Une nouvelle version du trojan Pushdo a contaminé plus de 100 000 ordinateurs depuis le début du mois d’aout. Cette version utilise une nouvelle technique empêchant les chercheurs d’analyser le botnet.

Comme c’est souvent le cas avec les botnets, les ordinateurs infectés par Pushdo communiquent avec le serveur qui leur sert de centre de contrôle. Les botmasters ont customisé le malware pour qu’ils envoient simultanément des requêtes HTTP à quelques 300 sites internet peu connus et plus ou moins aléatoires, le but étant d’enfouir au sein de l’amas de requêtes, les requêtes spécifiques au hub principal qui commande et contrôle le malware. Par conséquent les chercheurs doivent vérifier l’ensemble des requêtes HTTP pour localiser le centre de contrôle.

Dans de nombreux cas les sites recevant les fausses requêtes sont noyés sous la demande jusqu’à passer hors ligne. L’équipe Dell CTU-Counter Threat Unit- a trouvé que les requêtes envoyés avec la chaine de caractère "xclzve_" sont uniquement envoyés pour générer du trafic à des adresses qui n’existent pas forcément. Les webmasters qui observent une montée du trafic vers des adresses de leur site qui existent ou pas devraient donc filtrer ce type de requête.

Les versions précédentes de Pushdo se concentraient sur des sites très populaires comme Yahoo, Twitter et le FBI. Ne viser que les petits sites permet au botnet de davantage passer incognito.

Une fois que les machines sont infectées par Pushdo, elles envoient des mails avec des liens paraissant légitimes contenant des trojan comme Zeus, Torpig et Bugat.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143905
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI