Aller au contenu

« Twitch Booster » : différence entre les versions

Twitch Booster (voir la source)

Version du 22 septembre 2022 à 18:07

460 octets ajoutés ,  22 septembre 2022
refonte
VisuelWikicode
Aucun résumé des modifications
(refonte)
Ligne 1 : Ligne 1 :
{{BoxInfo|Si votre PC est infecté par Twitch Booster, vous pouvez le réparer en suivant ce tutoriel.}}
{{BoxInfo|Si votre PC est infecté par Twitch Booster, vous pouvez le réparer en suivant[https://www.youtube.com/watch?v=oEzZZlymD0I&ab_channel=Sheeplay ce tutoriel].}}
[[Catégorie:Délire]]
[[Fichier:twitch booster screamer cactus.jpg|vignette|450x450px|Effets du virus incluant le [[Screamer Cactus|screamer cactus]] (flouté ici)]]
[[File:Twitch.jpg|400px|thumb|Machine virtuelle sous Windows 10, infecté par Twitch Booster !]]
'''Twitch Booster''' (parfois appelé ''virus'' ''Risitas'' ou ''virus du 18-25'') et par la suite nommé '''Stream Helper''' est un virus créé en Juillet 2016 par des membres du [[Blabla 18-25 ans|forum 18-25 ans]] afin de [[raid]] des streameurs.
[[File:raid.png|400px|thumb|Archive de Twitch Booster sur un des raids qui a eu lieu en 2016, vidéo disponible [https://www.youtube.com/watch?v=rSb9ahWpEgw ici]]]
 
'''Twitch Booster''' (parfois appelé virus ''Risitas'') est un virus créé en Juillet 2016 par des membres du [[Blabla 18-25 ans|forum 18-25 ans]] afin de [[raid]] des streameurs.


Il est surtout utilisé entre 2016 et 2017 par des raideurs se réunissant sur Discord et trompant des streameurs en leur faisant croire que le logiciel les aiderait à développer leur chaîne Twitch ou Youtube. Une fois ouvert le virus déclenche un ensemble d'effets visuels et sonores moqueurs, puis rend l'ordinateur de la victime inutilisable (à moins de réaliser des manipulations complexes dans les fichiers sources de Windows.)
Il est surtout utilisé entre 2016 et 2017 par des raideurs se réunissant sur Discord et trompant des streameurs en leur faisant croire que le logiciel les aiderait à développer leur chaîne Twitch ou Youtube. Une fois ouvert le virus déclenche un ensemble d'effets visuels et sonores moqueurs, puis rend l'ordinateur de la victime inutilisable (à moins de réaliser des manipulations complexes dans les fichiers sources de Windows.)
Ligne 14 : Ligne 11 :
Twitch Booster refait surface mi-2022 lorsque Jewstice reprend les raids et provoque [[Affaire Twitch Booster de 2022|l'affaire Twitch Booster de 2022]] qui indigna le forum.
Twitch Booster refait surface mi-2022 lorsque Jewstice reprend les raids et provoque [[Affaire Twitch Booster de 2022|l'affaire Twitch Booster de 2022]] qui indigna le forum.
   
   
Contrairement aux idées reçues, Twitch Booster ne détruit pas physiquement le PC de la victime mais remplace le MBR empêchant le démarrage de Windows.
Contrairement aux idées reçues, Twitch Booster ne détruit pas physiquement le PC de la victime mais remplace le [https://fr.wikipedia.org/wiki/Master_boot_record MBR] empêchant le démarrage de Windows. Pour y remédier il faut se rendre dans le bios du PC, formater le disque dur et réinstaller Windows. Le virus détruit tous les fichiers au demeurant.
== Diffusion ==
== Mode opératoire==
 
[[File:raid.png|400px|thumb|Archive de Twitch Booster sur un des raids qui a eu lieu en 2016, vidéo disponible [https://www.youtube.com/watch?v=rSb9ahWpEgw ici]]]
Des membres du 18-25 se donnaient Rendez-vous sur un serveur vocal discord (Twitch Game, Risiraid ou Team Exood) afin de pouvoir communiquer, les membres se rendaient ensuite massivement sur un live d'un streamer débutant et avec peu de viewers, ils signalaient des dysfonctionnements sur le live (bugs, freezes et lags).
Pour y remédier, le 18-25 proposait au streamer d'installer un logiciel qui allait régler tout les problèmes.
Le virus était promu dans une fausse [https://youtu.be/rWMg0lgDU_k vidéo tutoriel], qui proposait de télécharger l' extension Twitch Booster dans la description (Cette vidéo fût réalisée par un proche de Jewstice).
Si le streamer était naïf et qu' il fesait confiance au 18-25, il telechargait le virus via un lien Mega.
Si le streamer avait un antivirus, il détectait Twitch Booster comme étant malveillant, cependant le 18-25 insistait, en expliquant qu'il s' agit d'un faux positif.
Le streamer lançait ensuite le virus sur son PC.
 
