Developpez.com

Le Club des Développeurs et IT Pro

Pandemiya : un cheval de Troie écrit entièrement de zéro

Se présente comme une alternative sérieuse à Zeus et ses dérivés

Le 2014-06-16 16:45:04, par Stéphane le calme, Chroniqueur Actualités
Eli Marcus, un chercheur de RSA, entreprise spécialiste de la sécurité, affirme que son équipe a trouvé un nouveau cheval de Troie qu’il a baptisé Pandemiya. Il se distingue des autres Trojan récents à l’instar de Citadel/Ice IX parce qu’il n’est une variante d’aucun cheval de Troie connu : « pendant nos recherches, nous avons trouvé que l’auteur de Pandemiya a passé près d’un an à développer l’application et elle est constituée de plus de 25 000 lignes de code en C » précise-t-il.

Le Trojan est actuellement vendu au marché noir contre 1500 dollars pour l’obtention de la version de base et jusqu’à 2 000 dollars s’il faut inclure des plugins additionnels. Parmi les fonctionnalités de Pandemiya figurent :

  • le vol secret de données, identifiants et fichiers ;
  • les captures de l'écran de l'ordinateur infecté ;
  • l’injection de fausses pages dans le navigateur pour tenter de voler d'autres informations sensibles ;
  • le chiffrement des communications depuis le panneau d'administration ;
  • la protection des fichiers du botnet contre d'éventuels intrus tiers.


RSA précise qu’il est relativement simple d’y ajouter des fonctionnalités comme le montrent les plugins déjà publiés : reverse proxy, vol de données FTP, agent propageant sur Facebook, etc.


exemple de panneau d’administration de Pandemiya


Pandemiya se distingue également par la possibilité de masquer l’extension de son fichier d’installation *.EXE sous une autre extension. Notons qu’il est également possible de le distribuer via une page web corrompue par exemple.

En revanche un point positif c’est la relative simplicité du processus de désinstallation qui demande du peaufinage de clé de registre et une action en ligne de commande.

Source : blog RSA
  Discussion forum
4 commentaires
  • miky55
    Membre averti
    Envoyé par Shuty
    Ca m'a tout l'air d'être une jolie perle ce trojan. J'ai toujours été très admiratif de ces bestiaux.

    Personne ne saurait d'ailleurs où peut-on trouver des sources code d'ancien trojan / virus. Je suis curieux de voir comment ca tourne en profondeur!
    Je doute que le code source de celui-ci soit publique, mais celui de Zeus l'est depuis 2011, voici un petit github, les commentaires ont même été traduits du Russe vers L'anglais: https://github.com/Visgean/Zeus
  • Shuty
    Membre éprouvé
    Ca m'a tout l'air d'être une jolie perle ce trojan. J'ai toujours été très admiratif de ces bestiaux.

    Personne ne saurait d'ailleurs où peut-on trouver des sources code d'ancien trojan / virus. Je suis curieux de voir comment ca tourne en profondeur!
  • Envoyé par Shuty
    Personne ne saurait d'ailleurs où peut-on trouver des sources code d'ancien trojan / virus.
    Il existe un livre en français : http://securite.developpez.com/livre...al#L2287981993
    mais c'est vrai que l'on ne trouve rien sur le codage de virus/trojan sur developpez.com http://securite.developpez.com/cours
  • gta126
    Membre actif
    Envoyé par Shuty
    Ca m'a tout l'air d'être une jolie perle ce trojan. J'ai toujours été très admiratif de ces bestiaux.

    Personne ne saurait d'ailleurs où peut-on trouver des sources code d'ancien trojan / virus. Je suis curieux de voir comment ca tourne en profondeur!
    Sur ce site il y a plein de code source de trojan/morceau de code source