Destruction d'un botnet : 100 000 PC ont passé l'arme à gauche

Oops, I did it again 73
Sophos rapport malwaresLes botnets sont de vastes réseaux de PC zombies. Ces machines sont en fait infectées par un ou plusieurs malwares et peuvent être contrôlées à distance par une seule personne. Un pirate commande dès lors à des milliers de machines, qu’il utilise le plus souvent pour générer du spam ou des attaques par déni de service (DDoS), sans compter les vols d’informations personnelles. Or, récemment, un botnet de 100 000 machines a disparu, soulevant des sourcils dans le monde de la sécurité.

Roman Hüssy, un expert suisse en sécurité informatique de seulement 21 ans, a ainsi suivi l’état de plusieurs serveurs infectés par le malware Zeus. À l’aide d’un outil, ZeusTracker, il a ainsi remarqué qu’un parc complet de 100 000 machines avait soudainement cessé de fonctionner. Dans le cas de Zeus, cela sous-entend l’utilisation d’une fonction nommée « kos » pour « kill operating system ».

Aussi simple à utiliser qu’en pressant un bouton, cette fonction provoque l’effacement de sections entières de la base de registre. Si les droits sont assez importants, elle déclenche également un écran bleu. L’utilisateur redémarre alors sa machine, et se retrouve devant un Windows qui ne peut plus fonctionner.

Le plus « amusant » finalement dans cette histoire, ce sont les suppositions de Hüssy. Il se demande en effet pourquoi un pirate aux commandes d’un groupe de 100 000 ordinateurs aurait soudainement balancé l’équivalent d’une bombe H dans son petit cheptel.

La mesure est en effet jugée « contre-productive » puisque ces parcs représentent justement une manne financière. Le jeune expert suppose donc qu’un groupe concurrent de pirates pourrait être à l’origine du carnage, ou que les pirates en charge du botnet ont souffert de l’effet « stagiaire » : « Un grand nombre de cybercriminels qui utilisent le kit Zeus ne sont pas très doués ».