Selon les dernières analyses de Microsoft, la moitié des 1,6 millions de PC infectés par le botnet Rustock sont maintenant propres.
Rustock était un botnet en activité de 2006 à mars 2011. En mars dernier, Microsoft (DCU) utilisait une astuce juridique afin de prendre le contrôle du botnet Rustock. Ce réseau de PC zombie étant désactivé, Symantec a confirmé une chute du volume de spam mondial. En effet, un PC infecté était capable d’envoyer 25 000 spams par heure !
Mais selon les dernières statistiques rendues publiques par Microsoft, même si le botnet a été stoppé, les PC infectés sont toujours des menaces (endormies).
Quatre mois après l’arrêt, plus de 700.000 PC zombies sont toujours infectés. L’Inde compte plus de 100.000 infections Rustock, bien que ce chiffre est baissé de 70% depuis fin Mars. Lorsque nous avons demandé au porte-parole de Microsoft les raisons de cette infections en Inde, il n’a pas pu/su nous répondre. En Allemagne, le nombre de zombies est passé de 44.000 à 25.000. Ces chiffres montrent clairement combien il est difficile de désinfecté un ordinateur. Les lois internationales empêchent le nettoyage d’ordinateur à distance, comme la possibilité de contacter le propriétaire d’un ordinateur infecté (via son FAI).
Pour se cacher des logiciels anti-virus, le botnet utilisait des techniques de rootkits. Il pouvait donc rester installé sur les PC infectés très longtemps sans que les utilisateurs ne s’en rendent compte. Les botnets sont constitués, dans la plupart des cas, par des internautes qui à leur insu distribuent du spam ou réalisent des attaques DDos au travers de leur ordinateur.
Une fois le cheval de Troie installé sur le PC, il contacte l’un des 19 serveurs de commande du botnet. Lors de l’envoi de spam, le botnet utilise le protocole de sécurisation des échanges TSL (ou SSL) pour cacher sa présence.