C’est nouveau, ça vient de sortir : des PC Windows flambant neufs avec malware intégré. Ce sont les limiers du service Microsoft Digital Crimes qui ont fait cette sombre découverte, relatée dans une note de blog la semaine dernière. Ainsi, c’est en achetant en août 2012 un ordinateur portable à Shenzhen en Chine auprès d’un revendeur classique, que les détectives de l’éditeur sont tombés nez à nez avec Nitol, un virus de type botnet (également appelé zombie).
Le logiciel malveillant était directement intégré sous la forme d’un rootkit dans le système Windows qui, d’ailleurs, s’est révélé être une version contrefaite. Par la suite, l’équipe de Microsoft a acheté une vingtaine d’ordinateurs dans différentes villes chinoises. Résultat : quatre étaient infectés de la même manière, soit 20 %. Les revendeurs, à priori, ne seraient pas en cause. Le logiciel malveillant aurait été installé dès l’étape de fabrication.
Le virus en question s’active au démarrage. Il se connecte à des serveurs de commande et prend le contrôle pour prendre ses instructions : copier et transférer des données, participer à des attaques de déni de services, allumer le microphone et la webcam à des fins d’espionnage, se répliquer sur d’autres PC au travers d’une clé USB, etc.
Action coup de poing
L’éditeur a identifié un nom de domaine, 3322.org, utilisé par le botnet pour la diffusion de ses messages. Après avoir porté plainte auprès d’un tribunal de l’Etat de Virginie, il a pu mettre la main sur ce domaine, l’isoler du Web et, ainsi, réduire « de manière significative » l’activité du réseau de PC zombies. Selon l’éditeur, ce domaine servait de relais à 500 autres logiciels malveillants.
Toutefois, cette action coup de poing ne signifie pas la mort de Nitol. Le domaine 3322.org n’était qu’un relais parmi d’autres. Les cybercriminels à l’origine de ce réseau ne tarderont pas à ouvrir d’autres routes de communication.
Selon l’analyse de Microsoft, le virus Nitol s’est surtout propagé en Chine et aux Etats-Unis, mais pas en Europe. Pour ceux qui auraient néanmoins un doute, l’éditeur propose des outils d’analyse à l’adresse http://support.microsoft.com/botnets. Au total, 2 200 ordinateurs seraient infectés à ce jour.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.