Les dernières recherches concernant les spams des botnets démontrent leur développement rapide et l’arrivée de tout nouveaux acteurs

Symantec Corp. (Nasdaq: SYMC) annonce la publication de l’édition de septembre 2009 de son rapport trimestriel MessageLabs Intelligence Report. Il apparaît que les botnets sont responsables de l’envoi de 87,9 % des spams. Maazben, un tout nouveau botnet de spams liés aux casinos, a connu une croissance fulgurante depuis son lancement fin mai, tandis que Rustock, un ancien botnet parmi les plus développés, a doublé de volume depuis juin avec un mode d’envoi de spam désormais prévisible.

D’après MessageLabs Intelligence, le développement de Maazben s’est accéléré le mois dernier pour passer de 0,5 % de tous les spams en août à 1,4 % de tous les spams en septembre. Si Rustock est le plus important en nombre de bots (entre 1,3 et 1,9 millions d’ordinateurs zombies), sa production par bot reste relativement faible. Mais le mode d’envoi de spams de Rustock est à présent prévisible : il démarre tous les jours à 3h00 (heure de l’est), avec un pic d’envoi à 7h00 (heure de l’est) pour s’arrêter à 19h00 (heure de l’est).

Il fait donc une pause de huit heures avant de recommencer à envoyer des spams. Rustock est le seul botnet connu au cycle d’envoi régulier. Et c’est l’un des plus dominants puisqu’il est à l’origine de 10 % des spams. Son mode de fonctionnement se reflète donc dans le schéma quotidien de distribution des spams.

« L’an dernier, plusieurs FAI ont dû fermer pour avoir hébergé des réseaux de machines zombies parmi leurs abonnés. Bien entendu, ces fermetures ont largement affaibli les botnets », explique Paul Wood, analyste senior pour MessageLabs Intelligence chez Symantec. « Les botnets dominants ont été frappés de plein fouet, comme ce fut le cas de Cutwail, à la faveur de nouveaux botnets, à l’image de Maazben. Mais ceci ne va pas durer car la technologie des botnets a su évoluer depuis fin 2008 et les fermetures de FAI les plus récentes n’ont plus autant d’impact puisqu’elles ne durent plus que quelques heures contre des semaines voire des mois auparavant. »

Depuis la fermeture de FAI au cours des trois derniers mois, deux autres botnets rivalisent pour s’emparer de la position occupée jusque-là par Cutwail, celle du botnet le plus actif. Il s’agit de Grum, qui fait la moitié de la taille de Rustock mais distribue 23,2 % de tous les spams, et de Bobax, qui représente 15,7 % de tous les spams. Au plus fort, Cutwail distribuait 45,8 % de tous les spams.

Egalement en septembre, MessageLabs Intelligence constate qu’un déclin de la période d’essai des noms de domaine, la possibilité d’annuler une inscription pendant un délai de grâce de 5 jours, signalé par ICANN en juin 2009 peut être à l’origine d’un changement de la nature malveillante des sites Web, suggérant que les noms de domaine malveillants sont probablement aujourd’hui davantage d’anciens sites corrompus plutôt que de nouvelles inscriptions actives depuis peu, contrairement à il y a un an.

Une analyse des sites Web créés délibérément pour distribuer des programmes malveillants révèle que les noms de domaine « jeunes », actifs depuis trois mois au plus à la date de leur première interdiction pour hébergement de contenus malveillants, sont relativement peu nombreux mais qu’ils sont dans leur grande majorité repérés comme malveillants et bloqués et qu’ils comportent du contenu malveillant dès le départ. 90 % des noms de domaine « jeunes » sont arrêtés dans les 38 jours qui suivent l’inscription.

M. Wood poursuit ainsi : « Avec une fenêtre d’action aussi petite, il n’est pas surprenant que les agresseurs inscrivent les noms de domaine de plus en plus vite, ce qui sous-entend qu’ils travaillent très dur pour créer de nouveaux domaines et corrompre de nouveaux sites Web. En règle générale, les programmes malveillants que distribuent ces sites Web n’évoluent pas rapidement et le rythme d’apparition de nouveaux programmes correspond à un tiers seulement du rythme de création de noms de domaine malveillants. »