Blog alldebrid

Un site utilisant WordPress

CACAOWEB, botnet on alldebrid !

Hello,

This news is here to tell you the DDoS problem we had from Saturday 10th to Monday 12th of September 2011, this attack was done to take down alldebrid.com

All started by a downtime, as any DDoS do. We were not the only one, Real-Debrid our main competitor were also down at the same period even at the same second.

We started an investigation to determine the attack type that we were handling to block it and avoid it later. It is at this time that we were able to see the extent of the botnet used:

It was more than 540 000 infected computers which try to take down the website with some request flooding ! I don’t know if it is the biggest one, but it was a big one anyway. For comparaison purposes, if there are 500 millions people on the Internet, 0.1% of Internet were on our website !

Then we still continue monitoring the attack during its activity before blocking it by some way we will not explain here for safety measures.

Then it becomes very interesting ! A member of Real-Debrid ( our competitor ), who never went on Alldebrid were banned on our service ! After checking it was effectly a part of the botnet. Then we started a remote session with the user agreement and our competitor and we checked launched programs with the Process Explorer software, and we were able to find the source :

CACAOWEB : This program pretends to be a limits remover for Megavideo and VideoBB but in reality it’s a botnet !

As you can see, an attack is currently running ( SYN Flood type ) on italia-film.com website ! The attacker also did a HTTP Flood on their website.

In order to be sure, we analyse it with Wireshark :

The showed packet is the request before the DNS one. As you can see, a brazilian IP adress send with UDP attack orders to Cacaoweb program ! Following this request, a DNS resolution is done to begin the attack !

Even more blatant:

This screenshot is showing the master IP of the DDoS attack sending the header to use to bring italia-film.com website down !

There is no doubt that CACAOWEB is a program for BOTNET purposes !
We have been the first victims.

Howto to uninstall it:

Ctrl + Alt + Del > Process > cacaoweb.exe > Right Click > Stop the process.

Then go in C:Program Files (x86)cacaoweb and delete cacaoweb.exe file
( Also take a look here : %APPDATA%Roamingcacaoweb )

Please tell that this program is used for a botnet !

All users of this software pays its free, the price of a botnet of that size is important and its owner must have his business profitable.

We hope this news will stop this botnet network.

Sincerely,

Tsukasagenesis

CACAOWEB, un botnet sur alldebrid !

Bonjour,

Cette news a pour objectif de vous raconter l’histoire de l’attaque ddos subie du samedi 10 au lundi 12 septembre 2011, attaque visant à rendre inaccessible le site alldebrid.com ainsi que son concurrent.

Tout a commencé par une indisponibilité du site, comme toute bonne attaque ddos qui se respecte. Nous n’avons pas été les seules victimes, Real-Debrid a été aussi touché durant la même période à la seconde près.

Nous avons commencé une enquête pour déterminer le type d’attaque qu’était en train de subir le site pour pouvoir la contrer et s’en prémunir. C’est à cet instant que nous avons pu constater l’ampleur du botnet utilisé :

C’est plus de 540 000 machines infectées  qui ont essayé de faire tomber le site web en FLOOD ! Je ne sais pas si c’est le plus gros, mais ça n’en reste pas moins considérable. A titre de comparaison, s’il y a 500 millions de personne sur internet, cela représente 0.1% d’internet sur notre site !

Nous avons ainsi continué à monitorer l’attaque pendant toute son activité avant de la bloquer, par une technique que je ne détaillerais pas par mesure de sécurité.

C’est ensuite que ça devient très intéressant ! Un membre de Real-Debrid (notre concurrent), qui n’est jamais allé sur Alldebrid c’est fait bannir sur notre service ! Après vérification, il faisait néanmoins bien parti de l’attaque DDoS. S’ensuit un accès à distance avec l’accord de ce fameux membre ainsi que notre concurrent et une vérification des différents programmes lancés avec le logiciel Process Explorer, et nous avons pu identifié la source :

CACAOWEB : Ce programme censé être un logiciel enlevant les limites de Mégavidéo et VideoBB est en réalité un BOTNET :

Comme vous le voyez, une attaque est actuellement en cours (de type SYN Flood) sur le site italia-film.com ! L’attaquant a aussi fait du HTTP Flood vers le serveur de ce site.

Pour en avoir le cœur net, nous l’avons analysé avec wireshark  :

La trame affichée est la requête précédant celle du DNS. Comme vous pouvez le voir, une IP Brésilienne envoit en UDP les ordres d’attaque vers le logiciel Cacaoweb ! Suite à cette demande, une requète de résolution est envoyée pour commencer l’attaque !

De façon encore plus flagrante :

Ce screen montre que l’IP maitre de l’attaque DDoS envoit le header à utiliser pour faire écrouler le site italia-film.com !

Il n’y a aucun doute sur le fait que CACAOWEB est un programme servant de BOTNET à son possesseur !

Nous en avons surtout fait les frais.

Comment le désinstaller :

Ctrl + Alt + Supr > processus > cacaoweb.exe > clique droit > stopper le processus.

Allez ensuite dans C:Program Files (x86)cacaoweb et supprimer cacaoweb.exe

Merci de faire tourner le mot que ce programme est utilisé pour un BOTNET !

Tous les utilisateurs de ce logiciel en paient le prix de sa gratuité, un botnet, et son créateur doit bien rentabiliser son affaire.

En espérant que cette news permettra d’enrayer ce réseau de botnet.

Amicalement,

Tsukasagenesis, admin d’alldebrid.com

Bonjour tout le monde !

Bienvenue dans WordPress. Ceci est votre premier article. Modifiez-le ou supprimez-le, puis lancez-vous !

Ouverture du blog alldebrid.

Bonjour,

cette news annonce juste l’ouverture du blog d’alldebrid à cette adresse :)

Hi,

this news annonce the beginning of alldebrid at this adress.