- d'envoyer des mails de spams - Ces mails de spams peuvent être utilisés pour effectuer des attaques de phising.
- effectuer des attaques de type DDOS.
- scanner des réseaux via des PC du botnet afin de découvrir des vulnérabilités et effectuer des attaques.
- propager de nouvelles infections.
La machine étant à la merci des pirates, il est aussi possible de :
- récupérer les mots de passe Paypal, jeux en ligne pour les revendre, éventuellement des comptes de forums, sites WEB ou autres si les sites peuvent interresser le pirate.
- installer des adwares qui vont ouvrir des popups de publicité afin de rémunérer les pirates via votre PC.
- installer d'autres malwares (pour les faire rentrer dans un autre botnet) ou mettre à jour les infections pour échapper à la détection des antivirus.
En général, le pirate est payé afin d'effectuer certains opérations avec son botnet (spammer, attaque DDoS), il peut aussi sous-loué une partie du botnet.
Les botnets sont donc un business dont les PC des internautes en sont le moteur.
(voir la page Business malwares : le Pourquoi des infections)
Les infections se font généralement par des chevaux de troies et une backdoor (porte dérobée). Les PC les plus touchés sont bien sûr les PC qui ne sont pas protégés (pas d'antivirus ou pas à jour mais surtout pas de firewall). Pour plus d'informations sur la sécurisation de votre ordinateur : Sécuriser son ordinateur et connaître les menaces
Le top des pays d'où proviennent les PC Zombis : http://www.ciphertrust.com/resources/st ... zombie.php
(bien que cette étude aurait été vraiment intérressante, si le nombre de PC zombis avaient été ramené au nombre de connexion haut débit).
Certains malwares connectent à l'insu de l'utilisateur le PC à des réseaux IRC (ce sont des serveurs qui permettent de "chatter" comme voila). A partir de channel dit de "contrôle", le pirate peut contrôler les PC zombis, on parle alors de bots IRC.
Le pirate peut lancer des commandes qui seront interprétées par ces bots comme par exemple : !flood afin de lancer des attaques.
Concrètement à partir du réseau IRC et via le client IRC, le pirate peut contrôler votre ordinateur.
Vous pouvez vous rendre à cette page pour avoir un aperçu des Virus IRC créant des botnet : http://www.malekal.com/virusIRC.html
Sur cette capture, on peut voir les bots (PC zombis) dans la liste de droite. On voit ici que les pirates ont lancé une attaque vers l'IP 85.103.38.108
Sur cette capture, les pirates lancent les bots à l'assaut de serveurs IRC (mircindir.net / undernet) afin d'envoyer des messages de SPAM avec des adresses WEB : http://kis-msn.gen.tr
Si un utilisateur recevant ces messages ouvre ce site et exécute l'un des fichiers de ce site, il sera probablement infecté et son ordinateur s'ajoutera à la longue liste des ordinateurs contrôlés par ces pirates.
Autre exemple ci-dessous avec les infections MSN.
La capture ci-dessous montre les PC Zombis qui joignent le channel, les machines sont identifiés par pays : FRA (France), SWE (Suède), BEL (Belgique) etc.
Le message d'accueil du channel (topic) est utilisé pour envoyer les commandes aux PC Zombis pour entre autre répandre l'infection, on voit le message avec le lien contenant le malware qui sera envoyé aux contacts MSN des PC infectés.
Si un des contacts ouvre le lien reçu et executé, il est à son tour infecté et rejoint les autres PC Zombis.
Dans les exemples ci-dessus, les PC Zombis se connectent à un serveur central IRC.
Si le serveur IRC tombe, les PC zombis ne sont plus sous contrôle (ils sont encore infectés mais la connexion au serveur IRC ne se fait plus et il n'est plus possible de donner des ordre).
Certains infections effectuent des connexions à plusieurs serveurs IRC pour mettre de garder le contrôle si l'un d'eux tombent.
Le modèle ci-dessus est simple mais cela peut devenir plus compliqué, les grands botnets (Rustock, Cutwail etc) sont bien plus compliqués.
Certains utilisent le protocole HTTP et bien souvent via des connexions cryptées.
Le contrôle des machines peuvent alors se faire via des interfaces WEB, exemple ci-dessous avec le botnet Zeus/Zbot.
Le bot Zhelatin/Storm Worm lui n'a pas de serveurs centralisés, ils fonctionnent sur le schéma P2P, chaque PC infecté fait office de serveur et client et tous les PC conversent entre eux. Il est alors impossible de couper "la tete" qui donne les ordre du réseau rendant la mise hors tension du botnet bien plus difficile.
Une fois le PC infecté et faisant parti d'un botnet, de nouveaux malwares sont téléchargés et installés soit :
- Pour monétiser, généralement ce sont des malwares qui ont donc pour but de permettre l'envoi de mail de SPAM, voler des informations (Stealer) ou faire installer des rogues
- Soit le même malware afin de le mettre à jour pour échapper aux détections antivirus.
- Soit un malware d'une autre famille faisant parti d'un autre botnet.
Voici une image qui montre les interractions entre les divers botnets (merci Gof) - source : http://twitter.com/MalwareScene
Conclusion
Un PC zombi est donc un PC contrôlé à distance, le pirate peut faire exactement ce qu'il lui plait à l'insu du propriétaire du PC.
Le pirate peut alors faire télécharge des Adwares sur les PC infectés afin de gagner de l'argent via les publicités ouvertes sur le PC infectés.
Le pirate peut envoyer des mails de SPAM, sous-louer une partie du botnet pour des campagnes d'attaques etc.
Bref le PC infecté est un PC soldat, plus le pirate a de PC à sa disposition, plus il gagne de l'argent.
