Commentaires : Retadup, le botnet géant, a été neutralisé par les cybergendarmes français

Ce sont 850 000 ordinateurs infectés qui ont été nettoyés à distance par les actions de la Gendarmerie. Les machines étaient utilisées à l’insu de leurs utilisateurs pour miner de la cryptomonnaie ou dérober des informations à distance.

Qu’est ce que c’est que cette news ? Ce ne sont pas des virus mais plutôt des trojans, la machine botnet devant être active, et c’est quoi ce détail de méthode ? déjà ça commence par grosso modo donc pour le détail on repassera et quand on lit ensuite “on lui a fait faire des choses” là c’est le ponpon. Tout ça sent le gros pipeau. “On a réussi à nettoyer plus de 850 000 machines”, mais oui biensur j’y crois, ils devraient laisser leur serveur pour nettoyer toutes les machines des français tant qu’ils y sont… Les gars n’arrivent pas à bloquer de simples sites de téléchargement illégaux depuis des décennies mais ils arrivent à dupliquer un serveur de pirate/hacker ? sans la saisie du matériel ? ils sont trop fort.

2 J'aime

S’ils ont localisé le serveur sans trouver son propriétaire, on va supposer que le serveur était virtuel, donc hébergé chez un fournisseur qui n’aura pas eu d’autre choix que de fournir un snapshot de la VM.
A partir de là, beaucoup de choses deviennent possibles, mais je ne m’attendais pas à ce que la gendarmerie déroule par le menu les moyens mis en oeuvre et je pense quel’information précise aurait de toute façon été trop longue et incompréhensible pour 90% du public visé.
Je trouve que c’est quand même un progrès qu’au lieu de détruire le serveur dès qu’ils l’ont trouvé, ils commencent par chercher comment éviter qu’un autre serveur prenne à son tour le contrôle du bot…
La vraie question est plutôt de savoir si la technologie de ce cheval de Troie est maintenant détectée par les antivirus courants, sinon, il n’y a aucune raison que ça ne recommence pas depuis un autre serveur.

2 J'aime

Prend un verre d’eau et une tisane tu nous fait quelques chose la…

2 J'aime

“Ils sont trop fort”…je pense qu’effectivement, ils auraient beaucoup à t’apprendre.

1 J'aime

Je suis d’accord que la news soit rédigé comme un article de Voici, mais faut pas tout mélanger, les sites de téléchargements joue avec les lois, ceux qui ont un cerveau n’hébergent pas leur site n’importe où, et selon le pays les lois divergent, ce qui rend l’accès compliqué pour des gens qui sont censé respectés les procédures légale pour intervenir. Sans compter toutes les autres méthodes possibles pour dissimuler ou changer l’emplacement d’un site.

j’ai tout de suite eu des GROS doutes sur cette histoire ! ils nous prennent pour des truffes 24/24 et là : “oh les mecs on vous raconte la dernière” ! effectivement elle est bien bonne ! un GROS système CENTRALISÉ ben oui quoi ! lesdits “cybercriminels” ont 4 décennies de retard !!

1 J'aime

Heureusement qu’ils auraient beaucoup à m’apprendre, je ne suis qu’un technicien de base, je n’ai pas les compétences pour nettoyer 850.000 machines, j’en fais beaucoup moins et en plus je suis tellement mauvais que j’ai souvent besoin de la machine pour le faire, je m’incline je ne sais pas faire des choses…
Voilà ça c’est fait, maintenant pour revenir sur la news, ils ont localisé le serveur central, ils ont détournés certaines machines en dupliquant le dit serveur, ok, pour les 850.000 machines nettoyées désolé mais pour moi c’est n’importe quoi, ça fait juste de la com pour ‘neuneu’, on parie que dés le lendemain ces machines soit disant nettoyées sont reprises sous contrôle par un autre trojan ? Enfin bon peu importe, à chacun de se faire son opinion, je retourne à ma tisane.

