Plus de deux mois après que les autorités ont mis fin à un plan massif de piratage du trafic Internet, le logiciel malveillant qui alimentait le réseau criminel est toujours en cours d’exécution sur les ordinateurs de la moitié des entreprises du Fortune 500 et sur les PC de près de 50 % de toutes les agences gouvernementales fédérales. Des études montrent.
Source : FBI
Le logiciel malveillant, connu sous le nom de « Cheval de Troie DNSChanger, » modifie discrètement les paramètres Internet de l’ordinateur hôte pour détourner les résultats de recherche et empêcher les victimes de visiter les sites de sécurité qui pourraient aider à nettoyer les infections. DNSChanger était fréquemment associé à d’autres types de logiciels malveillants, ce qui signifie que les systèmes infectés par le cheval de Troie hébergent souvent également d’autres parasites numériques plus néfastes.
Début novembre, les autorités estoniennes ont arrêté six hommes soupçonnés d’avoir utilisé le cheval de Troie pour contrôler plus de quatre millions d’ordinateurs dans plus de 100 pays, dont environ 500 000 aux États-Unis. Les enquêteurs ont chronométré les arrestations avec une attaque coordonnée sur l’infrastructure du logiciel malveillant. L’attaque à deux volets visait à empêcher les malfaiteurs de continuer à contrôler le réseau de PC piratés et à donner aux fournisseurs de services Internet la possibilité d’alerter les clients avec des machines infectées.
Mais ce processus de nettoyage a été lent, selon au moins une entreprise de sécurité. Identité Internetune société de Tacoma, Washington qui vend des services de sécurité, a trouvé des preuves d’au moins une infection DNSChanger dans les ordinateurs de la moitié de toutes les entreprises du Fortune 500 et de 27 des 55 principales entités gouvernementales.
« Oui, il y a des défis à supprimer ce malware, mais on pourrait penser que les gens voudraient le nettoyer », a déclaré Rod Rasmussen, président et directeur de la technologie chez Internet Identity. « Ce malware était parfois associé à d’autres éléments, mais il désactive également le logiciel antivirus sur les machines infectées et les empêche d’obtenir des mises à jour de sécurité de Microsoft. »
Les ordinateurs encore infectés par DNSChanger sont confrontés à un compte à rebours. Dans le cadre du démantèlement du botnet DNSChanger, le gouvernement fédéral a obtenu une ordonnance du tribunal pour remplacer l’infrastructure DNS du cheval de Troie par des serveurs DNS de substitution légitimes. Mais ces serveurs ne sont autorisés à fonctionner que jusqu’au 8 mars 2012. À moins que le tribunal ne proroge cette ordonnance, tout ordinateur encore infecté par DNSChanger pourrait ne plus être en mesure de naviguer sur le Web.
Rasmussen a déclaré qu’il y avait encore des millions de PC infectés par DNSChanger. « A ce rythme, beaucoup d’utilisateurs vont voir leur coupure Internet le 8 mars. »
Tom Grasso Jr.un agent de supervision du FBI à la National Cyber Forensics & Training Alliance à Pittsburgh, en Pennsylvanie, a déclaré que le Groupe de travail DNSChanger – la coalition de l’industrie et des forces de l’ordre qui s’occupe de l’assainissement – a discuté de ce qu’il faut faire à propos de la date limite à venir, mais il a refusé de donner des détails.
« Nous explorons certainement toutes les différentes options pour minimiser l’impact qu’il y aura sur un grand nombre de personnes », a déclaré Grasso.
Même si le groupe de travail DNS Changer parvient à faire prolonger le délai, le processus de nettoyage prendra probablement de nombreuses années. Du moins, c’est l’expérience du Groupe de travail Confickerun consortium industriel similaire qui a été créé pour aider à contenir et à nettoyer les infections du tristement célèbre Ver Conficker. Ce groupe de travail a été formé en 2009, mais selon les dernières statistiquesprès de 3 millions de systèmes restent infectés par Conficker.
Compte tenu de l’expérience du groupe de travail Conficker, l’arrêt du réseau DNS de substitution le 8 mars pourrait en fait être un moyen plus rapide, bien que plus douloureux, de résoudre le problème.
« Je suppose que beaucoup plus de gens s’en soucieraient à ce moment-là », a déclaré Rasmussen. « Ce serait certainement une expérience sociale intéressante si ces systèmes étaient simplement coupés. »
Les personnes en charge d’un grand réseau peuvent savoir si des systèmes sont infectés par DNSChanger en envoyant une requête à l’un des membres du Groupe de travail sur les changeurs DNS. Les utilisateurs à domicile peuvent se prévaloir d’instructions étape par étape sur ce lien pour connaître les éventuelles infections de DNSChanger.
Où en êtes-vous de la décision de prolonger le délai du 8 mars ? Enregistrez votre vote dans le sondage ci-dessous. N’hésitez pas à vous exprimer dans les commentaires.
[poll id=”5“]