Autoblog de sebsauvage.net

Ce site n'est pas le site officiel de sebsauvage.net
C'est un blog automatisé qui réplique les articles de sebsauvage.net

Les chevaux de Troie soignent aussi leur aspect mercantile

jeudi 30 juin 2011 à 16:46

(Attention: Cet article est un peu long et technique.)

En 2009, je vous avait brièvement parlé du virus Conficker qui était déjà une belle saloperie. En deux ans, on a vu apparaître de nombreux autres virus enrôlant les PC dans des botnets, par exemple Zeus. Et ils ont fait de gros progrès, surtout techniques (par exemple en matière de furtivité et de protection contre le traçage).

Kaspersky vient de décortiquer la dernière version d'un des chevaux de Troie les plus évolués: TDL4. Voici un résumé de ses caractéristiques:

Techniquement cousin avec Conficker, c'est surtout par le soin apporté à son exploitation mercantile que TDL se différencie. Là où Conficker avait un payload quasi-inexistant (le virus n'a jamais fait grand chose à part se reproduire), l'auteur de TDL a vraiment explorés toutes les pistes de revenu possibles (affichage forcé de publicités en ligne, fraude au clics, manipulations SEO, location des PC infectés, services proxy payant...).

Si au début de l'ère des virus, c'était surtout le quart-d'heure de gloire qui était recherché, de nos jours c'est clairement l'argent qui est le moteur de la création des virus et chevaux de Troie. Et ces chevaux de Troie évolués sont une arme de plus dans la panoplie de la cyber-guerre, qu'elle soit économique ou politique. N'en doutez pas: La formidable opportunité apportée par ces auteurs de virus offre des possibilités très intéressantes aux gouvernements.

Après tout, les USA ont récemment tracé le projet de considérer les attaques informatiques comme des déclarations de guerre, et rien ne serait plus commode comme prétexte que quelques IP localisées au moyen-orient venant port-scanner des entreprises américaines. Je fantasme ? Franchement, est-ce plus abracadabrant comme idée que des "armes de destruction massive" ?

De même, qu'est-ce qui dit que les adresses IP chinoises responsables des attaques envers le ministère des finances français étaient bien manipulées par des Chinois ? Il y a sûrement des dictatures qui seraient prêtes à payer pour la commodité d'avoir des adresses IP localisées dans le pays de leur choix, que ce soit pour traquer des dissidents en exile, déclencher des conflits ou semer le trouble. Les possibilités offertes par des PC piratés donnent le tourni. Le VPN que monsieur-tout-le-monde peut louer pour quelques euros par mois pour échapper à HADOPI n'est qu'une version édulcorée des formidables possibilités qu'offrent ces réseaux de PC zombie.

Et de l’aveu même des spécialistes en sécurité, ces réseaux de PC zombie sont de plus en plus difficiles à faire tomber.

Sortez couvert.


EDIT: Le gros problème avec les rootkits récents est qu'ils démarrent avant le système d'exploitation, rendant leur détection difficile. Pour parer à cela, vous pouvez utiliser des antivirus sur CD bootable. En voici deux gratuits (Ils sont tous les deux capables de désinfecter et se mettent à jour par internet) :

Source : http://sebsauvage.net/rhaa/index.php?2011/06/30/14/46/56-les-chevaux-de-troie-soignent-aussi-leur-aspect-mercantile