Psyb0t

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Psyb0t est un virus informatique découvert en janvier 2009. Il est considéré comme étant le seul virus informatique ayant la capacité d'infecter les routeurs et modem haut-débit.

Historique[modifier | modifier le code]

Psyb0t a été détecté pour la première fois en janvier 2009 par le chercheur australien en sécurité informatique Terry Baume dans un Netcomm NB5 ADSL routeur/modem. Début mars 2009, il a été détecté que Psyb0t avait mené une attaque DDoS contre le service de blacklistage d'IP DroneBL. Suite à cette attaque, DroneBL a estimé que plus de 100 000 appareils étaient infectés par Psyb0t[1].

Fonctionnement de Psyb0t[modifier | modifier le code]

Psyb0t vise les routeurs et modems haut-débit avec un processeur little endian MIPS[2] fonctionnant avec un firmware Mipsel Linux. Il fait partie des botnet opérés grâce à des serveurs IRC. Après l'infection, Psyb0t bloque les accès au routeur via les ports TCP 22, 23 et 80.

Psyb0t est un virus contenant divers moyens d'attaques. Il est connu que Psyb0t peut scanner un réseau à la recherche d'un routeur ou d'un modem haut-débit vulnérable, chercher des vulnérabilités MySQL et phpMyAdmin ou même mener une attaque DoS[3].

La première version de Psyb0t (2.5L) affectait uniquement les modems/routeurs ADSL Netcomm NB5. Les versions plus récentes, comme la version 2.9L, affectent plus de 50 modèles différents, notamment les modems et routeurs incluant les firmware comme DD-WRT ou OpenWRT.

Système d'attaques[modifier | modifier le code]

Psyb0t mène principalement ses attaques via SSH et telnet. Utilisant une attaque frontale, Psyb0t essaie d'accéder à l'appareil grâce à une combinaison de plus de 6 000 noms d'utilisateur et 13 000 mots de passe. Il est toutefois estimé que près de 90 % des appareils infectés le sont par défaut de sécurité[4].

Protection[modifier | modifier le code]

Afin de se protéger de Psyb0t, il est indispensable de mettre à jour le firmware de son routeur ou modem haut-débit. Utiliser un nom d'utilisateur non-standard et un mot de passe fort aide à la protection de l'appareil. En cas de suspicion d'infections, une mise hors tension du routeur ou modem hauts-débit doit suffire. Ces appareils fonctionnant essentiellement avec de la mémoire vive, une extinction de l'appareil permet de le nettoyer de la majorité des virus[5].

Références[modifier | modifier le code]