Variante du Zeusbot/SpyEye Bot
Posté: Jeu 23 Fév 2012 14:59Variante du Zeusbot / SpyEye Bot qui utilise un modèle de réseau p2p
Les cybercriminels utilisent une version modifiée de Zeusbot/SpyEye, qui utilise un réseau architecturale peer-to-peer, plutôt que d'un simple bot et d'une commande de contrôle du système serveur, rendant le réseau de zombies beaucoup plus difficile à prendre à la source.
Symantec a mis en garde, Zeus est très populaire dans le monde cybercriminel, car il est capable de voler une grande variété d'informations, de documents et les informations de connexion de systèmes infectés.
Depuis de nombreuses années il était l'arme favorite de la la plupart des fraudeurs qui ciblent le code source du système bancaires en ligne.
Le cheval de Troie a été publié sur des forums Internet l'année dernière, ouvrant ainsi la voie à de nombreux tiers pour des modifications et améliorations.
Auparavant, le P2P a été utilisé pour communiquer entre les robots collecteurs pour tout les changements dans l'URL du serveur (commande de contrôle).
D'autres techniques ont également été utilisés, tels que la détermination de la programmation des URL pour être utilisé à des dates précises dans le cas où un bot perd complètement le contact.
Toutefois, une nouvelle variante récemment détecté par les antivirus Symantec .
D'autres changements constatés par Symantec, comprennent une plus grande utilisation de l'UDP au lieu de TCP pour rendre plus difficile à suivre et à vider les échanges de données, et les modifications à la compression et le cryptage utilisé.
Avant
Après
Chaque robot est un serveur Web
Comme il est expliqué ci-dessus, les messages de contrôle qui ont été précédemment traitées par le serveur C & C sont maintenant gérées par les autres pairs du réseau de zombies.
Ces messages sont échangés via le protocole HTTP, de sorte que le bot a été mis à jour afin d'inclure nginx, un open source, le serveur Web minimal. Avec cela, chaque bot est capable de traiter les requêtes HTTP, ce qui signifie qu'il peut exécuter les fonctionnalités de C & C.
L'ancienne version standard utilisés requêtes HTTP POST à C & C serveurs
La nouvelle version envoie des requêtes POST à un pair, en utilisant un port TCP aléatoire
Source
Les cybercriminels utilisent une version modifiée de Zeusbot/SpyEye, qui utilise un réseau architecturale peer-to-peer, plutôt que d'un simple bot et d'une commande de contrôle du système serveur, rendant le réseau de zombies beaucoup plus difficile à prendre à la source.
Symantec a mis en garde, Zeus est très populaire dans le monde cybercriminel, car il est capable de voler une grande variété d'informations, de documents et les informations de connexion de systèmes infectés.
Depuis de nombreuses années il était l'arme favorite de la la plupart des fraudeurs qui ciblent le code source du système bancaires en ligne.
Le cheval de Troie a été publié sur des forums Internet l'année dernière, ouvrant ainsi la voie à de nombreux tiers pour des modifications et améliorations.
Auparavant, le P2P a été utilisé pour communiquer entre les robots collecteurs pour tout les changements dans l'URL du serveur (commande de contrôle).
D'autres techniques ont également été utilisés, tels que la détermination de la programmation des URL pour être utilisé à des dates précises dans le cas où un bot perd complètement le contact.
Toutefois, une nouvelle variante récemment détecté par les antivirus Symantec .
Chaque pair dans le réseau de zombies peut agir comme un serveur C & C, alors qu'il ne représente qu'une seule unité
D'autres changements constatés par Symantec, comprennent une plus grande utilisation de l'UDP au lieu de TCP pour rendre plus difficile à suivre et à vider les échanges de données, et les modifications à la compression et le cryptage utilisé.
Avant
Après
Chaque robot est un serveur Web
Comme il est expliqué ci-dessus, les messages de contrôle qui ont été précédemment traitées par le serveur C & C sont maintenant gérées par les autres pairs du réseau de zombies.
Ces messages sont échangés via le protocole HTTP, de sorte que le bot a été mis à jour afin d'inclure nginx, un open source, le serveur Web minimal. Avec cela, chaque bot est capable de traiter les requêtes HTTP, ce qui signifie qu'il peut exécuter les fonctionnalités de C & C.
L'ancienne version standard utilisés requêtes HTTP POST à C & C serveurs
La nouvelle version envoie des requêtes POST à un pair, en utilisant un port TCP aléatoire
Source
