Actualité
logo-botnet

TDL-4 : le rootkit qui forme un « botnet indestructible »

Kaspersky expose le malware TDL-4, un rootkit vicieux, très difficile à supprimer, infectant 4,5 millions de machines dans le monde.

Le 1 juillet 2011 par La Rédaction 4 Commentaires

« Le malware détecté par l’anti-virus de Kaspersky comme TDSS est la menace la plus sophistiqués à ce jour« , annonce le chercheur en sécurité Sergey Golovanov du Kaspersky Labs sur Securlist, information reprise par notre partenaire Silicon.fr.

Il est vrai que la bestiole a de quoi effrayer. Apparu en 2008, TDSS, qui se décline aujourd’hui dans sa 4ème version (TDL-4), échappe ainsi aux détections proactives et aux analyses heuristiques (comportementales).


Il se rend particulièrement discret en chiffrant les communications entre les différentes machines affectées (qui composent le botnet) et le centre de contrôle.

Difficile à suivre, donc. Enfin, une composante Rootkit lui permet de dissimuler la présence d’autres agents malveillants sur la machine affectée, précise le chercheur.

Pour parfaire le tout, TDL-4 infecte le MBR, le secteur de démarrage du disque dur, comme le bootkit Popureb dont nous vous parlions en début de semaine. Cela lui permet de se lancer au démarrage de la machine avant le système d’exploitation, et l’anti-virus aura le plus grand mal à détecter sa présence.

Mieux, TDL-4 sait détecter les autres agents malveillants en manque de discrétion pour les éliminer avant qu’il ne soit lui-même repéré.

« Pas tous, seulement les plus connus » modère le chercheur. Soit une vingtaine dont Gbot et Zeus. On se consolera comme on peut en se disant que c’est un bon moyen de lutter contre les malwares concurrents.

Résultat, TDL-4 aurait infecté près de 4,5 millions de machines, dont presque 140 000 en France.

Pour Sergey Golovanov, l’objectif des auteurs de TDSS est clair : créer un réseau infaillible de machines zombies.

« Les auteurs de TDL essaient principalement de créer un botnet ‘indestructible’ qui se protège des attaques, de la concurrence et des éditeurs d’antivirus. »

Un beau réseau à disposition de ceux qui veulent mener des campagnes de spam ou des attaques par DDoS massives, notamment.

Les éditeurs de sécurité ont donc du pain sur la planche pour protéger leurs clients.

Néanmoins, ces derniers peuvent se faciliter la vie en tentant de prévenir l’infection en regardant à deux fois avant de cliquer sur des liens potentiellement dangereux.

TDL-4 se propage par l’intermédiaire d’un réseau d’affiliés (qui touchent entre 20 et 200 dollars pour 1000 installations de TDL) qui propagent la bestiole sur les sites destinés aux pirates, aux contenus à caractères pornographiques, ou via les serveurs de stockage de fichiers et de vidéos.

Liste non exhaustive dans la mesure où « les affiliés peuvent utiliser n’importe quelle méthode d’installation de leur choix » précise Sergey Golovanov. Charmant.

Le site permettant aux créateurs de TDL-4 de trouver des affiliés. Crédit : Kaspersky

PUBLICITE

Vous payez trop cher les appels de vos fixes vers les mobiles ?

Contactez-nous dès maintenant pour une étude personnalisée et chiffrée de vos besoins.

C’est simple et sans engagement ! Nos conseillers Entreprises sont à votre disposition pour établir un diagnostic complet de vos télécoms et vous orienter vers la meilleure solution.

Cliquez-ici

Autres articles sur ce sujet

Categories : Actualité, Communauté, Logiciels, Matériels, Micros de bureau, Portables, Protections, Réseau, Sécurité, Sécurité réseau, Systémes d'exploitation, Technologie, Télécommunications, Télécoms et réseaux.

Tags : , , , , , .

Derniers commentaires




4 Responses to TDL-4 : le rootkit qui forme un « botnet indestructible »

  • Le 1 juillet 2011 à 11:24 par eva

    en gros – tant que vous avez Windows vous êtes vulnérable!
    Passez à Linux!

    Répondre
  • Le 1 juillet 2011 à 11:38 par ludo

    Rien a voir dans ce cas là eva et pourtant repris par pleins de personnes mal informées à toutes les sauces.

    Linux est (sur certains points) plus secure que windows mais il reste tout aussi exposé à ce genre d’attaque (qui n exploite pas vraiment une faille si ce n’est l’homme lui meme).
    Comparez le nombre d’ordinateurs tournants sur windows et ceux sur linux, comparez aussi le type de personnes qui utilisent windows et celles qui utilisent linux, et là vous vous rendrez compte que ca ne dépend pas vraiment du logiciel.

    C’est comme si il y a 80% de voitures de marque X et 20 de marque Y, que les conducteurs de marque X n’ont pas de connaissances particulières de pilotage alors que ceux de la marque Y ont presque tous une bonne connaissance.
    Si il y a plus d’accidents avec la marque X , est ce simplement le fait de la voiture elle meme? …

    Répondre
  • Le 1 juillet 2011 à 11:43 par Lee bhien

    « Cela lui permet de se lancer au démarrage de la machine avant le système d’exploitation » donc peut importe l’OS (Linux, Windows, MacOS…)

    Répondre
  • Le 1 juillet 2011 à 11:47 par Laurent

    Oui Ludo,

    Mais il n’empêche qu’il faut promouvoir Linux ne serais-ce pour que sont prix.

    Répondre

Laisser un commentaire

  • Les champs obligatoires sont indiqués avec *,
    Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>