Une personne utilisant le pseudonyme « A Law Abiding Citizen » décrit comment le botnet Sality peut être détruit ou détourné, dans un mail envoyé à la liste de diffusion Full Disclosure. Le titre du message est sarcastique « ne démolissez pas le botnet Sality ». Pour mémoire, Sality est un virus infectant les fichiers, qui a été découvert il y a plus de 9 ans. Le malware a infecté plus de 100.000 ordinateurs, qui constituent un botnet en mode peer to peer très utilisé par les cybercriminels.
L'auteur met un lien sur un script Python (en format zip, mais qui n'est plus disponible sur le site de téléchargement) utilisé pour déterminer les URL de requêtes de mise à jour du botnet et télécharger un outil de suppression de Sality développé par l'antivirus AVG pour nettoyer les ordinateurs infectés. Les mises à jour de Sality sont généralement hébergées sur des sites web compromis, le script permet alors à l'ordinateur infecté de télécharger l'utilitaire de nettoyage.
« Techniquement parlant, ce plan peut fonctionner, même si le résultat peut se révéler imprévisible, car chaque ordinateur a des particularités matérielles et logicielles qui entrent en jeu lorsque le botnet est chargé de faire quelque chose », a déclaré Vikram Thakur, le directeur de Symantec Security Reponse. « De plus, forcer les clients du réseau d'ordinateurs zombies à télécharger l'outil de nettoyage est illégal car cela implique qu'on modifie l'ordinateur de la personne sans son autorisation », explique le dirigeant et d'ajouter « légalement et moralement, ce plan de démontage du botnet n'est pas bon ».
Une aide pour les pirates
Par conséquent, la mise à disposition de cette méthode est susceptible d'intéresser d'autres cybercriminels qui souhaitent détourner le botnet plutôt que d'aider les chercheurs en sécurité à le désactiver. Vikram Thakur estime que « les cybercriminels sont probablement déjà en train d'utiliser l'information contenue dans l'e-mail à leur avantage ». Toutefois, Symantec n'a pas vu de changements dans le réseau de zombies depuis la mise en ligne des instructions.
En effet, il existe un élément important sur la méthode que l'auteur n'a pas complétement révélé, les fichiers de téléchargement et d'exécution de mise à jour sur les ordinateurs zombies doivent être chiffrés d'une certaine manière. « Je ne peux pas fournir de détails sur la façon de créer un exécutable correctement chiffré, mais je pense que des gens savent déjà le faire ou devraient rapidement le découvrir ». « A Law Abiding Citizen » a promis de publier plus de détail sur Sality si le botnet est arrêté. « Il est malheureux que je sois incapable de le faire maintenant à cause de ces problèmes juridiques, mais, comme je suis sûr que vous le savez tous, il est plus important de respecter la loi que de corriger quelque chose», conclut-il sur une note ironique.
Une méthode de suppression du botnet Sality illégale, sauf pour les pirates
Un moyen pour détruire le botnet Sality a été rendu publique sur une liste de diffusion. Paradoxe, ce procédé ne peut pas être utilisé pour des raisons légales, mais les pirates pourraient s'en servir pour améliorer le botnet.