THOR : Un nouveau botnet P2P en développement

0
90

Décidément, en ce moment, la mode est au peer-to-peer pour les malwares. L’implémentation de cette technologie permet de rendre les botnets bien plus résistants et dangereux. C’est ce qu’utilise ce nouveau botnet, nommé Thor, faisant son apparition sur un forum underground.

Thor est un botnet P2P décentralisé, développé en C/C++ par un certain “TheGrimReap3r“. Il semble que le développement de la première version est terminé puisque le botnet est d’ores et déjà à vendre sur le blackmarket…

Le botnet n’a aucun point central ou serveur de commande et de contrôle (C&C). De ce fait, il devient beaucoup plus difficile à abattre ou à tracer.

Thor utilise les injection de DLL, le “IAT hooking” ainsi qu’un rootkit en ring3 pour camoufler son activité. Une particularité, il permet de développer ses propres modules via un système d’API assez original. Les communication via P2P sont chiffrées en AES 256, à l’aide d’une clé aléatoire générée à chaque démarrage du programme.
 
Le malware fonctionnerait sous Win 2000+, Win XP SP0/SP1/SP2/SP3, Win Vista SP0/SP1/SP2, Win 7 SP0/SP1 et supporterait les systèmes x86 et x64.
 
Le développeur de Thor l’a mis en vente sur des sites de BlackMarket et sur divers forums de hacking pour la modique somme de 8000$ ! Le pack ne possède pas les modules additionnels pouvant être achetés à part : botkiller, DDoS, enregistreur de frappe et de formulaires, voleur de mots de passe et spam mails.