Microsoft démantèle le botnet Nitol

Nos partenaires de SearchSecurity reviennent sur l’opération de démantèlement du botnet Nitol par Microsoft. Un malware dont l’origine remonte en Chine, via des copies contre-faites de Windows, qui infectées, étaient commercialisées au marché noir.

Microsoft a bloqué le botnet Nitol, en prenant le contrôle de plus de 500 variantes du malware qui, selon l’éditeur, étaient secrètement installées dans des contre-façons de Windows, distribuées à des points vulnérables et peu sécurisés de la chaîne logistique. La cour de Justice américaine a autorisé Microsoft à endiguer ce réseau en lui permettant de prendre le contrôle du domaine 3322.org ainsi que de plus de 70 000 sous-domaines, qui hébergent le malware. Selon Microsoft, ce domaine était actif depuis 2008. Cette opération est la seconde de cette envergure en six mois. En mars dernier, Microsoft a également bloqué une partie du

botnet Zeus, bloquant les adresse IP de Zeus et identifiant la situation géographique de centaines de milliers de machines infectées. Les actions contre le botnet Nitol sont nées d’une étude de Microsoft qui analyse le degré de sécurité de la chaîne logistique. Selon les documents remis à la cour par Microsoft, les recherches ont débuté en août 2011. Les enquêteurs ont ainsi acheté 20 PC en Chine et après une minutieuse analyse, ont découvert que les revendeurs commercialisaient des ordinateurs sur lesquels étaient installées des versions contre-faites de Windows où se cachait un malware. Le groupe de Redmond affirmait alors que 20% des PC ainsi achetés au marché noir étaient infectés par ce curieux malware. «L’étude a confirmé que des cybercriminels avaient bien chargé des contre-façons de Windows infectées et qu’elles étaient proposées à la vente à des personnes innocentes», écrit Richard Domingues Boscovich, un juriste du Microsoft Digital Crimes Unit. «Le malware avait la capacité de se répandre comme une maladie infectieuse, via des périphériques, comme des disques durs flash, pouvant alors infecter la famille, les amis ainsi que les collègues de la victime, rien qu’en partageant des fichiers.» Plus de 4000 machines Windows ont été découvertes comme étant infectées par Nitol, dont plusieurs à Fairfax en Virginie.  Le malware prend la forme de rootkits qui s’exécutent en tâche de fond, ouvrant ainsi des canaux de communications. Des chevaux de Troie permettant à un attaquant de prendre complètement le contrôle à distance de la machine infecté. Des keyloggers ont également été détectés. Microsoft a déposé une plainte contre Peng Yong ainsi que contre d’autres suspects dont l’identité n’a pas été communiqués et s’est vu prononcer une ordonnance restrictive, lui permettant d’héberger le domaine 3322.org sur son système. L’éditeur peut désormais bloquer la communication entre la machine infectée et les serveurs du centre de commande et de contrôle du botnet. «Cette opération va appauvrir sensiblement les menaces très alarmistes associées à Nitol et au domaine 3322.org et devrait contribuer à sauver les machines des personnes des griffes de ce malware», conclut Richard Domingues Boscovich.

Pour approfondir sur Editeurs

Close