IRC (Internet Relay Chat) : est un protocole de communication sur Internet. Vous vous connectez à un serveur IRC. Le serveur possède de nombreux salons (channel en anglais) que vous pouvez rejoindre et discuter dedans avec les autres internautes.
Vous pouvez aussi discuter en "privé".. c'est à dire d'une personne à l'autre comme sur les messageries instantanées (MSN, Yahoo Messenger! etc..).
Pour se connecter vous devez utiliser un client IRC ou via un site WEB. Le réseau IRC le plus connue en France est celui de voila.fr
mIRC : mIRC est un client IRC très répandu. C'est un shareware que vous pouvez utiliser pendant une période de 30 jours avant d'en faire l'achat ou le supprimer de votre ordinateur.
mIRC est très puissant car il permet d'ajouter des scripts pour ajouter des fonctionnalités souvent automatique. Par exemple.. répondre automatiquement à un message quand quelqu'un vous demande en privé etc..
Comment duper l'utilisateur
Voici un exemple d'utilisation du social engineering utilisés les piratespour dupper les internautes.
Pour commencer, j'ai téléchargé un fichier Install_Messenger.exe. Dans la partie de droite de l'écran, vous pouvez voir le programme Process Explorer qui permet de voir les processus (programmes) démarrés.
La liste est assez courte..
D'après le nom on pourrait se dire que c'est l'installation de MSN Messenger.. oui mais non.. en bon mauvais internaute que je suis, j'ai pris le fichier dans un lien dont où ne sait où... et je m'empresse de l'ouvrir !
Tiens.. le pare-feu de Windows XP SP2, me demande.. si le programme mIRC désire se connecter à internet...
Bha.. soyons fous! disons oui!
On remarquera qu'aucune fenêtre d'installation de MSN ne s'est ouverte... peut-être que le programme d'installation ne fonctionne pas??!
Nous pouvons voir que sur Process Explorer... le processus Installation_Messenger.exe a lancé un autre processus reg.exe qui lui même à lancé mIRC.exe (on voit cela par l'arborescence..).
Mais à l'écran rien.. de rien..
Tout semble donc normal !
Je peux continuer à utiliser l'ordinateur.. dommage le programme d'installation de MSN n'a pas fonctionné !
Oui mais non, je suis un peu curieux.. ils doivent bien faire quelque chose ces processus non ?
Tiens si je faisais un clic droit sur ce reg.exe qui sort d'où on ne sait où... et si je l'arrêtais ?
Allez un petit clic droit / kill process (tuer le processus).
Voyons ce qu'il se passe..
Humm... Pas grand chose..
Tiens.. par contre, c'est quoi ce bout de fenêtre que l'on voit sur la droite ?
Hum.. un bug de mon écran ? ma carte graphique ?
Si je passe la souris dessus.. cela reste...
Tiens faisons un clic droit dessus, voir si je peux en tirer quelques choses!
Comme vous pouvez le voir sur la capture ci-dessus.. cela ouvre une belle panoplie de menus...
On y retrouve les options habituelles de fenêtres (agrandir, réduire etc..), donc je vais cliquer sur Maximize.. voir si on peut agrandir la fenêtre..
Houla... mais qu'est ce que c'est que cela...
et bien c'est un client mIRC.. (la réponse au mIRC.exe que l'on voyait sur Process Explorer.. On le voit entre autre par le mot mIRC écrit tout en haut à gauche sur la barre bleu..
Les plus observateurs d'entre-vous auront vu.. que sur les trois dernières captures.. on pouvait voir dans la barres de tâches (en bas).. ce programme mIRC.
On peut voir dans la partie droite (entouré en rouge).. les salons (channels) sur lesquels nous sommes connectés..
et entourés en bleu.. les surnoms (nicknames) des personnes connectées.
Mais que s'est-il passé ? Petit résumé :
Nous avons téléchargé un fichier on ne sait où qui se fait passer pour l'installation de Messenger.. (et oui, faire attention ce qu'on télécharge).
Une fois exécuté.. le fichier "droppe" un mIRC sur le système lancé à travers ce fichier reg.exe
La mission du fichier reg.exe est toute simple, elle est de masquer la fenêtre mIRC pour que vous ne voyiez tout simplement rien !
Grosso modo, si votre antivirus ne détecte rien.. et si vous n'avez pas de pare-feu.. vous êtes chocolat!
Il existe plusieurs programmes permettant de masquer des fenêtres.. généralement, ils sont détectés comme RiskTools (programmes à risques) par les antivirus.. Néanmoins encore faut-il savoir quand cela est dangereux ou pas..
Ci-dessous.. un scan du fichier reg.exe où l'on voit qu'il est détecté en trojan..
OK OK Mais à quoi ça sert?
Revenons un peu à notre notion de "PC Zombi"
Les PC zombis sont des ordinateurs connectés à internet qui sont infectés par des malwares. Ces derniers sont contrôlés par des pirates, en général, afin :
- d'envoyer des mails de spams - Ces mails de spams peuvent être utilisés pour effectuer des attaques de phising.
- effectuer des attaques de type DDOS.
- scanner des réseaux via des PC du botnet afin de découvrir des vulnérabilités et effectuer des attaques.
- propager de nouvelles infections.
La machine étant à la merci des pirates, il est aussi possible de :
- récupérer les mots de passe Paypal, jeux en ligne pour les revendre, éventuellement des comptes de forums, sites WEB ou autres si les sites peuvent interresser le pirate.
- installer des adwares qui vont ouvrir des popups de publicités afin de rémunérer les pirates via votre PC.
En général, le pirate est payé afin d'effectuer certains opérations avec son botnet (spammer, attaque DDoS), il peut aussi sous-loué une partie du botnet.
Les botnets sont donc un business dont les PC des internautes en sont le moteur.
Les infections se font généralement par des chevaux de troies et une backdoor (porte dérobée). Les PC les plus touchés sont bien sûr les PC qui ne sont pas protégés (pas d'antivirus ou pas à jour mais surtout pas de firewall). Pour plus d'informations sur la sécurisation de votre ordinateur : Sécuriser son ordinateur et connaître les menaces
Le top des pays d'où proviennent les PC Zombis : http://www.ciphertrust.com/resources/st ... zombie.php
(bien que cette étude aurait été vraiment intérressante, si le nombre de PC zombis avaient été ramené au nombre de connexion haut débit).
Certains malwares connectent à l'insu de l'utilisateur le PC à des réseaux IRC (ce sont des serveurs qui permettent de "chatter" comme voila). A partir de channel dit de "contrôle", le pirate peut contrôler les PC zombis, on parle alors de bots IRC.
Le pirate peut lancer des commandes qui seront interprétées par ces bots comme par exemple : !flood afin de lancer des attaques.
Concrètement à partir du réseau IRC et via le client IRC, le pirate peut contrôler votre ordinateur.
Vous pouvez vous rendre à cette page pour avoir un aperçu des Virus IRC créant des botnet : http://www.malekal.com/virusIRC.html
Sur cette capture, on peut voir les bots (PC zombis) dans la liste de droite. On voit ici que les pirates ont lancé une attaque vers l'IP 85.103.38.108
Sur cette capture, les pirates lancent les bots à l'assaut de serveurs IRC (mircindir.net / undernet) afin d'envoyer des messages de SPAM avec des adresses WEB : http://kis-msn.gen.tr
Si un utilisateur recevant ces messages ouvre ce site et exécute l'un des fichiers de ce site, il sera probablement infecté et son ordinateur s'ajoutera à la longue liste des ordinateurs contrôlés par ces pirates.
Conclusion
Un PC zombi est donc un PC contrôlé à distance, le pirate peut faire exactement ce qu'il lui plait et en général à l'insu du propriétaire du PC.
En général, une fois le PC infecté, il est trop tard donc c'est bien sûr avant qu'il faut penser aux conséquences éventuelles de certains téléchargement etc.
Lisez avec attention ces deux pages :
