Alors que les feux d'artifices embrasaient le ciel du 4 juillet dernier (fête nationale), des milliers d'ordinateurs zombis attaquaient divers sites web du gouvernement américain. Un botnet utilisant plus de 200.000 PCs infectés par le virus MyDoom a tenté de faire refuser l'accès de plusieurs sites sensibles (dont celui de la Maison Blanche et de la Federal Trade Commission) à ses utilisateurs légitimes.
Cet assaut était là pour nous rappeler que le problème des botnets est toujours d'actualité. Nous vous parlions d'ailleurs hier du risque planant sur Google qui pourrait devenir une plate-forme de transmisson d'informations pour des attaques via botnets.
Un botnet est formé par un réseau d'ordinateurs compromis qui agissent ensemble, tous contrôlés à distance par un programme, sans que le propriétaire légitime de la machine ne s'en rende compte. Ces infections sont très fréquentes et votre ordinateur pourrait très bien y être sujet.
Pour preuve, la Shadow Server Foundation, un groupe spécialisé dans la surveillance des botnets, a annoncé en juillet que le nombre de bots repérés par ses services était passé de 1500 à 3500 en deux ans. Chacun de ses 3500 réseaux pourrait contenir plusieurs milliers d'ordinateurs infectés.
La contamination s'effectue en général en téléchargeant du code malveillant déguisé en vidéo sur un site, ou bien par le biais d'un virus ou d'un malware qui se serait introduit dans votre système. Quand un bot infecte votre PC, il se connecte à son serveur CnC (command-and-control) pour recevoir ses instructions.
Les robots ont des missions très différentes les uns des autres. Certains servent aux spammers pour envoyer des millions de messages ; d'autres sont utilisés pour réaliser des attaques paralysant des sites commerciaux (souvent en échange d'une rançon) ; ils permettent aussi des attaques fast-flux (pour garder les sites de phishing actifs, il faut régulièrement les changer de domaine, ce qui est possible via ce procédé qui permet de les dissimuler par l'utilisation du protocole DNS en attribuant à un même nom de domaine de nombreuses adresses IP). Tous ces services se monnaieraient très bien selon plusieurs experts.
Pour être opérationnel, un botnet a besoin de connexions fréquentes avec son serveur CnC (qui peuvent trahir sa présence, et également renseigner les experts sur la taille du bot en question). Des modifications dans le comportement de votre PC peuvent également être visibles.
Cependant, restez vigilants même si votre antivirus ne vous signale pas de communications inappropriées ni de présence inopportune sur votre système. Certains bots sont très difficiles à détecter. Microsoft propose un outil performant pour cette tâche (mis à jour tous les mois) : le Malicious Software Removal Tool.
D'autres solutions existent, comme BotHunter, qui fonctionne sous Linux, Unix, Mac OS et Windows (XP et Vista). Ce programme gratuit de SRI International surveille silencieusement le trafic internet de votre machine et conserve une trace des échanges de données qui pourraient correspondre à ceux d'un PC infecté par un malware. Il fut le premier à identifier la manière dont communique Conficker en novembre 2008, bien avant les autres solutions existantes.
Source : Shadow Server Foundation
Pourra-t-on un jour éradiquer la menace des bots ? 
Envoyé par turican2
