Un nouvel outil de piratage arrive sur le Web

Cloud

Quelques heures à peine après la publication d’une nouvelle version de l’outil ayant servi à créer le virus Kournikova, un nouvel opus d’un célèbre outil de piratage, SubSeven, a également fait son apparition. Des experts l’ont étudié et en détaillent les fonctions. Brrr…

Selon des experts en sécurité, une nouvelle version du tristement célèbre SubSeven, un outil de piratage par système de backdoor (porte dérobée), vient juste d’apparaître, quelques jours à peine après une nouvelle version de l’application qui a permis de créer le virus Kournikova (voir édition du 13 février 2001). En fin de journée du 12 mars, en effet, des professionnels de la sécurité prévenaient du risque d’un accroissement de l’activité virale que pourrait engendrer la version 2 du Visual Basic Script Worm Generator. Et c’est maintenant la version 2.2 de SubSeven qui vient soulever des inquiétudes.

Menace sur les systèmes Windows

La firme spécialisée en sécurité, Internet Security Systems (ISS), explique que cette nouvelle version facilite grandement le travail d’un « utilisateur malveillant qui voudrait accéder à votre système informatique sans votre consentement ou même à votre insu ». La société a également mis l’accent sur le fait que cet outil pourrait être utilisé comme télécommande pour lancer à distance des actions en tant qu’utilisateur local de la machine. Selon ISS, SubSeven est un programme backdoor très puissant, qui s’attaque essentiellement aux systèmes Windows. Il permet à l’attaquant de récupérer des mots de passe en cache ou sauvegardés sur le disque, de modifier la base de registres, et de télécharger ou effacer n’importe quel fichier.

Cette nouvelle version est également compatible avec les fonctions Socks4/Socks5 des serveurs proxy, donnant notamment la possibilité à un pirate de cacher son identité derrière une adresse IP qui n’est pas la sienne. SubSeven inclut également un « renifleur » de paquets qui lui permet d’analyser le trafic réseau pour récupérer, par exemple, les mots de passe qui y circulent. Il est également capable d’utiliser un port au hasard à chaque fois qu’il se connecte, ce qui le rend encore plus difficile à détecter.

Attention aux attaques incapacitantes

Les créateurs de SubSeven 2.2 lui ont également adjoint de nouvelles fonctions de notifications, permettant à « l’invité forcé » d’être averti par IRC, ICQ ou par e-mail, si une machine piratée est connectée au réseau. Le programme infectant est même capable d’enregistrer les séquences de touches tapées au clavier et de les envoyer par e-mail au pirate… Mais une des fonctions les plus dangereuses de SubSeven est la possibilité de l’utiliser comme un outil d’attaques incapacitantes (denial of service attacks), grâce à sa capacité d’utiliser des scripts d’interface avec des serveurs passerelles. Les pirates peuvent alors échanger les adresses IP des machines infectées pour les utiliser simultanément et coordonner une attaque vers un serveur. Autant de fonctions qui font froid dans le dos…