Psyb0t

Psyb0t est un virus informatique découvert en janvier 2009. Il est considéré comme étant le seul virus informatique ayant la capacité d'infecter les routeurs et modem haut-débit.

Historique modifier

Psyb0t a été détecté pour la première fois en janvier 2009 par le chercheur australien en sécurité informatique Terry Baume dans un Netcomm NB5 ADSL routeur/modem. Début mars 2009, il a été détecté que Psyb0t avait mené une attaque DDoS contre le service de blacklistage d'IP DroneBL. À la suite de cette attaque, DroneBL a estimé que plus de 100 000 appareils étaient infectés par Psyb0t^[1].

Fonctionnement de Psyb0t modifier

Psyb0t vise les routeurs et modems haut-débit avec un processeur little endian MIPS^[2] fonctionnant avec un firmware Mipsel Linux. Il fait partie des botnet opérés grâce à des serveurs IRC. Après l'infection, Psyb0t bloque les accès au routeur via les ports TCP 22, 23 et 80.

Psyb0t est un virus contenant divers moyens d'attaques. Il est connu que Psyb0t peut scanner un réseau à la recherche d'un routeur ou d'un modem haut-débit vulnérable, chercher des vulnérabilités MySQL et phpMyAdmin ou même mener une attaque DoS^[3].

La première version de Psyb0t (2.5L) affectait uniquement les modems/routeurs ADSL Netcomm NB5. Les versions plus récentes, comme la version 2.9L, affectent plus de 50 modèles différents, notamment les modems et routeurs incluant les firmware comme DD-WRT ou OpenWRT.

Système d'attaques modifier

Psyb0t mène principalement ses attaques via SSH et telnet. Utilisant une attaque frontale, Psyb0t essaie d'accéder à l'appareil grâce à une combinaison de plus de 6 000 noms d'utilisateur et 13 000 mots de passe. Il est toutefois estimé que près de 90 % des appareils infectés le sont par défaut de sécurité^[4].

Protection modifier

Afin de se protéger de Psyb0t, il est indispensable de mettre à jour le firmware de son routeur ou modem haut-débit. Utiliser un nom d'utilisateur non-standard et un mot de passe fort aide à la protection de l'appareil. En cas de suspicion d'infections, une mise hors tension du routeur ou modem hauts-débit doit suffire. Ces appareils fonctionnant essentiellement avec de la mémoire vive, une extinction de l'appareil permet de le nettoyer de la majorité des virus^[5].

Références modifier

↑ (en) « Secure Computing Acquisition - Introducing Your Online Choices », sur Your Online Choices, 18 février 2022 (consulté le 1^er mai 2023).
↑ (zh) « 若云读书网 - 都市言情-悬疑小说-古典小说-txt电子书免费下载全集全本完结 », sur teamfurry.com (consulté le 13 octobre 2021).
↑ « 01 Business Forum », sur BFM BUSINESS, BFM BUSINESS (consulté le 19 août 2020).
↑ (en) « DroneBL : : Blog : : Network Bluepill - stealth router-based botnet has been DDoSing dronebl for the last couple of weeks », sur dronebl.org (consulté le 13 octobre 2021).
↑ « Des box Internet et des routeurs infectés par le ver psyb0t », sur orange-business.com via Internet Archive (consulté le 13 octobre 2023).

Portail de la sécurité informatique

[1] (en) « Secure Computing Acquisition - Introducing Your Online Choices », sur Your Online Choices, 18 février 2022 (consulté le 1^er mai 2023).

[2] (zh) « 若云读书网 - 都市言情-悬疑小说-古典小说-txt电子书免费下载全集全本完结 », sur teamfurry.com (consulté le 13 octobre 2021).

[3] « 01 Business Forum », sur BFM BUSINESS, BFM BUSINESS (consulté le 19 août 2020).

[4] (en) « DroneBL : : Blog : : Network Bluepill - stealth router-based botnet has been DDoSing dronebl for the last couple of weeks », sur dronebl.org (consulté le 13 octobre 2021).

[5] « Des box Internet et des routeurs infectés par le ver psyb0t », sur orange-business.com via Internet Archive (consulté le 13 octobre 2023).

[1]

[2]

[3]

[4]

[5]