Le virus gagna rapidement en popularité, et le logiciel Twitch Booster, commença à être connu comme étant dangereux.
Le virus fût donc également distribué sous le nom [https://web.archive.org/web/20170326141132/http://twitchupgrade.com/ Twitch+] et [https://web.archive.org/web/20170404033711/http://www.streamhelpers.fr/ StreamHelpersSetup], afin de ne pas éveiller les soupçons.
Ce virus est également surnommé "Virus 18 25" et "Virus Risitas", car il fait référence a Juan Joya Borja, un meme internet et une icône des forums de jeuxvideo.com.
 
Le troll était filmé et si il réussissait, la vidéo était évidement diffusé sur YouTube.
Le nombre de vidéos ou nous voyons des personnes se faire pirater font légion sur internet, donc soyez prudents quand vous installez un logiciel.
 
== Payloads et Reverse engineering ==
 
Twitch Booster ressemble beaucoup plus à n'importe quel jokeware/scareware que autre chose, on peut facilement le démontrer vu qu' il a été entièrement codé en Batch et en VBScript, il s' agit en réalité de plusieurs fichiers qui ont été rassemblés dans un exécutable avec l'outil iExpress de Microsoft.
Twitch Booster n'a pas été entièrement codé par Jewstice, contrairement à ce que démontre le texte situé tout au haut de la page, un parfait exemple serait l'effet de Melting qui a été volé d'une des nombreuses vidéos qui ont fait démonstration du logiciel. Nous pouvons tenir en conclusion que Twitch Booster serait un virus dit "fait maison".
 
Le virus est extrêmement perturbateur et destructeur, après avoir été exécuté, il enchaîne les payloads visuels pour forcer la victime à réaliser qu' elle vient de perdre le contrôle de son ordinateur.
Contrairement aux rumeurs, le virus ne détruit pas physiquement la machine, celui ci le MBR (PhysicalDrive0) avant de supprimer tout le contenu de l' ordinateur.
 
'''Tout les payloads sont listés ici et s'exécutent en ordre chronologique :'''


-Dés son lancement, le virus va demander des droits administrateur, si ils sont accordés, le virus va remplacer le [https://fr.wikipedia.org/wiki/Master_boot_record MBR] de l' ordinateur, par un [https://www.malekal.com/wp-content/uploads/Trojan-18-25-jeuxvideo-com-elite-nation-action-4.jpg jeu Snake], récupéré sur [https://forum.osdev.org/viewtopic.php?f=2&t=21042&sid=bb342dd05c64d0c943ec51f9c09ddd0d ce topic.]
Les raids étaient opérés depuis un serveur Discord (''Twitch Game'' créé par Jewstice, ''Risiraid'' par Sneus, ou ''Team Exood'') et les membres rejoignaient un salon vocal afin de pouvoir communiquer. Ils se rendaient ensuite massivement sur le live d'un streamer débutant et avec peu de spectateurs. Afin de lui faire installer le virus, ils commençaient par signaler des dysfonctionnements sur le live (bugs, freezes et lags). Pour y remédier, les forumeurs proposaient au streamer d'installer un logiciel qui allait régler tous les problèmes.
Ce qui rend l' extinction de l' ordinateur fatale, vu qu' au prochain redémarrage, le jeu snake va se lancer à la place du système d'exploitation.


-Faux messages d'installation.
Le virus était promu dans une fausse [https://youtu.be/rWMg0lgDU_k vidéo tutoriel] réalisée par l'un des raideurs afin de mettre en confiance la victime si elle venait à chercher sur internet le nom du virus. Une fois téléchargé, l'antivirus détectait Twitch Booster comme étant malveillant. Cependant le 18-25 insistait en expliquant qu'il s'agissait d'un faux positif. Le streamer lançait ensuite le virus sur son PC provoquant l'hilarité des raideurs qui enregistraient la réaction du streameur (désespoir ou colère selon les cas).


-60 secondes d'attente.
Par la suite le raid sera partagé sur Youtube où les vidéos de victime du virus sont légion.


