- Rustock
-
Rustock était un botnet en activité de 2006 à mars 2011, période à laquelle il fut démantelé.
Il infectait les PC (Personal Computer) équipés de Windows, et était capable d'envoyer 25 000 spams par heure via un PC infecté. Au plus fort de son activité, il envoyait en moyenne 192 spams par minute via les machines infectées. Les évaluations de sa taille varient en fonction des sources, ce botnet aurait infecté entre 150 000 et 2 400 000 machines. La taille du botnet n'a fait qu'augmenter, principalement grâce à l'auto propagation ; en effet le botnet envoyait de nombreux messages électroniques infectés contenant un cheval de Troie qui, une fois lancé, incorporait le PC au botnet.
L'activité du botnet a chuté en 2008 après le retrait du fournisseur d'accès à Internet McColo qui hébergeait la plupart des serveurs de commande du botnet. Cette action a temporairement réduit le niveau du spam mondial d'environ 75 %, l'effet n'a pas été long et le niveau a augmenté de 60 % entre janvier et juin 2009 dont plus de la moitié sont attribués au botnet Rustock.
Le 16 mars 2011, le botnet a été mis hors-service grâce à Microsoft et aux autorités fédérales américaines.
Opérations
Pour se cacher des logiciels anti-virus, le botnet utilisait des techniques de rootkits, il pouvait donc rester installé sur les PC infectés très longtemps sans que les utilisateurs ne s'en rendent compte. Les botnets sont constitués, dans la plupart des cas, par des internautes qui à leur insu distribuent du spam ou réalisent des attaques DDos au travers de leur ordinateur.
Une fois le cheval de Troie installé sur le PC, il contacte l'un des 19 serveurs de commande du botnet. Lors de l'envoi de spam, le botnet utilise le protocole de sécurisation des échanges TSL (ou SSL) pour cacher sa présence.
Source
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Rustock botnet » (voir la liste des auteurs)
Wikimedia Foundation. 2010.