Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


iosdt.exe

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Du côté des internautes, le "Calcul distribué" est un formidable coup de pouce offert à ceux qui ont besoin de puissance de calcul mais n'ont pas les moyens d'en disposer (recherches sur les maladies orphelines etc. ...). Toutefois, le principe même du "Calcul distribué" repose sur l'autorisation donnée à un tiers d'installer et contrôler un logiciel dans les ordinateurs. Voici un exemple de ce Web de confiance dans lequel on ne peut avoir confiance.

Assiste.com :
Alias :   iosdt.exe et la variante, en 2004, du hijack (hijacker - hijacking) du client de calcul distribué "dnet" de "distributed.net". Ces attaques existent au moins depuis 1997 (époque où elles ont été découvertes).

Les parasites suivants ont servi par le passé (anciennes variantes) ou servent activement, à la date de rédaction de cet article (2004), à diffuser le client "dnet" : W32/Msinit, profile, Trojan.Win32.Bymer, W32.HLLW.Bymer, Dnet.Dropper, mycollection.exe, VBS.Network, VBS.NetLog, W32.QAZ.worm, W32.HLLW.Qaz.A, QAZ.Trojan, Trojan/Notepad, note.com, Bymer.scanner

Classes :   Hijacker (détournement d'un processus et zombification de la machine infestée), Cheval de Troie

Risque : Virus - Mesure du risque

Editeur :   Distributed.net est une société oeuvrant dans le monde de la sécurité informatique (chiffrement, cryptographie...). Elle coordonne les challenges organisés par d'autres sociétés comme RSA Security. Pour ses tests, comme il faudrait des centaines ou des milliers d'années pour y arriver avec les seuls moyens informatiques qu'une société peut raisonablement acquérir, distributed.net découpe ses tests en petits tronçons et distribue le travail à des centaines de milliers d'ordinateurs adhérants volontairement à ces travaux. Pour encourager les possesseurs de PC à adhérer, elle organise ses tests sous forme de challenges récompensés par des prix (en argent) au propriétaire de la machine qui aura trouvé ce qu'elle cherchait et aux propriétaires des machines ayant le plus contribué à leur cause. Les participants peuvent intervenir seuls ou se regrouper en équipes. Le client "dnet" (le programme installé sur les machines participantes) est donc accompagné d'une identification du contributeur (le code identifiant est une adresse e-mail servant de compte sous lequel sont comptabilisées les statistiques de contributions appelées "blocs"). Plus le participant ou son équipe totalise de "blocs" et plus il a des chances de gagner un prix.

Certains cherchent à fausser les règles du jeu.

Le hijack appelé iosdt.exe semble donc provenir majoritairement de personnes (ou groupe de personnes - équipes) tentant de fausser les résultats des statistiques d'usage du client "dnet". Ces statistiques sont maintenues par le site distributed.net, afin de désigner les gagnants des prix que ce site offre. Les cybercriminels tricheurs implantent donc de force, par l'usage d'un Cheval de Troie interposé, le client "dnet", avec leur propre code d'identification, sur le maximum de machines qu'ils arrivent à pénétrer. La situation est donc celle de cybercriminels prenant, chacun, le contrôle d'un réseau de centaines ou de milliers d'ordinateurs travaillant pour leur seul profit.

De tels ordinateurs contrôlés portent le nom de "Zombies" et de tels réseaux portent le nom de BotNet ("Réseaux de robots" ou "Réseaux de zombies"). Les termes de Zombies et BotNet sont plus souvent employés dans le monde du Spam mais, ici, il n'y a aucune différence.

Voici le sort réservé aux tricheurs chez distributed.net :
Punishments

All guilty parties have been removed from their teams, their passwords changed, and no longer can win any money, and removed from stats. Their team password is also changed, and email is sent to the team coordinator.

If a team organizer can show that this was done without authorization or knowledge of the organizer, the team will be returned, and all blocks done for the team by the guilty email address will be removed.

If you have any information on any of these, or ones that you've discovered on your own or have been victims, please mail abuse@distributed.net and we will get on the case right away.
Un hijack plus profond pourrait aussi provenir de gangs cybercriminels utilisant la technologie de distributed.net pour créer des super réseaux cachés (BotNets) de calcul distribué, pour leur propre compte et pour des finalités inconnues. Pour conduire cette attaque, il suffit de modifier l'adresse de la machine de distributed.net dans le code du client "dnet".

Découverte : Dès 1997 des variantes de cette usurpation sont apparues.
Actuellement (2003-2004) lorsque vous lancez votre gestionnaire de tâches (touches simultanées Alt/Ctrl/Suppr), vous pouvez voir un programme appelé iosdt.exe mobiliser jusqu'à 100% des ressources de votre ordinateur si celui-ci n'a rien d'autre à faire.

Installation : Le client de calcul distribué dnet n'est pas un parasite et ne sera jamais détecté comme tel par aucun antivirus ni aucun anti-trojan. Vous pouvez parfaitement et légitimement l'avoir installé sur votre machine et avoir autorisé distributed.net à utiliser vos temps morts de calcul (cycles CPU inutilisés) pour les récupérer dans le cadre de leurs travaux sur le chiffrement RSA (recherches en cryptographie) au même titre que d'autres projets de calculs distribués existent comme l'analyse de signaux en provenance de l'espace pour la recherche de formes de vies extraterrestres ou le travail sur le génome humain dans le cadre de recherches sur des maladies rares etc. ... Autres projets de calcul distribué :
  • www.alliancefrancophone.org - Le pliage des protéines
    Comprendre le pliage des protéines, leur assemblage et les maladies qui y sont liées
    http://www.alliancefrancophone.org/stanford/foldingathome/

  • Seti@home - La vie intelligente extraterrestre
    Le radio télescope d'Arecibo à Puerto Rico balaye le ciel. Chaque jour, ce sont 35 gigas octets d'ondes radio électriques qui sont captées. Puis, on tronçonne tout cela en petits bouts de 0.35 megas octets. C'est ça qu'on analyse. Cela s'appelle une unité de travail.
    http://www.setifrance.org/index.php

  • Décrypthon - Association Française contre les Myopathies
    http://www.infobiogen.fr/services/decrypthon/
    Initié par l'AFM (Association Française contre les Myopathies) dans le cadre du Téléthon 2001, Décrypthon a été rendu possible par la contribution de plus de 75 000 volontaires qui ont prêté bénévolement la puissance de calcul de leurs PC. Grâce à cette mobilisation sans précédent en France, les calculs (comparaison de 559275 séquences protéiques, au moyen de l'algorithme d'alignement local de Smith-Waterman) ont pu être effectués en moins de deux mois.

[Oct 2003]
Un trojan du nom de "Mega Emoticon Pack" circule. Il installe quelques émoticons et installe dnetc dans le répertoire system32 au profit des statistiques du compte koe@gameparty.net. Utilise un proxy nommé protoss.2y.net.

[Oct 2003]
Un trojan prétendant être un utilitaire d'activation de logiciels piratés, "Product Activation tool", s'instale dans system32\iosdt\ au profit du compte nordom@o2.pl. Il envoie ses logs par e-mail sur smtp.o2.pl. Vous pouvez voir un processus du nom de iosdt.exe dans le gestionnaire de tâches. Le domaine 02.pl est enregistré à Varsovie (Pologne) au nom de
company: O2.PL SP. Z O.O.
street: UL. PULAWSKA 48/16
city: 02-559 WARSZAWA
location: PL

[Août 2003]
Découverte de nombreuses machines sous Windows 2000 (utilisation d'une faille de sécurité non identifiée uniquement sous Windows 2000) utilisant une version non autorisée du client dnet et un kit de furtivité au profit du compte rc5@molice.nl et à travers un proxy à 80.247.214.170. Le site www.darkrider.nl est également suspecté d'avoir un rôle (indéterminé) dans le déploiement du kit de furtivité sur les machines compromises.

Le kit de furtivité contient la logique pour cacher la racine elle même du kit et le processus dnetc aux autres utilitaires tel le gestionnaire de tâches (logique appelée hook). Le kit de furtivité peut être découvert par la présence de services nommés "yyzvxf", "yyzvxrk" et "yyzvxshl". De telles machines ont également un répertoire nommé C:\Winnt\system32\yyzvxDIR contenant les fichiers "yyzvxf.exe", "yyzvxrk.exe", "yyzvxrk.ini", "yyzvxshl.exe", "yyzvxgina.reg" et "yyzvxinfo.exe". Le kit de furtivité embarque également un keylogger de mots de passe, un robot IRC, un serveur de fichiers FTP et d'autres fonctionnalités inconnues.

La vulnérabilité DCOM de Windows 2000 est suspectée (bulletin MS03-026) car, à ce moment là, des "utilitaires" pour exploiter cette faille sont justement disponibles. On pense que toutes les machines ont été attaquées "à la main" et non par l'utilisation d'un ver. Note : l'utilitaire "Wormfree" de distributed.net ne permet pas de nettoyer les machines compromises de la sorte.

