Twitch Booster

De JVFlux
Révision datée du 2 septembre 2022 à 23:59 par user: 206c3cd (?) (bonsoir, après vérification jewstice est bel et bien le créateur de twitch booster, voir wiki sneus ghanlow et moebius, sneus a juste changé le nom en "stream helper")
Machine virtuelle sous Windows 10, infecté par Twitch Booster !
Archive de Twitch Booster sur un des raids qui a eu lieu en 2016, vidéo disponible ici

Twitch Booster (AKA: Virus risitas) est un virus qui a entièrement été créé et mis à jour par le forumeur Jewstice depuis Juillet 2016.



NOTE: CONTRAIREMENT AUX LÉGENDES, TWITCH BOOSTER NE DÉTRUIT PAS PHYSIQUEMENT LE PC DE LA VICTIME, (physiquement impossible surtout) CELUI CI REMPLACE LE MBR EMPÊCHANT LE DÉMARRAGE DE WINDOWS.

Diffusion

Des membres du 18-25 se donnaient Rendez-vous sur un serveur vocal discord (Twitch Game, Risiraid ou Team Exood) afin de pouvoir communiquer, les membres se rendaient ensuite massivement sur un live d'un streamer débutant et avec peu de viewers, ils signalaient des dysfonctionnements sur le live (bugs, freezes et lags). Pour y remédier, le 18-25 proposait au streamer d'installer un logiciel qui allait régler tout les problèmes. Le virus était promu dans une fausse vidéo tutoriel, qui proposait de télécharger l' extension Twitch Booster dans la description (Cette vidéo fût réalisée par un proche de Jewstice). Si le streamer était naïf et qu' il fesait confiance au 18-25, il telechargait le virus via un lien Mega. Si le streamer avait un antivirus, il détectait Twitch Booster comme étant malveillant, cependant le 18-25 insistait, en expliquant qu'il s' agit d'un faux positif. Le streamer lançait ensuite le virus sur son PC.

Le virus gagna rapidement en popularité, et le logiciel Twitch Booster, commença à être connu comme étant dangereux. Le virus fût donc également distribué sous le nom Twitch+ et StreamHelpersSetup, afin de ne pas éveiller les soupçons. Ce virus est également surnommé "Virus 18 25" et "Virus Risitas", car il fait référence a Juan Joya Borja, un meme internet et une icône des forums de jeuxvideo.com.

Le troll était filmé et si il réussissait, la vidéo était évidement diffusé sur YouTube. Le nombre de vidéos ou nous voyons des personnes se faire pirater font légion sur internet, donc soyez prudents quand vous installez un logiciel.

Payloads et Reverse engineering

Twitch Booster ressemble beaucoup plus à n'importe quel jokeware/scareware que autre chose, on peut facilement le démontrer vu qu' il a été entièrement codé en Batch et en VBScript, il s' agit en réalité de plusieurs fichiers qui ont été rassemblés dans un exécutable avec l'outil iExpress de Microsoft. Twitch Booster n'a pas été entièrement codé par Jewstice, contrairement à ce que démontre le texte situé tout au haut de la page, un parfait exemple serait l'effet de Melting qui a été volé d'une des nombreuses vidéos qui ont fait démonstration du logiciel. Nous pouvons tenir en conclusion que Twitch Booster serait un virus dit "fait maison".

Le virus est extrêmement perturbateur et destructeur, après avoir été exécuté, il enchaîne les payloads visuels pour forcer la victime à réaliser qu' elle vient de perdre le contrôle de son ordinateur. Contrairement aux rumeurs, le virus ne détruit pas physiquement la machine, celui ci le MBR (PhysicalDrive0) avant de supprimer tout le contenu de l' ordinateur.

Tout les payloads sont listés ici et s'exécutent en ordre chronologique :

-Dés son lancement, le virus va demander des droits administrateur, si ils sont accordés, le virus va remplacer le MBR de l' ordinateur, par un jeu Snake, récupéré sur ce topic. Ce qui rend l' extinction de l' ordinateur fatale, vu qu' au prochain redémarrage, le jeu snake va se lancer à la place du système d'exploitation.

-Faux messages d'installation.

-60 secondes d'attente.

-Les clics de la souris sont inversés.