-Les clics de la souris sont inversés.
=== Amélioration du virus ===
Raid après raid, le virus gagna rapidement en popularité, et le logiciel Twitch Booster commença à être connu comme étant dangereux. [[Sneus]] prit alors en charge un ''rebranding'' du virus afin de ne pas éveiller les soupçons en le renommant [https://web.archive.org/web/20170326141132/http://twitchupgrade.com/ Twitch+] et [https://web.archive.org/web/20170404033711/http://www.streamhelpers.fr/ StreamHelpersSetup] et en créant un site web à l'aspect professionnel afin de promouvoir le virus. Il inclut également dans le code d'avantage d'effets et une fenêtre d'installateur. ''Gin'' réalise [https://www.youtube.com/watch?v=49jDOQMzIKc&ab_channel=Yona une vidéo de qualité] dans le même but.


-Une voix venant du [https://en.m.wikipedia.org/wiki/Microsoft_Speech_API synthétiseur vocal de Microsoft] prononce cette phrase : "Coucou, je suis juste la petite voix qui te dit que le 18 25 vient de détruire ton PC et ce à tout jamais. Amuse toi bien a le réparer fils de viol, très content. Dedi aux kheys du 18 25."
==Effets du virus==
[[Fichier:twitch booster 14.jpg|vignette|Effets du virus]]
Twitch Booster ressemble beaucoup plus à n'importe quel jokeware/scareware qu'autre chose, on peut facilement le démontrer vu qu'il a été entièrement codé en Batch et en VBScript. Il s'agit en réalité de plusieurs fichiers qui ont été rassemblés dans un exécutable avec l'outil iExpress de Microsoft.


-Le virus ferme les programmes suivants si ils sont ouverts, afin que la victime puisse avoir une parfaite vue du désastre sur son ordinateur : Google Chrome, Mozilla Firefox, Microsoft Edge, Internet Explorer, Garry's Mod, Minecraft,
Le virus est extrêmement perturbateur et destructeur, après avoir été exécuté il enchaîne les [https://www.cloudflare.com/fr-fr/learning/security/glossary/malicious-payload/ payloads] visuels pour informer la victime qu'elle vient de perdre le contrôle de son ordinateur. Des dizaines de fenêtres s'ouvrent en cascade contenant un message insultant, une voix récite un texte moqueur, des effets de melting s'ajoutent à la musique de [[Issou Night Club]].
le virus ferme également explorer.exe, cela a pour effet de désactiver le bureau, le menu démarrer, la barre des taches et l'accès aux fichiers personnels.


-Le virus change le fond d'écran par une [https://jvflux.fr/images/4/4d/fichiers-2016-44-1478471702-risitas.jpg image de risitas] venant de [https://youtu.be/yTIBjbU-m9g cette vidéo].
=== Ordre des payloads ===
Dés son lancement, le virus va demander des droits administrateur. Si ils sont accordés, le virus va remplacer le [https://fr.wikipedia.org/wiki/Master_boot_record MBR] de l'ordinateur par un [https://fr.wikipedia.org/wiki/Snake_(genre_de_jeu_vid%C3%A9o) jeu Snake] récupéré sur [https://forum.osdev.org/viewtopic.php?f=2&t=21042&sid=bb342dd05c64d0c943ec51f9c09ddd0d le forum OSDev.org] ce qui rend l'extinction de l'ordinateur fatale, vu qu'au prochain redémarrage, le jeu snake va se lancer à la place du système d'exploitation.


-Le virus joue la musique [https://youtu.be/oXxQX8Tlg9M Issou Night Club] de Remi Flip, cette musique est un remix de [https://youtu.be/K_yBUfMGvzc Five Hours] de Deorro.
* Faux messages d'installation.
* 60 secondes d'attente.
* Les clics de la souris sont inversés.
* Une voix venant du [https://en.m.wikipedia.org/wiki/Microsoft_Speech_API synthétiseur vocal de Microsoft] prononce cette phrase :  


-Un effet [https://malware.wikia.com/wiki/MeltingScreen "melting"] s'ajoute au fond d'écran.
<blockquote>''Coucou, je suis juste la petite voix qui te dit que le 18 25 vient de détruire ton PC et ce à tout jamais. Amuse toi bien a le réparer fils de viol, très content. Dedi aux kheys du 18 25.''</blockquote>


