Psyb0t

virus informatique

Psyb0t est un virus informatique découvert en . Il est considéré comme étant le seul virus informatique ayant la capacité d'infecter les routeurs et modem haut-débit.

Historique

modifier

Psyb0t a été détecté pour la première fois en par le chercheur australien en sécurité informatique Terry Baume dans un Netcomm NB5 ADSL routeur/modem. Début , il a été détecté que Psyb0t avait mené une attaque DDoS contre le service de blacklistage d'IP DroneBL. À la suite de cette attaque, DroneBL a estimé que plus de 100 000 appareils étaient infectés par Psyb0t[1].

Fonctionnement de Psyb0t

modifier

Psyb0t vise les routeurs et modems haut-débit avec un processeur little endian MIPS[2] fonctionnant avec un firmware Mipsel Linux. Il fait partie des botnet opérés grâce à des serveurs IRC. Après l'infection, Psyb0t bloque les accès au routeur via les ports TCP 22, 23 et 80.

Psyb0t est un virus contenant divers moyens d'attaques. Il est connu que Psyb0t peut scanner un réseau à la recherche d'un routeur ou d'un modem haut-débit vulnérable, chercher des vulnérabilités MySQL et phpMyAdmin ou même mener une attaque DoS[3].

La première version de Psyb0t (2.5L) affectait uniquement les modems/routeurs ADSL Netcomm NB5. Les versions plus récentes, comme la version 2.9L, affectent plus de 50 modèles différents, notamment les modems et routeurs incluant les firmware comme DD-WRT ou OpenWRT.

Système d'attaques

modifier

Psyb0t mène principalement ses attaques via SSH et telnet. Utilisant une attaque frontale, Psyb0t essaie d'accéder à l'appareil grâce à une combinaison de plus de 6 000 noms d'utilisateur et 13 000 mots de passe. Il est toutefois estimé que près de 90 % des appareils infectés le sont par défaut de sécurité[4].

Protection

modifier

Afin de se protéger de Psyb0t, il est indispensable de mettre à jour le firmware de son routeur ou modem haut-débit. Utiliser un nom d'utilisateur non-standard et un mot de passe fort aide à la protection de l'appareil. En cas de suspicion d'infections, une mise hors tension du routeur ou modem hauts-débit doit suffire. Ces appareils fonctionnant essentiellement avec de la mémoire vive, une extinction de l'appareil permet de le nettoyer de la majorité des virus[5].

Références

modifier
  1. (en) « Secure Computing Acquisition - Introducing Your Online Choices », sur Your Online Choices, (consulté le ).
  2. (zh) « 若云读书网 - 都市言情-悬疑小说-古典小说-txt电子书免费下载全集全本完结 », sur teamfurry.com (consulté le ).
  3. « 01 Business Forum », sur BFM BUSINESS, BFM BUSINESS (consulté le ).
  4. (en) « DroneBL :  : Blog :  : Network Bluepill - stealth router-based botnet has been DDoSing dronebl for the last couple of weeks », sur dronebl.org (consulté le ).
  5. « Des box Internet et des routeurs infectés par le ver psyb0t », sur orange-business.com via Internet Archive (consulté le ).