Ozdok est loin d’être un inconnu. C’est même probablement l’un des vecteurs de botnet les plus actifs du moment. Et c’est précisément en récoltant le contenu d’une moisson d’Ozdok stockée sur les disques d’un C&C que SpamHaus et Secureworks ont découvert une fonction cachée de ce virus : un utilitaire de capture d’écran.
Le fait n’est pas très nouveau, et l’on pourrait pratiquement remonter jusqu’à BackOrifice si l’on devait recenser tous les virus ou rootkits voyeurs. Dans un spambot, la chose est cependant nouvelle. Elle permettrait notamment, expliquent les chercheurs de l’ex Luhrq, de voir du premier coup d’œil si le programme est exécuté à l’intérieur d’une VM, si le bureau est « trop propre et rangé pour être honnête ». Avis aux chasseurs de bots « live », semez un certain b…azard sur vos papiers peints ou dans l’organisation de vos répertoires… un œil noir vous regarde peut-être.
Barack Obama est loin d’être un inconnu dans les logs d’administration réseau. Déjà les spams utilisant son image sont classés premier au hit parade des calamités smtp. Arbor Networks nous apprend que l’Obamania a également été responsable, le jour de l’investiture, d’un formidable pic de trafic, notamment sur les ports TCP 1935 et UDP 8247 : ce sont là les traces des échanges Flashplayer entre les internautes et les sites d’information, CNN en tête. Au plus fort de la demande, le flux aurait frisé les 3,5 Teraoctets. De quoi faire pâlir d’envie un bot herder spécialiste du chantage au déni de service. Deux opérateurs télécom seraient d’ailleurs allés au tapis en recevant cet uppercut de trames. Obama est plus fort que l’ouverture du dernier US Open, clame Arbor Networks. La popularité des chefs d’Etat peut donc, en théorie, être mesurée à l’aide d’un sniffer. Fort heureusement, le désintérêt relatif du reste du monde pour la politique locale des Etats Unis a limité les dégâts. L’Asie et l’Europe n’ont contribué ensemble qu’à 1% dans l’élévation du volume de données échangées.