[Avril 2002]
Nombreuses machines infestées par le client dnet configuré au profit du compte dpc_de@hotmail.com et pour l'utilisation d'un proxy personnel à l'adresse 62.195.38.112 (domaine node-d-2670.a2000.nl). Le prefixe dpc de l'adresse e-mail laisse à penser à une relation avec l'équipe "Dutch Power Cows" bien que rien n'ait pu le prouver officiellement. On pense que le trojan a été distribué au travers du réseau FastTrack (KaZaA) dans un programme prétendant être un utilitaire de hack de MSN.

[Dec 2000]
Nouveau ver. Installe le client dnetc sous DN2.EXE dans le répertoire Windows. Le .ini précise le compte bénéficiaire : Vinokurov@inbox.ru ou jitchenko@usa.net. Le client est configuré pour se connecter au travers du proxy keyserver à bobik.2y.net.

[Dec 2000]
Nouveau ver installant la version du client dnetc v2.8002.446 sous le nom de INTERNAT.EXE dans le répertoire Windows. Le client est configuré pour se lancer depuis la clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
LangSupportEx="C:\WINDOWS\internat.exe -hide"
au profit du compte cehghbp@yahoo.com. Il se connecte au travers d'un proxy vers 62.76.120.4 (domaine video.krasu.ru) sur le port 2065. Ce ver semble capable d'infester les partages ouverts (non protégés) ayant des noms arbitraires et pas seulement celui nommé "C".

[octobre 2000]
Variantes des parasites ci-dessous avec technique de réplication identique. Il installe, en plus, le fichier WININIT.EXE d'une taille d'environ 220Ko dans le répertoire WINDOWS\SYSTEM. Comporte également, probablement, un système de contrôle à distance via une backdoor comme le font penser la taille de sa charge utile et son utilisation d'APIs de sockets réseau. Les fichiers DNETC.EXE et DNETC.INI sont aussi déployés dans le répertoire WINDOWS\SYSTEM, et le client est configuré pour fonctionner sous les adresses courriel ogr@gala.net, mereel@gmx.de, mama@papa.net, gentleps@muohio.edu ou postmaster@127.0.0.1

[septembre 2000]
Un ver (W32/Msinit, profile, Trojan.Win32.Bymer, W32.HLLW.Bymer, Dnet.Dropper) infecte les machines Win9x ayant des partages ouverts en accès total (tout le volune C: et pas de mot de passe). Il se réplique en scannant des machines sur des adresses IP au hasard et tente de se connecter au répertoire en partage. S'il y arrive, il y copiera plusieurs fichiers, dont le client dnet, dans les répertoires "\WINDOWS\Start Menu\Programs\StartUp\" et "\WINDOWS\SYSTEM\" :

  • MSxxx.EXE ~22016 octets (la taille et le nom de fichier peuvent varier légèrement)
  • MSCLIENT.EXE 4096 octets
  • INFO.DLL (fichier journal texte comptenant le liste des autres ordinateurs infectés)
  • DNETC.EXE 186188 octets (version officielle v2.8010-463-CTR-00071214)
  • DNETC.INI (contenant l'adresse courriel bymer@inec.kiev.ua ou bymer@ukrpost.net)

Le fichier MSxxx.EXE variera légèrement et comportera les premiers chiffres de l'adresse IP de votre machine ainsi que quelques éventuels autres caractères. Par exemple: MS216.EXE, MSI216.EXE, MSI211.EXE. La taille du fichier peut également varier légèrement mais reste aux alentours de 22Ko.

Au cours du processus d'infection, la ligne suivante peut avoir été ajoutée dans le fichier \WINDOWS\WIN.INI :
load=c:\windows\system\msxxx.exe (le nom de fichier peut varier)

Lorsqu'un des deux premiers EXEs a été exécuté une fois, sous la clé de registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\, la valeur de registre suivante a pu être ajoutée: MSINIT=c:\windows\system\msxxx.exe (le nom de fichier peut varier)

Puisque le ver exécute également la commande "dnetc.exe -hide -install", il y aura aussi l'ajout d'une autre valeur dans le registre afin de démarrer automatiquement le client dnet. Notez que l'existence d'une autre valeur dans le registre ne signifie pas en soi automatiquement qu'un ver a installé le client dnet de façon illicite. En effet, l'administrateur de la machine aurait très bien pu avoir installé le client dnet auparavant et de manière tout à fait légitime.

Les utilisateurs peuvent se protéger contre ce type de ver en s'assurant qu'ils ne partagent pas leur disque dur C: en accès total et sans mot de passe.