-Une voix venant du synthétiseur vocal de Microsoft prononce cette phrase : "Coucou, je suis juste la petite voix qui te dit que le 18 25 vient de détruire ton PC et ce à tout jamais. Amuse toi bien a le réparer fils de viol, très content. Dedi aux kheys du 18 25."

-Le virus ferme les programmes suivants si ils sont ouverts, afin que la victime puisse avoir une parfaite vue du désastre sur son ordinateur : Google Chrome, Mozilla Firefox, Microsoft Edge, Internet Explorer, Garry's Mod, Minecraft, le virus ferme également explorer.exe, cela a pour effet de désactiver le bureau, le menu démarrer, la barre des taches et l'accès aux fichiers personnels.

-Le virus change le fond d'écran par une image de risitas venant de cette vidéo.

-Le virus joue la musique Issou Night Club de Remi Flip, cette musique est un remix de Five Hours de Deorro.

-Un effet "melting" s'ajoute au fond d'écran.

-La trappe du lecteur CD s'ouvre en boucle, sans se refermer.

-Les leds ver maj, ver num et arrêt du clavier clignotent en boucle, pour se faire un script VBS fera appel à la fonction "sendkeys" toute les 100 milisecondes.

-Le virus lance un compteur de 5 minutes avant que le pc ne se redémarre automatiquement avec comme message à l'écran : "Dans 5 minutes tu n'as plus de PC fils de viol, le 18-25 t'a bien baiser le cul :)" (La faute d' orthographe à "baisé" n' est pas une erreur de notre part, la faute y est bel et bien présente.)

-Un grand nombre de messages box apparaissent à l'écran, titrées "L'Élite de la Nation" et contenant comme message : "LE 18-25 T'A BIEN BAISER LE FION PUTAIN DE GROS FILS DE PUTE". (La faute d' orthographe à "baisé" n' est pas une erreur de ma part, le virus contient cette faute.)

-Le virus lance un très grand nombre de pages dans le navigateur, montrant une image très injurieuse où on peut observer un homme s'enfonçant un jouet cactus dans le rectum. L' image est connue sous le nom de screamer cactus.

-Le logiciel malveillant supprime tous les fichiers du disque dur C:\ dépendamment des permissions qui lui seront accordés.

-Une fois l'ordinateur redémarré, le jeu vidéo snake se lance à la place du système d'exploitation (si le virus a été lancé en tant qu'administrateur. ) Contrairement à certaines rumeurs, marquer un certain score ne permettra pas de regagner son ordinateur, pour cela il va falloir une toute nouvelle installation de Windows 10/11.

Un ou des "Virus Risitas" ?

De nombreuses variantes ont été créés par d'autres personnes que Jewstice. Ces versions sont majoritairement de très mauvaise qualité et très différentes du malware original, la plupart de ces versions sont inoffensives. De très nombreux tutoriels sont disponibles sur YouTube pour que vous puissiez créer votre propre variante (pourris). Depuis plusieurs années, l'original de Twitch Booster est devenu quasiment introuvable sur le net dû à la suppression de tout les liens de téléchargements (presque <:) qui étaient anciennement disponible. Et c'est bien entendu, ce qui a contribué au succès de ces versions "non-officielles" dont notamment la variante dite "BACK".

Informations Complémentaires

Si votre PC est infecté par Twitch Booster, vous pouvez le réparer en suivant ce tutoriel.

Les Raids Twitch visant à pirater les ordinateurs des streamers ont plus au moins cessé depuis 2017, cependant, le virus restera une icône de JVC, longtemps après son utilisation, ci bien qu'encore aujourd'hui, certains membres du 18-25 veulent le télécharger pour le tester sur une VM ou pour troller des streamers débutants.

Il est également important de rappeler que le piratage d'un ordinateur est un délit punit par la loi. Cet article a été écrit à but informatif, nous ne vous encourageons en aucun cas à utiliser Twitch Booster ou autre logiciel malveillant sur un autre réseau que le vôtre.

Voici l' analyse VirusTotal de Twitch Booster.

Références

- https://malwiki.org/index.php?title=Twitch_Booster

- https://www.malekal.com/18-25-hack-elite-nation-trojan-kikoolol/

https://forums.commentcamarche.net/forum/affich-34643425-stream-helpers-ce-logiciel-est-sans-risque-ou-pas

- https://www.youtube.com/watch?v=49jDOQMzIKc