Le très fameux éditeur d’antivirus Eset, vient de mettre la main sur un malware plutôt discret puisqu’il agit en secret depuis près de trois ans et qu’il est parvenu à infecter plus de 25000 systèmes. Le nom de ce malware est « Windigo » et sa spécialité, l’infection de serveurs pour générer des spams dans le monde et des mauvaises redirections.
35 millions de spams chaque jour et 700 serveurs redirigeant vers des URL malicieuses…
Lorsque l’on dit que le malware Windigo n’a contaminé que 25000 systèmes, certains se diront que cela n’est pas grand-chose, mais il ne s’agit pas de PC. En effet, la spécialité de Windigo était d’infecter directement les serveurs, près de 10000 d’entre eux étaient des serveurs UNIX ou Linux. L’objectif principal de ce virus était surtout de créer un botnet à partir de serveurs, destiné à générer des spams, à faire des redirections trompeuses et à voler du contenu sur les serveurs.
Ce malware est parvenu à rester sous les radars depuis 2011, une prouesse car 3 ans, c’est long ! Surtout lorsque l’on sait que Windigo était capable de générer 35 millions de spams par jour et qu’il pouvait utiliser plus de 700 serveurs pour effectuer des redirections vers du contenu malicieux, avec potentiellement 500.000 terminaux touchés lors de visites sur le web. De plus, Windigo était assez élaboré puisqu’il était capable de contaminer aussi bien des systèmes, Windows, Mac OS X, FreeBSD, Linux, OpenBSD, etc.
Une collaboration entre ESET et CERT-Bund, à l’origine de la découverte de Windigo
L’éditeur antivirus Eset et le CERT-Bund ont collaboré pour mettre à jour l’existence de Windigo et ils ont révélé que les trois composantes principales de ce dernier étaient :
- Le spam, via un script Perl (Perl/Calfbot)
- Le vol d’identifiants, grâce à un backdoor dans OpenSSH (Linux/Ebury)
- La redirection de trafic internet, au moyen d’un backdoor HTTP (Linux/Cdorked)