[août 2000]
Un ver (W32.QAZ.worm, W32.HLLW.Qaz.A, QAZ.worm, QAZ.Trojan, Trojan/Notepad, note.com) se réplique en renommant votre fichier Windows NOTEPAD.EXE en NOTE.COM et en mettant à la place un notepad aux apparences identiques mais modifié en cheval de troie. Le trojan s'exécute donc chaque fois que vous lancez notepad. Il essaie alors de se dupliquer sur d'autres ordinateurs appartenant à votre "Voisinage Réseau". Se comporte également en RAT (prise de contrôle à distance) donnant aux hackers un accès direct et complet à toute votre machine et tous ses fichiers. Le client dnetc.exe de distributed.net est installé.
Utilitaire quazfix de Symantec

[juin 2000]
Le thème de bureau LiteStep, qui ressemble au style du thème StarCraft "Zerg", a été distribué sous le nom "installtheme.exe" sur certains sites web. Lorsque ce thème, qui s'auto installe, est installé, il installe simultanément une copie hijackée du client distributed.net.

[avril 2000]
Deux versions du ver VBS.Network (Norton) ou VBS.Network (CA) ou VBS.NetLog (McAfee) distribuent les versions 2.8005.455 ou 2.8007.45X du client dnetc.exe qui figurent dans leur charge utile (CERT advisory about the netlog worm). Ce virus/ver peut être identifié par la présence de "network.vbs" et "microsoft_office.lnk" dans le groupe Démarrage de Windows, et de "network.log" dans la racine du disque c:\. Des copies de dnetc.exe et dnetc.ini sont placées dans le répertoire c:\windows\ avec une des adresses courriel suivantes: bl4ckr0d@hotmail.com, jdefoe@linuxstart.com ou nugget@slacker.com

Ce ver infecte les machines ayant des partages ouverts en accès total (tout le volume C: et pas de mot de passe). Il se réplique en scannant des machines sur des adresses IP au hasard et tente de se connecter au répertoire en partage. S'il y arrive, il essaie d'y copier les fichiers infectés directement dans le groupe Démarrage.

Les utilisateurs peuvent se protéger contre ce type de ver en s'assurant qu'ils ne partagent pas leur disque dur C: en accès total et sans mot de passe.

[mai 1998]
Cheval de Troie sur le groupe Usenet consacré aux X-files. Il se déguisait sous la forme d'un puzzle d'une image de Gillian Anderson, qui installait les fichiers rc5desg.exe et ini. Ce cheval de Troie a été posté deux fois, une fois en mai 1998, une autre fois en juin 1998. Vérification impossible car les archives de ce groupe Usenet ne sont plus disponibles.

[décembre 1997]
La version 2.6403 du logiciel client win32gui a circulé compressée au format ZIP sous le nom de ipspoof.zip, contenant les fichiers ipspoof.dat, ipspoof.dll, ipspoof.exe, et readme!.txt. L'exécution de cet installateur copie le logiciel client dans le répertoire \windows\system\rc564gui.exe et paramètre le client pour démarrer automatiquement en mode caché et comptabiliser les blocs au profit de l'utilisateur fbicrasher@hotmail.com. Cette version semble avoir été distribuée sous cette forme-là à partir de décembre 1997.

[1997]
Un prétendu lecteur d'images comportant des images à caractère pornographique, dénommé "mycollection.exe", a été distribué automatiquement par un robot sur IRC via dcc lors de la connexion sur certains canaux IRC. Ce cheval de Troie est un programme qui installe les fichiers rc5desg.exe et ini dans le dossier système de windows, les cache et les lance.

[1997]
Un cheval de Troie nommé cindyply.zip installe Back Orifice avec le plug- in Butt Trumpet sur votre ordinateur. Il a été distribué dans les forums de binaires sur Usenet comme collection de fichiers et lecteur AVI.

Affectés :   Tous les systèmes Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Epargnés :   Les systèmes d'exploitation DOS, Linux, Macintosh, OS/2, UNIX

Activité :   Exploitation des cycles CPU en Idle (non utilisés).

Vie privée : Directement, non, mais la caractéristique RAT de certaines variantes permet la visite intégrale du contenu d'une machine. L'activité Keylogger de certaines variantes compromet les mots de passe et donc la totalité des informations privées contenues sur la machine infectée ainsi que toutes les données en ligne (banque etc. ...)

Faille :   Oui, grave : installation de keylogger et de RAT

Instabilité : Ralentit considérablement le fonctionnement du système

Conséquences : Aucune conséquence après éradication si ce n'est retrouver la vitesse de sa machine.

Précautions : Comment régler les antivirus
Comment sauvegarder la base de registre
Comment désactiver les points de restauration du système Windows
Comment démarrer / redémarrer Windows en mode sans échec