Des experts en sécurité en Pologne ont discrètement saisi jeudi des domaines utilisés pour contrôler le Réseau de zombies Virutune immense armée d’ordinateurs piratés conçus sur mesure pour être loués à des cybercriminels.
Source : Symantec
NASKle bureau d’enregistrement de domaine qui gère le registre de domaine de premier niveau polonais « .pl », mentionné que jeudi, il a commencé à prendre le contrôle de 23 domaines .pl qui étaient utilisés pour faire fonctionner le réseau Virut. La société a redirigé le trafic de ces domaines vers sinkhole.cert.pl, un domaine contrôlé par CERT Pologne — une équipe de réponse aux incidents dirigée par NASK. La société affirme qu’elle travaillera avec les fournisseurs de services Internet et les entreprises de sécurité pour aider à alerter et à nettoyer les utilisateurs concernés.
« Depuis 2006, Virut est l’une des menaces les plus inquiétantes actives sur Internet », a écrit CERT Polska. « L’ampleur du phénomène était énorme : en 2012, rien que pour la Pologne, plus de 890 000 adresses IP uniques auraient été infectées par Virut.
Certains des domaines identifiés dans l’effort de retrait, y compris ircgalaxy.pl et zief.pl – ont été utilisés comme contrôleurs pendant près d’une demi-décennie. Pendant ce temps, Virut est devenu l’une des menaces les plus courantes et les plus pestilentielles. Géant de la sécurité Symantec a récemment estimé la taille de Virut à 300 000 machines ; Entreprise de sécurité russe Kaspersky mentionné Virut était responsable de 5,5 % des infections par des logiciels malveillants au troisième trimestre 2012.
L’action contre Virut intervient quelques jours seulement après Symantec averti que Virut avait été utilisé pour redéployer Waledacun botnet de spam ciblé par Microsoft en 2010 lors d’un démantèlement de botnet très médiatisé.
MACHINE À CRIME AUTO-ENTREPRISE
Virus infectant les fichiers et utilisé depuis longtemps pour voler des informations sur les PC infectés, Virut est souvent transmis via des lecteurs amovibles et des réseaux de partage de fichiers. Mais ces dernières années, il est devenu l’un des moteurs les plus fiables derrière les systèmes de déploiement massif de logiciels malveillants connus sous le nom de réseaux de paiement par installation (PPI). Un tel exemple était « exerevenue.com », un réseau PPI populaire qui partageait autrefois des ressources Internet avec les domaines .pl susmentionnés.
Les réseaux PPI attirent les distributeurs de logiciels malveillants entreprenants, les pirates informatiques qui reçoivent des programmes « d’installation » personnalisés qui regroupent les logiciels malveillants et les logiciels publicitaires. En retour, les distributeurs reçoivent un montant fixe pour chaque 1 000 fois que leurs programmes d’installation sont exécutés sur de nouveaux PC. L’accès aux réseaux PPI est vendu à des malfaiteurs clandestins, en particulier des spammeurs qui cherchent à augmenter la taille de leurs botnets de spam. Ces clients soumettent leur malware (un spambot, un faux logiciel antivirus ou un cheval de Troie voleur de mot de passe) au service PPI, qui à son tour facture des taux variables pour mille installations réussies, en fonction de l’emplacement géographique demandé des victimes souhaitées.
Le programme Exerevenue.com PPI s’est éteint en 2010, mais des copies en cache du site offrent un aperçu fascinant du modèle commercial de Virut. L’extrait de texte suivant a été tiré de Contrat de licence utilisateur final du logiciel Exerevenue (EULA, et oui, ce malware avait un EULA). Il décrivait avec justesse le fonctionnement de Virut : en tant que virus infectant les fichiers qui injectait des copies de lui-même dans tous les fichiers .EXE et .HTML trouvés sur les PC des victimes. Selon les administrateurs d’Exerevenue, le programme d’installation du programme s’appuyait sur une technologie déposée « QuickBundle™ » qui regroupait des logiciels publicitaires avec d’autres programmes.
« 3) Le logiciel ciblera particulièrement les fichiers .EXE et .HTML lors du processus de regroupement. D’autres types de fichiers peuvent également être affectés. Les fichiers HTML sont indirectement associés aux logiciels publicitaires, via des liens Internet, et ils reposent sur certaines fonctionnalités des navigateurs Web qui sont souvent considérées comme indésirables. Par conséquent, vous acceptez de ne pas livrer vos fichiers groupés à quiconque pourrait être offensé par la technologie QuickBundle décrite précédemment. Afin d’empêcher qu’un fichier ne soit associé à un logiciel publicitaire, vous pouvez modifier son nom pour qu’il commence par PSTO ou WINC (dans le cas de fichiers .EXE et .SCR) ou modifier son extension (dans le cas de .HTM(coeur), .ASP , et .PHP), par exemple en .TXT. En plus d’enrichir vos fichiers avec du contenu financé par la publicité, votre fichier Windows HOSTS sera modifié pour bloquer certains domaines utilisés pour l’automatisation du chargement des logiciels publicitaires.
QUI DIRIGE VIRUT ?
En 2007, des chercheurs du groupe de recherche sur les logiciels malveillants Team Furry ont publié une décharge cérébrale d’informations qu’ils avaient recueillies sur les individus qui, selon eux, avaient créé et géré le botnet Virut. L’équipe Furry a souligné plusieurs sous-domaines de zief.pl et ircgalaxy.pl qui, selon archive.org, hébergeaient un forum d’utilisateurs quelque peu actif fréquenté par des pirates qui utilisaient les noms « XMAX » et « Adx.” Selon l’équipe Furry, Adx était la poignée de hacker utilisée par un as de l’informatique de Varsovie nommé Piotr Niżyński. M. Niżyński n’a pas répondu aux multiples demandes de commentaires.
L’impact des actions de NASK sur les opérations à long terme du botnet Virut n’est pas clair. De nombreux serveurs de contrôle de Virut sont situés hors de portée de NASK, chez les registraires de noms de domaine de premier niveau russes (.ru). En outre, Virut dispose d’un mécanisme de sécurité intégré pour vaincre les attaques ciblées sur son infrastructure. Dans un article de blog le 7 janvier 2013, Symantec documenté l’algorithme de génération de nom de domaine (DGA) de Virut; Si les PC infectés par Virut ne parviennent pas à atteindre leurs contrôleurs codés en dur sur ircgalaxy.pl et zief.pl, le logiciel malveillant est configuré pour vérifier chaque jour l’un des 10 000 noms de domaine différents possibles, générés selon un algorithme intégré au logiciel malveillant. Armés de ce mécanisme de sauvegarde, les malfaiteurs responsables de Virut n’auraient en théorie qu’à enregistrer l’un des domaines désignés par la DGA pour pouvoir rétablir les communications et le contrôle du botnet.