0