En france on le fait et pas aux usa ? difficile de croire cette news

1 J'aime

Plutôt de l’avis de PierreKail. Un peu fort cette news. Bon, tant mieux si c’est vraiment le cas mais j’en doute aussi. Envisager ce genre de d’infection à grande échelle sans prévoir une réplication du trojan ni même de la pièce maîtresse c.a.d. le serveur central c’est un peu tiré par les cheveux.

1 J'aime

Excellent ! désormais vous devrez reverser la somme en bitcoin directement à la gendarmerie pour qu’ils vous décryptent votre disque :slight_smile: :slight_smile:

1 J'aime

Nettoyées… ils ont juste dit qu’ils avaient rendu le trojan inactif sur ces machines, c’est pas pareil. Mais ces machines en questions sont surement toujours des passoires et se prendront le prochain trojan qui passe.

-> « On a réussi à nettoyer plus de 850 000 machines », explique Jean-Dominique Nollet au micro de France Inter.

Ta mauvaise foi va jusqu’à où au juste ? Pour au final répéter ce que je dis…

Je m’étais surtout concentré sur cette phrase “On l’a copié, on l’a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d’être inactif sur les ordinateurs des victimes”. ce qui me laissait penser que les virus y étaient (sur les machines infectés) toujours mais inactifs. Ca demanderait plus de détail sur ce qu’il appelle nettoyer. Donc autant pour moi, ce n’était pas de la mauvaise foi, j’ai juste lu trop vite. Merci pour ce relevé d’erreur, opéré avec délicatesse.

C’est toi qui me parle de délicatesse ? ok je vois, mauvaise foi sans limite, ça marche, essais quand même de faire l’effort de lire l’article en entier la prochaine fois que tu t’adresses à moi en me rabaissant avec délicatesse, ok ? …
bonsoir chez toi.

Pour faire simple, soit le serveur est physique et donc très simple à dupliquer, si c’est une VM encore plus simple (le serveur devait être installé en datacenter)

Ensuite une foi que tu a récupérer l’image du disque tu peux très bien la dupliquer, ensuite comme le développeur (hacker si vous voulez) à permit de contrôler les bots a distance, il est très facile d’envoyer une requête à tous les ordinateurs zombie en demandant d’arrêter le service de minage et de rediriger le dns (ou ip) du serveur récupérant les données vers une fausse adresse. Tout ceci est très simple à partir du moment ou le serveur est récupéré. (si le programme est compilé, il y a décompilation et analyse du code (binaire bien sur)). Il n’y a pas d’autres manière de faire de toute façon. Donc information possible mais dilué pour le commun des mortels.

bonjour …

bon d’abord, je tiens a souligner que tu n’a pas tout a fais tord …

sauf que :
les trojan, c’est des virus … au sens large du terme … mais je reste d’accord que c’est des trojans, et pas des virus …
Apres, vu le public cible de clubic, je suis pas persuadé que tout les monde fasse la difference … du coup, virus, ca parle a tout le monde.

Le detail de la methode ? ben je pense qu’ils ne vont pas l’expliquer ici … meme si ils le savaient

Quand au netoyage des postes zombies … vu ce qu’ils expliquent ca me semble pas si improbable … dans la mesure ou ils ont recuperé le serveur, ils ont pu envoyer des commandes aux machines zombies …et donc faire en sorte que le trojan se desinstalle …
Ou a defaut de se desinstaller, qu’il ne se lance plus au demarage.

Quand au serveurs de telechargement illegaux … c’est pas la meme chose… La, ils ont pu intervenir par ce que le serveur etais localisé en france. Les serveurs de telechargement illegaux, sont souvent a l’etranger, et souvent protegés par leurs lois locales …
Pourtant ils essayent de les bloquer … mais ca sert a rien … suffit de voir le nombre de proxy allucinant pour la baie de pirates.

Sans saisie du materiel ? ou as tu lu qu’ils n’avaient pas saisi le materiel ?
Si ils ont pu le localiser, ils l’ont probablement saisi …et si c’etais une VM, ils ont probablement fait une copie avant de l’effacer du serveur ou il etais hebergé …