Kelihos est un botnet qui utilise la communication P2P pour maintenir la communication avec son réseau de zombies. Avec toute l’attention autour de Kelihos, il ne faut pas s’étonner que la majorité des éditeurs antivirus (30/45) détectent la dernière souche.
Si l’on analyse les récents rapports des menaces concernant les derniers fichiers malveillants, il ne faut pas longtemps pour y trouver des éléments tristement célèbres identifiants ce botnet…
Outre la convention de nommage commun de cette menace, il y a beaucoup d’autres facteurs qui ont mis en lumière cette infection. Tout d’abord, l’utilisation d’une communication de type P2P via SMTP sort clairement de l’ordinaire. Il utilise tout de même plus de 159 adresses IP distinctes !
Deuxièmement, le botnet installe silencieusement plusieurs services et capture des paquets, dans le but de donner au botmaster à la tête de Kelihos le contrôle des ports 21, 25, et 110 avec des identifiants spécifiques.
Ensuite, beaucoup ont remarqué que le botnet tente de catégoriser sa nouvelle victime en utilisant des services légitimes pour recueillir des renseignements. Le programme malveillant va demandé l’adresse IP de la victime sur Barracuda Networks, SpamHaus, Courrier-abus, et Sophos. Ces services existent principalement pour informer les utilisateurs des abus liés à un site ou à une ‘adresse IP en particulier. Kelihos, lui, s’en sert pour déterminer si la nouvelle victime est déjà considérée comme malveillante ou non. Si la victime n’apparaît pas dans les CBLs (Composite Block Lists), alors elle peut être utilisée comme un proxy C&C ou comme un robot dédié au spam.
De plus, un très fort trafic TCP est repérable durant son activité. Le malware ne s’en cache pas et ne se refuse rien.
Les administrateurs réseau doivent prendre des précautions supplémentaires quand à la surveillance des niveaux anormaux de trafic au sein des réseaux. Un seul nœud dégageant autant de trafic vers différents services pourrait être utilisé pour identifier les victimes potentielles.
Crédits image : antmanaras.wordpress.com
niko +1
Apparemment cet article est une traduction de l’article “Kelihos botnet: What victims can expect” que l’on trouve (par exemple) sur “net-security.org”. Ce serait sympa de l’indiquer.
Les commentaires sont fermés.