-La trappe du lecteur CD s'ouvre en boucle, sans se refermer.
* Si ils sont ouverts, le virus ferme les programmes suivants afin que la victime puisse avoir une parfaite vue du désastre sur son ordinateur : Google Chrome, Mozilla Firefox, Microsoft Edge, Internet Explorer, Garry's Mod, Minecraft. Le virus ferme également ''explorer.exe'' (cela a pour effet de désactiver le bureau) le menu ''démarrer'', la barre des taches et l'accès aux fichiers personnels.
* Le virus change le fond d'écran par l'image célèbre de [[Risitas]] tenant une pancarte en carton sur laquelle est inscrite une [[dédicace]] au 18-25 (provenant de [https://youtu.be/yTIBjbU-m9g cette vidéo].)
* Le virus joue la musique [https://youtu.be/oXxQX8Tlg9M Issou Night Club] de Remi Flip, cette musique est un remix de [https://youtu.be/K_yBUfMGvzc Five Hours] de Deorro.
* [[Fichier:twitch booster 15.jpg|vignette|450x450px|Effet ''melting'' du virus.]]Un effet [https://malware-history.fandom.com/wiki/MeltingScreen#:~:text=Behavior,%22MeltingScreen.exe%22%20name. ''melting''] s'ajoute au fond d'écran.
* La trappe du lecteur CD s'ouvre en boucle, sans se refermer.
* Les différentes LEDS du clavier clignotent, pour se faire un script VBS fera appel à la fonction "''sendkeys''" toute les 100 milisecondes.
* Le virus lance un compteur de 5 minutes avant que le pc ne redémarre automatiquement avec comme message à l'écran :


-Les leds ver maj, ver num et arrêt du clavier clignotent en boucle, pour se faire un script VBS fera appel à la fonction "sendkeys" toute les 100 milisecondes.
<blockquote>''Dans 5 minutes tu n'as plus de PC fils de viol, le 18-25 t'a bien baiser''<ref name=":0">On notera la présence d'une faute d'orthographe à ''baiser'' dans les deux messages.</ref> ''le cul :)''</blockquote>


-Le virus lance un compteur de 5 minutes avant que le pc ne se redémarre automatiquement avec comme message à l'écran : "Dans 5 minutes tu n'as plus de PC fils de viol, le 18-25 t'a bien baiser le cul :)"
* Un grand nombre de messages box apparaissent à l'écran, titrées ''[[Élite de la Nation|L'Élite de la Nation]]'' et contenant comme message :
(La faute d' orthographe à "baisé" n' est pas une erreur de notre part, la faute y est bel et bien présente.)


-Un grand nombre de messages box apparaissent à l'écran, titrées "L'Élite de la Nation" et contenant comme message : "LE 18-25 T'A BIEN BAISER LE FION PUTAIN DE GROS FILS DE PUTE".
<blockquote>LE 18-25 T'A BIEN BAISER<ref name=":0" /> LE FION PUTAIN DE GROS FILS DE PUTE</blockquote>
(La faute d' orthographe à "baisé" n' est pas une erreur de ma part, le virus contient cette faute.)


-Le virus lance un très grand nombre de pages dans le navigateur, montrant une image très injurieuse où on peut observer un homme s'enfonçant un jouet cactus dans le rectum.
* Ouverture d'un très grand nombre de pages dans le navigateur contenant le [[Screamer_Cactus|'''Screamer Cactus''']], lui aussi créé par le forum en 2012.
L' image est connue sous le nom de [[Screamer_Cactus|screamer cactus.]]
* Suppression de tous les fichiers du disque dur C:


-Le logiciel malveillant supprime tous les fichiers du disque dur C:\ dépendamment des permissions qui lui seront accordés.
Une fois l'ordinateur redémarré, le jeu vidéo ''snake'' se lance à la place du système d'exploitation (si le virus a été lancé en tant qu'administrateur. ) Contrairement à certaines rumeurs, marquer un certain score ne permet pas de regagner son ordinateur, pour cela il va falloir une toute nouvelle installation de Windows 10/11.


-Une fois l'ordinateur redémarré, le jeu vidéo snake se lance à la place du système d'exploitation (si le virus a été lancé en tant qu'administrateur. )
==Variantes du virus==
Contrairement à certaines rumeurs, marquer un certain score ne permettra pas de regagner son ordinateur, pour cela il va falloir une toute nouvelle installation de Windows 10/11.


