« Nous avons tenu à révéler tous les détails sur la dernière variante de Kraken, qui inclue la nouvelle
liste de noms de domaine ainsi que l’algorithme utilisé, afin de rassembler le maximum de données
concernant ce botnet. En effet, plus les éditeurs de logiciels de sécurité informatique partageront leurs
connaissances quant à cette menace, plus grandes seront les chances d’en venir à bout », déclare
Sergei Shevchenko, Chercheur Senior du département Malware de PC Tools.

– Un cache-cache à l’échelle mondiale

D’après les chercheurs de PC Tools, la dernière version du Kraken est codée de manière à ce que peu
de solutions anti-malwares traditionnelles parviennent à le détecter. Grâce à son enquête, PC Tools
dévoile également que cette nouvelle version représente une menace importante en raison de ses
nouvelles techniques, qui incluent des facteurs de hasard et d’imprévisibilité.

La toute dernière version du ver Kraken a été en premier lieu interceptée et bloquée par Threat Fire,
le logiciel de protection de PC Tools basé sur la détection comportementale. Par la suite, dans le cadre
d’analyses approfondies, Threat Fire a transmis l’échantillon de la menace à un système automatisé
d’analyse utilisé par PC Tools et appelé Threat Expert. Celui-ci a mis à jour le comportement nuisible
de la menace et a alerté les chercheurs de malwares de PC Tools quant à la nouvelle caractéristique
de ce botnet.

Des analyses approfondies ont révélé que, pour contourner les systèmes de protection anti-malwares,
la nouvelle version de Kraken communique à ses centres de contrôle via HTTP (le langage utilisé par
les navigateurs Internet pour communiquer avec les sites web), en utilisant des adresses d’une
longueur de 7 à 12 caractères, suivies de l’une des extensions de domaine suivants : dyndns.org,
yi.org, mooo.com, dynserv.com, com, cc ou net.

– Kraken : un ver adaptatif et résistant

La caractéristique du botnet Kraken est qu’il peut générer des mots de manière aléatoire, qu’il utilise
ensuite pour produire des entêtes et des URL au hasard. Grâce à une règle interne lui indiquant à quel
moment taper une voyelle ou une consonne, le ver Kraken est capable de construire des mots
dynamiques, avec les voyelles et les consonnes adéquates. Le mot généré au hasard peut être suivi
par un suffixe que le bot sélectionne dans une liste de 33 mots (qui comprend des noms communs,
des verbes, des adjectifs et des adverbes de langue anglaise) tels que -able, -dom, -hood, -ment, -
ship, -ly, ou -ency .

« Ce que nous analysons principalement est un générateur de mots anglais factices, c’est-à-dire un
générateur qui suit des règles de grammaire anglaise et qui conçoit des mots artificiels similaires aux
mots de la langue anglaise », précise Sergei Shevchenko.

Le générateur de mot est destiné à contourner les filtres anti-spam et les algorithmes qui ont la
capacité de détecter le caractère aléatoire des mots en créant des combinaisons de lettres et de
chiffres inhabituelles. Si une règle ou un algorithme ne peut être construit pour reconnaître de tels
mots, alors ceux-ci ne peuvent pas être détectés ou bloqués.

Au cours des dernières 24h, les experts en recherche malware de PC Tools ont fait état d’infections
par le bot Kraken dans les pays suivants : Italie, Turquie, Norvège, Macédonie, Porto Rico, Thaïlande,
République Dominicaine, Nouvelle Zélande, Roumanie, Etats-Unis, Jamaïque, Grèce, Mexique, Maroc,
Panama, Grande Bretagne, Equateur, Argentine, Suède, Serbie, Kazakhstan, Algérie, Uruguay, Liban,
Jordanie, Antigua et Barbuda, Australie, Bosnie et Herzegovine.

Grâce aux incidents d’infection de Kraken, le système automatisé d’analyse Threat Expert a prouvé
que, dans certains cas, la menace se répandait via MSN Messenger. Le message contenait un fichier
ZIP ou RAR avec un nom de dossier incluant un tiret :
“pic_[random_number].jpeg”,
“picture_[random_number].jpeg”,
ou bien “album[random_number].jpeg”.

« Le fait que cette nouvelle version de Kraken utilise de nouvelles techniques avancées souligne
d’autant plus son caractère hautement nuisible et requiert un niveau d’analyse et de protection avancé
des systèmes informatiques », conclut Shevchenko.