HerpesNet 1.7 – Voici un botnet récemment mis à jour et à vendre sur le blackmarket par son créateur, un certain Siliceous. Le blog TOOLzWARE propose une analyse complète et détaillée du malware.
EDIT du 21/05/2012 : RootBSD vient de publier une analyse technique encore plus complète (avec reverse-engineering du malware) sur Malware.lu (@malwarelu).
Tout d’abord, le développeur, un italien, de veut professionnel en mettant à disposition un site Web dédié à son jouet : http://www.zeroxcode.net/herpnet/.
Avec ça, il est actif sur de nombreux forums underground dans le but de présenter sa création et de la vendre au plus grand nombre possible de personnes malintentionnées.
Voici une infographie qui détaille la bestiole :
Développé en C++, le malware semble assez complet et cerise sur le gâteau, il est encore FUD pour le moment ! (non détecté par les antivirus du marché, NDLR). Par contre, c’est un botnet plutôt banal et mal protégé/développé. Le protocole de contrôle n’est pas chiffré et l’exécutable contient des données sensibles en ROT13 pouvant être facilement retrouvées à l’aide d’un debugger (adresse du FTP, du serveur de contrôle, des identifiant de connexion au serveur, etc).
Pour le reste, le blog TOOLzWARE propose une analyse détaillée inédite à ne pas louper (notamment sur la démarche de désinfection du système), si vous êtes intéressé, n’hésitez pas à aller y faire un tour !
@BleakNess: Xylibox s’était occupé de la 1.7, là c’est la 3.0
Sympa l’analyse, mais je trouve pas ça très pro de mettre autant de données personnelles sur le créateur.
Xylitol s’en était déjà occupé d’ailleurs :
http://xylibox.blogspot.fr/2011/12/herpes-botnet.html
Les commentaires sont fermés.