Backdoor.IRC : le couteau suisse

Les Backdoor.IRC sont des malwares dont le Control&Center se fait via un IRCd.
Ces bots sont très anciens mais toujours autant actifs, plusieurs groupes en utilisent pour se constituer des botnet.
C’est la génération après Blaster, qui a vu naitre les bot type Sdbot / Rbot, afin de pouvoir contrôler le bot, la connexion à l’IRCd a été ajouté.

Encore hier, des exploits sur site WEB installaient ce type de malware – ex : http://forum.malekal.com/http-201-php-t32383.html

Le contrôle du PC

Lorsque le malware est actif sur le PC, ce dernier se connecte à l’IRCd afin de pouvoir être contrôler par le botmaster.
Ce dernier peut alors faire télécharger et exécuter d’autres malwares, envoyer des ordres (par exemple de scan) etc.
(Ceci n’est pas propre aux Backdoor.IRC mais propre à tout malware de type bot).

Backdoor.IRC : le couteau suisse

Backdoor.IRC : le couteau suisse

Backdoor.IRC : le couteau suisse

Le botmaster passe ses commandes !commande ou .commande qui seront compris par le malware connecté à l’IRCd.
Dans les captures ci-dessus, cela va de .msm / .im (pour propager par MSN) à .s.p. pour changer la page de démarrage (start page) ou .g.f pour certainement get file, un scan réseau avec les paramètres du scan etc.

Le malware peut envoyer en retour la réponse :

Backdoor.IRC : le couteau suisse

Vu depuis un client IRC, cela donne :

ici le botmaster se loggue :

ici la commande !ff récupère les identifiants sur Firefox et parfois ça peux être très gênant :

ici la commande d’envoi de message sur MSN se trouve dans le topic, le malware se connecte au channel de l’IRCD et reçoit directement la commande :

En terme de téléchargement de malware, les backdoors IRC sont très actives. On distingue alors 2 types de téléchargements :

  • Le malware ou programme pour monétiser : cela peut aller de l’adware, à un malware de type stealer afin de voler des informations et les revendre. L’installation sponsorisé d’un autre malware.
  • Une mise à jour de la Backdoor.IRC existante : Le code des bots est bien connu, mais les auteurs de malwares offusquent le code (Packer etc) qui fait que la détection de ces malwares peut être mauvaise… Les antivirus mettent à jour leurs détections… les auteurs de malwares modifient le packer et autres protections et ainsi de suite… Les auteurs de malwares sont donc obligés de faire télécharger des versions récentes moyennement détecter afin de ne pas perdre de machines dans leurs bots : le traditionnel jeu du chat et de la souris.

Pour monétiser, certains groupes modifient aussi la page de démarrage pour rediriger vers une page de démarrage avec des publicités :

Dans le cas des Backdoor.IRC pouvant utiliser les IM, de même des  liens contenants des publicités peuvent être envoyés par IM ou faire ouvrir le lien directement sur le PC infecté.

Au niveau des malwares pour monétiser, on retrouve en général, les infections communes tels que :

Backdoor.IRC : le couteau suisse

 

Pour d’autres exemples (mais vous verrez que ça tourne toujours au même type de malware), voir la page MSN et infections liées

Après on peux avoir des exceptions, par exemple sur ce sujet le Retour de GPcode ? via un pack avec ngrBot

Au final, ces backdoors IRC sont donc très actives pour installer une multitudes de malwares contrôlés par le botmaster (une mise à jour de la backdoor, un stealer etc) ou non contrôlé par le botmaster et qui fait entrer la machine dans un autre botnet.
Ce qui en général, fait qu’à terme le PC devient inutilisable : plantage, lenteur etc.

Les méthodes de propagation

Au niveau des méthodes de propagation, on trouve les méthodes classiques comme cités plus haut les exploits sur site WEB.
Une Backdoor.IRC peut éventuellement être installée par un autre malware.

Mais ces Backdoor.IRC ont leurs propre mécanisme de propagation (on peux donc considérer que ce sont des vers quelques parts), le botnet s’auto-alimente, on distingue alors :

Backdoor.IRC : le couteau suisse

et une vidéo pour mieux comprendre :

http://www.youtube.com/watch?v=XCQAwdvGxFI

  • Messages commentaires sur les réseau sociaux ou malwares postés sur Facebook (apps.facebook.com) :

Backdoor.IRC : le couteau suisse

Backdoor.IRC : le couteau suisseBackdoor.IRC : le couteau suisse

Les mécanismes de propagation sont donc mis à jour régulièrement afin de toucher un maximum d’utilisateurs.
Si les bots ont commencés par les vulnérabilités à distances (next generation Blaster), la propagation par médias amovibles et IM ont ensuite vite été ajoutées et est devenue un standard.

Au niveau du système

Au niveau système, les Backdoor.IRC n’ont en général pas très évolués depuis leurs débuts.
Une simple clef du registre pour charger un processus.
Cela peut aller d’une simple clef Run/RunServices à une clef Taskman de Winlogon
En règle général, les processus sont visibles avec le gestionnaire de tâches.

Les noms des processus sont souvents des noms de processus légitimes pour semer la confusion – exemple winlogon.exe
Le légitime est dans le dossier %windir%\system32
Le malicieux sera dans %windir% ou %windir%\system
Si la description du processus est correct, via le gestionnaire de tâches (et si en plus les processus systèmes sont masqués), on ne peux pas faire la différence puis que le chemin du processus n’est pas affiché.

Seules exceptions, pour l’affiche sur le gestionnaire de tâches, avec certains bots qui peuvent se charger en module dans explorer.exe (exemple aussi avec les clefs Active SetupInstalled Components à la Brifrose/Spyrat)

Backdoor.IRC : le couteau suisse

Après, comme bot, vous avez aussi comme exceptions, des bots un peu plus sophistiqués comme :Slenfbot : still an other IRC Bot

Conclusion

Si les Backdoor.IRC sont très anciennes, elles restent néanmoins toujours d’actualités de par leur utilisation.
Leurs mécanismes propres de propagation qui utilisent le social engineering permet de toucher un maximum de personnes et font ces infections une porte d’entrée à d’autres malwares plus sophistiqués qui sont plus problématiques.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 142 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *