CACAOWEB, un botnet sur alldebrid !

Bonjour,

Cette news a pour objectif de vous raconter l’histoire de l’attaque ddos subie du samedi 10 au lundi 12 septembre 2011, attaque visant à rendre inaccessible le site alldebrid.com ainsi que son concurrent.

Tout a commencé par une indisponibilité du site, comme toute bonne attaque ddos qui se respecte. Nous n’avons pas été les seules victimes, Real-Debrid a été aussi touché durant la même période à la seconde près.

Nous avons commencé une enquête pour déterminer le type d’attaque qu’était en train de subir le site pour pouvoir la contrer et s’en prémunir. C’est à cet instant que nous avons pu constater l’ampleur du botnet utilisé :

C’est plus de 540 000 machines infectées  qui ont essayé de faire tomber le site web en FLOOD ! Je ne sais pas si c’est le plus gros, mais ça n’en reste pas moins considérable. A titre de comparaison, s’il y a 500 millions de personne sur internet, cela représente 0.1% d’internet sur notre site !

Nous avons ainsi continué à monitorer l’attaque pendant toute son activité avant de la bloquer, par une technique que je ne détaillerais pas par mesure de sécurité.

C’est ensuite que ça devient très intéressant ! Un membre de Real-Debrid (notre concurrent), qui n’est jamais allé sur Alldebrid c’est fait bannir sur notre service ! Après vérification, il faisait néanmoins bien parti de l’attaque DDoS. S’ensuit un accès à distance avec l’accord de ce fameux membre ainsi que notre concurrent et une vérification des différents programmes lancés avec le logiciel Process Explorer, et nous avons pu identifié la source :

CACAOWEB : Ce programme censé être un logiciel enlevant les limites de Mégavidéo et VideoBB est en réalité un BOTNET :

Comme vous le voyez, une attaque est actuellement en cours (de type SYN Flood) sur le site italia-film.com ! L’attaquant a aussi fait du HTTP Flood vers le serveur de ce site.

Pour en avoir le cœur net, nous l’avons analysé avec wireshark  :

La trame affichée est la requête précédant celle du DNS. Comme vous pouvez le voir, une IP Brésilienne envoit en UDP les ordres d’attaque vers le logiciel Cacaoweb ! Suite à cette demande, une requète de résolution est envoyée pour commencer l’attaque !

De façon encore plus flagrante :

Ce screen montre que l’IP maitre de l’attaque DDoS envoit le header à utiliser pour faire écrouler le site italia-film.com !

Il n’y a aucun doute sur le fait que CACAOWEB est un programme servant de BOTNET à son possesseur !

Nous en avons surtout fait les frais.

Comment le désinstaller :

Ctrl + Alt + Supr > processus > cacaoweb.exe > clique droit > stopper le processus.

Allez ensuite dans C:Program Files (x86)cacaoweb et supprimer cacaoweb.exe

Merci de faire tourner le mot que ce programme est utilisé pour un BOTNET !

Tous les utilisateurs de ce logiciel en paient le prix de sa gratuité, un botnet, et son créateur doit bien rentabiliser son affaire.

En espérant que cette news permettra d’enrayer ce réseau de botnet.

Amicalement,

Tsukasagenesis, admin d’alldebrid.com

7 Comments to “CACAOWEB, un botnet sur alldebrid !”

  1. mattouexpat dit :

    Merci pour cette information hallucinante!!
    J’en parlerai

  2. jooo dit :

    merci pour l’infos, je m’etais fait avoir au debut ce plugin marchait tres bien puis a force je m’en été rendu compte car mon antivirus detectait que le plugin se modifiait.

  3. m4573rpunk dit :

    Dégoûté… un programme que j’utilisais tout les jours en plus… merci énormément pour l’info !

    Mais apparemment je suis bannis du site (j’ai accès au blog, mais le site ne répond pas, idem pour RealDebrid). Pouvez vous nous dire quand vous pensez nous deban ? Merci encore.

  4. llandon dit :

    merci beaucoup des potes a moi utilise justement ce prog j’vais virer ca de tous leur pc et faire tourner l’info un maximum sur les fofo encore merci

  5. Perec dit :

    Salut,
    j’ai eu à désinfecter la machine d’une amie après qu’on ait trouvé cacaoweb… envahissant. La simple suppression de l’exe ne suffit pas (il reste des inscriptions dans le registre et de curieux fichiers temporaires). Après m’être penché sur le reg, le sys32 et un rapport HiJackThis puis un autoscan (sachant que Spybot S&D ne trouvait rien) j’ai fait une petite recherche et j’ai trouvé une solution efficace ici : http://forum.malekal.com/virus-cacaoweb-t29402.html#p234394
    Site du fondateur du forum : http://www.malekal.com

    HTH,
    bon courage pour la suite,
    Perec

  6. Batard dit :

    Ne pas oublier de rechercher %APPDATA%Roamingcacaoweb
    (présent dans l’article anglais, mais pas pour la traduction)

Leave a Reply

(obligatoire)

(obligatoire)