Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Botnet Kroxxu

Botnet Kroxxu - Réseau de milliers à millions d'ordinateurs compromis par un parasite de zombification et regroupés sous le commandement d'un pirate qui exploite la somme des puissances.

Rappel :

Les réseaux criminels de « calcul distribué » s'appellent des « botnets » (réseaux de « bots » (« robots »)) et chaque appareil (ordinateur) dans le réseau est appelé « zombies ». Les « zombies » sont des ordinateurs individuels utilisés frauduleusement, squattés à l'insu de leurs propriétaires. Un « botnet » peut être constitué de plus d'un million d'ordinateurs zombifiés.

Voir les articles :

Le Botnet Kroxxu

Dernière mise à jour : 16 avril 2012

Il aurait infecté plus de 100.000 domaines (sites Web) et plus d’un million de machines d’internautes.

Comme le BotNet Gumblar, le BotNet Kroxxu commence par cibler les mots de passe FTP afin de pénétrer sur des espaces d'hébergements de sites Web. Là, les pages Web servies aux visiteurs sont modifiées à la volée par des parasites incrustés dans les logiciels serveurs.

La propagation du BotNet Kroxxu est énorme car il semble avoir la capacité de se propager rapidement de serveurs en serveurs et ce sont 100.000 domaines (au moins 100.000 sites Web) qui seraient ainsi infectés et prêt à piéger les pages vues que ces serveurs infectés vont servir aux visiteurs des sites Web hébergés.

Plus de 1.000.000 de machines seraient infectées (zombifiées) et constitueraient le Botnet des cybercriminels derrière le BotNet Kroxxu.

Le BotNet Gumblar, comme le BotNet Kroxxu, rendent inopérant les tentatives de blocage des sites malveillants (par exemple l'extension WOT pour Firefox, les listes Microsoft pour Internet Explorer, le listes Google pour Chrome, etc.) car ce sont des sites Web de confiance qui sont piégés. Les pages servies par les serveurs compromis peuvent délivrer les pièges durant un court laps de temps (quelques heures) puis le serveur reste infesté mais les pages ne le sont plus. Ceci rend la détection des serveurs compromis cauchemardesque (un webmaster n'a généralement aucune idée de ce qui se passe sur la partie « serveur » de son hébergement et l'hébergeur n'a aucune envie de dire à ses clients que le serveur qui héberge leurs sites est compromis et encore moins qu'il faut fermer le service !

Le seul moyen d'éradiquer le BotNet Kroxxu, côté serveur, serait d'effacer totalement les sites Web et les logiciels serveurs, de réinstaller les serveurs depuis zéro (réinstaller, par exemple, Apache, PHP, MySQL etc. ...) puis de remonter les sites Web et les bases de données entièrement ! Autrement-dit, il faudrait éteindre l'Internet mondial (puisqu'on ne sait même pas quels sont les serveurs compromis) plusieurs jours ! Et encore... il est à peu près certain qu'un fort pourcentage de sites Web ne disposent même pas de sauvegardes (de code source) et seraient perdus définitivement. Quant-aux machines côté utilisateurs, il existe plusieurs centaines de parasites, de type Keylogger, Backdoor, etc. Il faut tous les désinfecter puis conduire tous les utilisateurs à changer tous leurs mots de passe...

Botnet Kroxxu -