== Un ou des "Virus Risitas" ? ==
De nombreuses variantes ont été créés par d'autres forumeurs. Suite au [https://avenoel.org/topic/391632-1-code-source-twitch-booster partage du code source], de très nombreux tutoriels sont disponibles sur YouTube pour créer sa propre variante. Depuis plusieurs années, l'original de Twitch Booster est devenu quasiment introuvable sur le net dû à la suppression de tout les liens de téléchargements qui étaient anciennement disponible. Et c'est bien entendu, ce qui a contribué au succès de ces versions "non-officielles" dont notamment la variante dite "BACK".


De nombreuses variantes ont été créés par d'autres personnes que Jewstice.
==Postérité==
Ces versions sont majoritairement de très mauvaise qualité et très différentes du malware original, la plupart de ces versions sont inoffensives.
De très nombreux tutoriels sont disponibles sur YouTube pour que vous puissiez créer votre propre variante (pourris).
Depuis plusieurs années, l'original de Twitch Booster est devenu quasiment introuvable sur le net dû à la suppression de tout les liens de téléchargements
(presque <:) qui étaient anciennement disponible.
Et c'est bien entendu, ce qui a contribué au succès de ces versions "non-officielles" dont notamment la variante dite "BACK".


== Informations Complémentaires ==
Les raids Twitch visant à pirater les ordinateurs des streamers ont grandement diminué depuis 2017. Cependant le virus restera une icône de [[Jeuxvideo.com|JVC]] longtemps après son utilisation, si bien qu'encore aujourd'hui certains membres du 18-25 veulent le télécharger pour le tester sur une machine virtuelle ou pour troller des streameurs débutants.


Si votre PC est infecté par Twitch Booster, vous pouvez le réparer en suivant [https://youtu.be/oEzZZlymD0I ce tutoriel.]
Il est également important de rappeler que le piratage d'un ordinateur est un délit punit par la loi. Cet article a été écrit à but informatif, nous ne vous encourageons en aucun cas à utiliser Twitch Booster ou autre logiciel malveillant sur un autre réseau que le vôtre.


Les Raids Twitch visant à pirater les ordinateurs des streamers ont plus au moins cessé depuis 2017, cependant, le virus restera une icône de JVC, longtemps après son utilisation, ci bien qu'encore aujourd'hui, certains membres du 18-25 veulent le télécharger pour le tester sur une VM ou pour troller des streamers débutants.
=== [[Affaire Twitch Booster de 2022]] ===
[[Jewstice]] reprendra activement les raids en 2022 mais d'une manière beaucoup plus condamnable en ciblant de jeunes enfants et en les faisant chanter. Cela mènera au raid de trop qui indignera le forum.  


Il est également important de rappeler que le piratage d'un ordinateur est un délit punit par la loi.
==Liens externes==
Cet article a été écrit à but informatif, nous ne vous encourageons en aucun cas à utiliser Twitch Booster ou autre logiciel malveillant sur un autre réseau que le vôtre.


Voici [https://www.virustotal.com/fr/file/f886926dd12a44a8857b1c28ca9ad28583c3428234f21f4b3ffade458a90386d/analysis/ l' analyse VirusTotal] de Twitch Booster.
* [https://www.virustotal.com/fr/file/f886926dd12a44a8857b1c28ca9ad28583c3428234f21f4b3ffade458a90386d/analysis/ L'analyse VirusTotal] de Twitch Booster.
* [https://malwiki.org/index.php?title=Twitch_Booster Page sur Malwiki.com]
* [https://www.malekal.com/18-25-hack-elite-nation-trojan-kikoolol/ Description sur Malekal.com]
* [https://www.youtube.com/watch?v=49jDOQMzIKc&ab_channel=Yona Vidéo de présentation du virus sous le nom de Stream Helpers]
* [https://www.youtube.com/watch?v=tbzclguVPLg&t=2s&ab_channel=RheoLIVE Vidéo de Rhéo, le premier streameur a avoir été infecté par le virus] en 2016


== Références ==
== Références ==
 
[[Catégorie:Délire]]
- https://malwiki.org/index.php?title=Twitch_Booster
[[Catégorie:Malveillance]]
 
- https://www.malekal.com/18-25-hack-elite-nation-trojan-kikoolol/
 
- https://forums.commentcamarche.net/forum/affich-34643425-stream-helpers-ce-logiciel-est-sans-risque-ou-pas
 
- <nowiki>https://www.youtube.com/watch?v=49jDOQMzIKc</nowiki>
ChocoRat
Kheys, Administrateurs
12 572

modifications

Récupérée de « https://jvflux.fr/Spécial:MobileDiff/128504 »