L'éditeur de NOD32 Antivirus attire l'attention sur un botnet jugé " très élaboré ". Basé en Géorgie avec 70 % des infections détectées, il a entamé son voyage vers d'autres pays à commencer par les États-Unis ( 5 % ), l'Allemagne ( 4 % ) et la Russie ( 3,5 % ). La France ( 1 % ) figure dans le Top 7 des pays les plus infectés.

L'arsenal du malware Win32/Georbot à l'origine du botnet est plutôt complet. Il vole des documents ( Word ) et certificats, peut créer des enregistrements audio et vidéo via la webcam, prend des captures d'écran, scanne tout un réseau local à la recherche d'informations et peut exécuter des commandes arbitraires sur un système infecté.

Une particularité notable est qu'il recherche des fichiers de configuration pour le Bureau à distance de Windows ( désactivé par défaut ) ce qui permet aux attaquants qui reçoivent ces fichiers de se connecter à distance sur une machine infectée, sans la nécessité d'avoir recours à un exploit. ESET souligne ainsi que cette approche contourne le besoin d'exploits pour le protocole RDP comme celui qui est récemment apparu.

Georbot n'est pas pour autant de première jeunesse et a été repéré fin 2010. Il est toujours en développement avec plusieurs variantes identifiées dont une le 20 mars. " W32/Georbot a la capacité de se mettre à jour pour se métamorphoser en une nouvelle version, ce qui lui permet de ne pas être détecté par les scanners anti-malware ", écrit ESET.

" Ce botnet peut également se mettre en repli s'il n'arrive pas à atteindre le serveur de commande et dès lors se connecter à une page Internet spéciale hébergée sur un serveur appartenant au gouvernement Georgien ", ajoute ESET qui précise que cela ne signifie pas une quelconque implication du gouvernement géorgien.

ESET ne pense pas qu'un État se cache derrière ce botnet, mais plutôt un groupe de cybercriminels en quête d'informations sensibles à revendre.