Le ver Kraken se répand en échappant à tout contrôle

Le par  |  12 commentaire(s)
Kraken

La seule évocation de son nom empreint de mythologie scandinave fait déjà trembler. Le botnet Kraken prend forme au nez et à la barbe de la majorité des anti-virus.

KrakenLa société de sécurité Damballa a profité de la conférence RSA 2008 pour alerter sur la formation inquiétante d'un botnet baptisé... Kraken. A l'initiative d'un ver informatique éponyme, 400 000 ordinateurs sous gouverne de Windows seraient ainsi devenus zombies avec parmi eux, des machines d'entreprises répertoriées dans le classement Fortune 500 des sociétés américaines réalisant le plus gros chiffre d'affaires.

Problème de taille, la terrible bestiole échapperait à la détection de près de 80 % des anti-virus actuels et pour finir de dresser ce tableau noir, Damballa voit en Kraken, une plus grande menace que Storm à qui on impute tout de même l'infection de presque 16 millions de PC.


Mauvaise nouvelle pour le spam mondial
Pour infecter des machines, le malware arrive déguisé en un fichier image. Il utilise diverses méthodes de dissimulation pour échapper aux anti-virus et son code binaire connaît de fréquentes mises à jour. Après prise de contrôle par un pirate, les ordinateurs zombies font office de relais au spam mondial dans le cadre de campagnes relatives pour le moment à des pharmacies en ligne, des casinos en ligne, sans oublier la très classique pilule bleue. Les chercheurs de Damballa ont observé qu'un botnet Kraken a délivré plus de 500 000 spams en une seule journée. Il est par ailleurs à craindre que le malware se destine plus tard à des fins autres que le spam.

Pour le Finlandais F-Secure, Kraken ne serait pas une nouveauté et daterait de l'été 2006 avec de multiples variantes.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #205481
hummm.. ok
A part ça, si 80% des antivirus ne le détecte pas, quel est le nom des 20% des antivirus qui le détectent? hehe

Bon, j'imagine que c'est encore une question de vigilance, comme ne pas trainer sur des sites foireux, ne pas ouvrir des mails de gens qu'on ne connait pas, ne pas ouvrir les mails de gens qu'on connait qui contiennent "envoie ce mail à 5 personnes sinon je viens chez toi et je t'arrache la tête" etc... donc normalement je suis sain et sauf, mais n'est jamais sûr à 100%...

Comment le worm agit-il? il se met en mémoire j'imagine? il est détectable dans la liste des processus windows? dans la liste des programmes qui se lancent au démarrage?
Le #205511
c'est le genre de new que je me fout totalement, contre les virus il n'y a rien de mieux qu'ubuntu pour le moment!
Le #205531
Sous Leopard c'est pareil on est peinards <img src="/img/emo/cool.gif" alt="8:" />
Le #205561
@FatMat.
voir : http://blog.washingtonpost.com/securityfix/kraken_results_dec07.pdf

source : http://blog.washingtonpost.com/securityfix/2008/04/kraken_creates_a_clash_of_the.html

'Fin bon le scan est standard...
Faut éviter Avast!, Norton et McAfee, eux t'es sûr qu'ils le détecteront dans deux semaines quand 50 variantes seront sorties entre temps..
Le #205741
@zippy : c'est le genre de commentaire dont TOUT LE MONDE ce fout totalement...
Le #205751
"Bon, j'imagine que c'est encore une question de vigilance, comme ne pas trainer sur des sites foireux, ne pas ouvrir des mails de gens qu'on ne connait pas, ne pas ouvrir les mails de gens qu'on connait qui contiennent "envoie ce mail à 5 personnes sinon je viens chez toi et je t'arrache la tête" etc... donc normalement je suis sain et sauf, mais n'est jamais sûr à 100%..."

C'est vrai que le bon sens joue pas mal, mais c'est très facile de se faire avoir pour un néophyte, et meme pour quelqu'un qui s'y connait un peu d'ailleurs... pour les mails c'est évident, mais les "sites foireux" ne sont pas si évidents que ca à cerner...

exemple : WebMediaPlayer un logiciel de TV par internet (à ne pas confondre avec Web Media Player le vrai) et toute une famille de saloperies du meme genre

Ils sont téléchargeables depuis un site qui n'a pas l'air très suspect. Pourtant, la bebete contient un rootkit

Et pas mal d'antivirus n'y voient que du feu (avast en premier, du moins avant la nouvelle version). Sans un pare-feu un peu sophistiqué, on ne s'apercoit de rien...

Depuis, vive Antivir
Le #205811
Bidule200, non tu n'es pas peinard sous leopard.

Juste pour rappel, jusqu'à très récemment une faille de Safari permettait d'exécuter du code simplement en ouvrant une page web. Safari plantait et boum ton leopard se transforme en Ripley avec des vrais bouts d'alien dedans.

En ce qui concerne linux, c'est du pareil au même, cf les différentes annonces de mozilla qui précisent la dangerosité de la faille corrigée.

Ca ne vous fait pas honneur de vous sentir invulnérable juste parce que vous avez tel ou tel OS. Les botnets sont remplis de machines tournant sur des OS invulnérables !
Le #205841
Utilisez NOD32 v3
Le #205851
j'ai avast 4.8 mais je ne vois pas l'option pour rootkit dedans
Le #205931
@Kertiam

je cite mac-gé :
"Le bogue en question dans PCRE permet d’effectuer des débordements de tampon (buffer overflow). Charles Miller a ainsi pu exécuter un code externe lui permettant d’obtenir tous les pouvoirs sur le MacBook Air.

Il faut savoir que cette faille ne concerne pas uniquement le Mac. Tous les logiciels utilisant WebKit sont affectés par ce bug. Linux est vraisemblablement touché par cette faille, d'une part parce que KDE utilise WebKit et d'autre part, parce que la bibliothèque GLib de Gnome a recours à PCRE."

donc, la faille provient d'une librairie externe à mac os X, tout comme la faille flash utilisée ensuite pour faire tomber Vista, et de plus, cette faille n'est pas exclusive à OS X.

je continue dans la lancée :
"il fallait en plus que le hacker ait accès à un compte utilisateur. C'est à dire soit qu'il s'en soit créé un au préalable (Ce qui était le cas de Charles Miller), soit qu'il ai obtenu l'accès au mot de passe d'un compte existant d'une façon ou d'une autre"

génial, le mec s'était au préalable CREE un COMPTE sur la machine. Hey, tu sais, moi aussi si je me crée un compte sur mon mac, tous les jours j'peux le hacker. Sans dec… et le mec dis bien qu'il avait préparé son coup 3 semaines à l'avance. Si il avait pu obtenir les privilèges root SANS compte utilisateur, là, ok. mais dis moi, ton compte utilisateur, tu l'as appelé "user" avec un mot de passe genre "abc123" ?

Donc ouais, OS X, comme tout UNIX, est parfaitement sécurisé tant qu'on respecte des règles basiques de sécurité (nom d'utilisateur pas trop facile à trouver, mot de passe assez long, utilisant un mix de lettres, chiffres et caractères ascii, pour la jouer parano).

CanSec était de plus sponsorisée par… Microsoft!
Je vous conseille de lire :

http://www.roughlydrafted.com/2008/03/29/mac-shot-first-10-reasons-why-cansecwest-targets-apple/

c'est marrant, Gen NT n'en a rien dit dans ses pages…
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]