C@RNIV0R3 : Anatomie d’un malware nouvelle génération

5
98

Sur la toile, il existe des “HackPacks” ou encore “HackTools”, des packs tout-en-un destinés à tous les pirates en herbes ou encore à quelques V.I.P (notamment pour les versions privées). C’est le cas du malware C@RNIV0R3.

Voici ci-dessous, en totale exclusivité, des extraits de la documentation officielle de ce malware ! Imaginez ce qu’un petit malin peut faire avec un tel outil entre ses mains…

Présentation du concept

C@rniv0r3 est un condensé de codes offensifs. Ce malware est indétectable par la totalité des anti-virus du
marché. Afin de le protéger du désassemblage et d’optimiser sa taille, les exécutables ont été protégé contre le
débogage et packés.
Il intègre un programme principal pouvant être bindé avec n’importe quel autre programme.



Une fois exécuté, le programme furtif prend possession de la machine infectée, récupère les mots de passe et les
envoie en toute discrétion vers le serveur maître.
La révolution que représente ce malware est simple : le malware rapatrie automatiquement ses modules puis les
exécutent. De plus il n’utilise pas le protocole FTP qui n’est pas fiable et sécurisé mais uniquement le protocole
http 1.0 strict !


But du projet

C@RNIV0R3 est un outil « tout en un » complet et très puissant. Il permet d’automatiser toutes les actions
désirées sur une machine et d’en contrôler les résultats.
Lors de son exécution, le client va télécharger les modules dont il a besoin et va les exécuter les uns après les
autres… En quelques secondes, tous les modules désirés auront été lancé et la machine infectée n’aura plus aucun
secret.


Technologies

Modules développés en langage C, utilisation de fonctions de bas niveau uniquement
Client développé en C++
IDE utilisé : wxDev-C++ (compilateur MingW)
Serveur développé en PHP / MySQL / XHTML / CSS


But du stealer







  • Récupérer rapidement et en toute discrétion les mots de passe d’un ordinateur
  • Ne pas éveiller l’attention de l’utilisateur ni des anti-virus / firewalls
  • Gérer le plus de programmes possible
  • Empêcher toute tentative de piratage du malware (debugger, sniffer, machine virtuelle, désassembleur)
  • Contrôler les données récupérées via une interface Web complète et sécurisée.


Architecture du système C@RNIV0R3

La partie administration de c@rniv0r3 est située sur un serveur Web… La communication entre lui et le client se
fait via le protocole HTTP.
C@RNIV0R3 se compose de plusieurs exécutables : un launcher puis une multiplicité de modules.
Le client a une fonction simple et bien définie : aller télécharger les modules sur l’un des serveurs maîtres et les
exécuter.




Avantages

–  Indétectable et en constante évolution
–  Sa petite taille et ses nombreux modules disponibles
–  Programme furtif : n’ouvre pas de nouveau port (cela réduit les risques de blocage par les Firewalls), utilise le port 80 via le protocole http strict
–  Protection contre le reverse engineering optimale.


Modules

– Core

– Update

– Rootkit

– Backdoor

– Stealer

– Botnet

5 Commentaires

  1. Oui je pense faire publier un article sur les voleur de mots de passe bientôt ou plutôt pour chacun des programmes inquiétés (celui pour Firefox est déjà en ligne). Chrome et Opera seront les suivants 😉

  2. peut-on avoir plus d’information sur le voleur de mots de passe ?
    bien l’article en tout cas, ça montre les possibilités illimitées des malwares actuellement

Les commentaires sont fermés.