Kraken l'armée de zombies

[Contact75]

Ca a commencé avec le mail de NEUF (le FAI) pour ceux qui sont abonnés :
________________________________________

En mail ca donne :

"Attention : Une variante du ver kraken vient de faire son apparition sur le Web où il aurait déjà infecté plus de 400.000 ordinateurs...

Sur leur site :
Un nouveau ver vient de faire son apparition sur le Web où il aurait déjà infecté 400′000 ordinateurs. Surnommé Kraken, ce ver serait invisible aux logiciels anti-virus tournant sur 80% des ordinateurs.

Kraken est codé et apparaît à l’utilisateur sous forme d’un fichier image. Si le destinataire essaye d’ouvrir l’image, le logiciel malveillant se décrypte et infecte la machine. "

Le ver Kraken joue à cache-cache grâce à différentes combinaisons d’astuces, changeant régulièrement son code. Selon un éditeur de sécurité il serait facile à détecter mais il faut du temps avant qu’un anti-virus le trace. Les auteurs de se nouveau ver connaissent parfaitement le fonctionnement des logiciels anti-virus et savent comment les éviter.

Kraken est codé et apparaît à l’utilisateur sous forme d’un fichier image. Si le destinataire essaye d’ouvrir l’image, le malware se décrypte et infecte la machine. Tout comme le ver Storm, ce nouveau ver (Kraken) est redondant, adaptatif et résistant

_________________________________________

Il ne manque plus que le "Surtout transmettez ce message 150 fois et eteignez votre ordinateur ensuite et vous serez protégés"

Mais Neuf a trouvé plus subtil de proposer sa suite de sécurité F-Secure (dommage c'était rédigé comme un Hoax)

Et aujourd'hui on a droit à :
(Qui à mon avis va vite etre repris par la presse en mal d'articles parce que cela vient de 01 Net )

http://www.01net.com/editorial/378619/- ... bies-/?rss

Qui dit :

« Kraken est la plus grande armée de machines zombies »
On lui attribue 495 000 adresses IP infectées, contre 230 000 à Storm. Récemment repéré, Kraken serait le plus important réseau de PC piratés au monde.

Au début du mois d'avril, la société américaine Damballa a découvert Kraken, nouveau réseau de « machines zombies » - des ordinateurs contrôlés à l'insu de leur propriétaire par des pirates. Le chercheur Paul Royal nous explique son fonctionnement.

01net. : En quoi le réseau Kraken est-il différent des autres réseaux zombies ?

(...)

En cas de contamination, il faut identifier le processus Kraken en question, le stopper, effacer les fichiers logiciels associés et redémarrer la machine.
__________________________________________________________

La solution de décontamination est.... simpliste non pour une telle menace non ? :-)

"Upon confirming that the host is still compromised with Kraken, it can be remediated by using a
simple process, which consists of:
1. Identifying the process name and location of the Kraken bot malware on the host
2. Terminating the Kraken process
3. Deleting the Kraken bot malware and
4. Restarting the system "

Ou cela :

" Hosts become infected with Kraken (or Oderoor) through Trojan downloads over instant messaging or peer-to-peer links. We have also seen at least one IRC botnet used to distribute this malware.

On startup, the malware first tries to resolve a list of hostnames hardcoded into the binary to discover the current Kraken server IPs. Once hostname resolution is complete, the malware sends a UDP datagram to the Kraken servers on destination port 447 to identify the victim machine. Depending upon the malware variant, the payload size for the datagram is between 24 and 74 bytes. The infected host then gets the spam template and starts sending out spam based on that command. Periodically, the malware makes connections to the Kraken servers on UDP/TCP port 447, possibly to get new templates.

Once it infects a machine, the Kraken malware creates a binary file in the %SYSTEM32% directory with a random name. This filename is a string of lowercase letters between 2 and 20 characters long and is not based on any dictionary words. It then modifies the following registry entry to ensure that the malware is always running:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "" =
C:\WINDOWS\system32\[%random_name%].exe
"" =C:\WINDOWS\system32\[%random_name%].exe

After this, it tries to open a series of services and, ultimately, creates a service with the file pointing to the file created above.
Affected Platforms:

* Windows 2003
* Windows XP
* Windows 2000
* Windows NT
* Windows 98
* Windows 95 "

_____________________________________________________________

De toutes les facons c'est une vieille infection remise au gout du jour, et on peut relire :

http://www.generation-nt.com/kraken-ver ... 75221.html

Antivir le détecte déja depuis un moment, Bitdefender aussi (mais sour le nom "Oderoor") Symantec également (ne pas confondre avec Norton) : Spakrab ou Bobax (qui en fait est l'ancetre de 2006 ou peut etre le le Srizbi, les spécialistes ne sont pas encore d'accord)


Mal/Generic-A ---> Au 8 janvier 2008
Mal/EncPk-CK ----> Au 21 Fevrier 2007
Mal/EncPk-Y -----> Au 7 Juillet 2007

Je pense que l'on aurait pu aller plus loin dans le temps.


Quelques noms que les antivirus peuvent donner :

Backdoor.Oderoor.G
Backdoor.Oderoor.BM
Trojan.Obfuscated.GY
Backdoor.Oderoor.BN
Trojan.Agent.AHNY

Cadeau de la journée, les signatures MD5 du Kraken

http://www.offensivecomputing.net/?q=node/699

[Malekal_morte]

Mouais... possible pour le plus gros.... Ca devient marketting ......

Ca fait 15 jours qu'on parle de ce truc (depuis le blalba de Paul Royal)..
De ce que j'ai pu lire les premières variantes sont arrivées en 2006.

Ca se propage (propageait ?) par MSN.......
Il créé aussi un service "Print Spooler" voir : http://forum.malekal.com/viewtopic.php? ... ler#p49877 en plus de la clef run que tu mentionnes.
Il y en avait eu bcp vers Noel des comme ça.

Depuis peu le service est aléatoire dans une liste.. voir post d'hier : http://forum.malekal.com/viewtopic.php? ... 192#p81192

Liste des services :

Electronic Arts Licensing
Electronic Arts Licensing Service
DQLWinService
Creative Labs Licensing
BT Modem Lock
BlueSoleilCS
Axon Service
Aventail VPN Client
Ati HotKey
Amazon Unbox Video Service
Advanced Networking Service
ActiveSMART Service
Compaq DMI Web Agent
CommServer
Cognos ReportNet
CMG Shield
DigiCtrl
Dell Printer Status Watcher
DeepSight Extractor Service for NP08
Wireless Adapter Configurator
LXCCCustomerConnect
SolidWorks Licensing Service

Il peut être installé par une autre infection (de type IRC Backdoor), l'auteur fait télécharger une nouvelle variante..

[Malekal_morte]

Une page de McAfee qui détaille un peu le fonctionnement du botnet : http://www.avertlabs.com/research/blog/ ... er-update/