Réseau de zombies ZeroAccess - ZeroAccess botnet

ZeroAccess est un malware informatique cheval de Troie qui affecte les systèmes d'exploitation Microsoft Windows . Il est utilisé pour télécharger d'autres logiciels malveillants sur une machine infectée à partir d'un botnet tout en restant caché à l'aide de techniques de rootkit .

Histoire et propagation

Le botnet ZeroAccess a été découvert au moins vers mai 2011. On estime que le rootkit ZeroAccess responsable de la propagation du botnet était présent sur au moins 9 millions de systèmes. Les estimations de la taille du botnet varient selon les sources; l'éditeur d'antivirus Sophos a estimé la taille du botnet à environ 1 million de machines actives et infectées au troisième trimestre 2012, et la société de sécurité Kindsight a estimé 2,2 millions de systèmes infectés et actifs.

Le bot lui-même se propage via le rootkit ZeroAccess via une variété de vecteurs d'attaque. Un vecteur d'attaque est une forme d' ingénierie sociale , où un utilisateur est persuadé d'exécuter un code malveillant soit en le déguisant en fichier légitime, soit en l'incluant comme une charge utile supplémentaire dans un exécutable qui s'annonce comme, par exemple, contournant la protection des droits d'auteur (un keygen ). Un deuxième vecteur d'attaque utilise un réseau publicitaire afin de faire cliquer l'utilisateur sur une publicité qui le redirige vers un site hébergeant le logiciel malveillant lui-même. Enfin, un troisième vecteur d'infection utilisé est un système d'affiliation où des tiers sont payés pour l'installation du rootkit sur un système.

En décembre 2013, une coalition dirigée par Microsoft a décidé de détruire le réseau de commande et de contrôle du botnet. L'attaque a été inefficace car tous les C&C n'ont pas été saisis et son composant de commande et de contrôle peer-to-peer n'a pas été affecté - ce qui signifie que le botnet pouvait toujours être mis à jour à volonté.

Opération

Une fois qu'un système a été infecté par le rootkit ZeroAccess, il démarre l'une des deux principales opérations de botnet: l' extraction de bitcoins ou la fraude au clic . Les machines impliquées dans l'extraction de bitcoins génèrent des bitcoins pour leur contrôleur, dont la valeur estimée était de 2,7 millions de dollars américains par an en septembre 2012. Les machines utilisées pour la fraude aux clics simulent des clics sur des publicités de sites Web payées au paiement par clic . Le bénéfice estimé pour cette activité peut atteindre 100 000 dollars américains par jour, ce qui coûterait aux annonceurs 900 000 dollars par jour en clics frauduleux. En règle générale, ZeroAccess infecte le Master Boot Record (MBR) de la machine infectée. Il peut également infecter un pilote aléatoire dans C: \ Windows \ System32 \ Drivers lui donnant un contrôle total sur le système d'exploitation . Il désactive également le centre de sécurité Windows, le pare-feu et Windows Defender du système d'exploitation. ZeroAccess se connecte également à la pile TCP / IP pour aider à la fraude au clic.

Le logiciel recherche également le malware Tidserv et le supprime s'il le trouve.

Voir également

Les références

Liens externes