TDL-4 : le rootkit qui forme un « botnet indestructible »
Kaspersky expose le malware TDL-4, un rootkit vicieux, très difficile à supprimer, infectant 4,5 millions de machines dans le monde.
« Le malware détecté par l’anti-virus de Kaspersky comme TDSS est la menace la plus sophistiqués à ce jour« , annonce le chercheur en sécurité Sergey Golovanov du Kaspersky Labs sur Securlist, information reprise par notre partenaire Silicon.fr.
Il est vrai que la bestiole a de quoi effrayer. Apparu en 2008, TDSS, qui se décline aujourd’hui dans sa 4ème version (TDL-4), échappe ainsi aux détections proactives et aux analyses heuristiques (comportementales).
Il se rend particulièrement discret en chiffrant les communications entre les différentes machines affectées (qui composent le botnet) et le centre de contrôle.
Difficile à suivre, donc. Enfin, une composante Rootkit lui permet de dissimuler la présence d’autres agents malveillants sur la machine affectée, précise le chercheur.
Pour parfaire le tout, TDL-4 infecte le MBR, le secteur de démarrage du disque dur, comme le bootkit Popureb dont nous vous parlions en début de semaine. Cela lui permet de se lancer au démarrage de la machine avant le système d’exploitation, et l’anti-virus aura le plus grand mal à détecter sa présence.
Mieux, TDL-4 sait détecter les autres agents malveillants en manque de discrétion pour les éliminer avant qu’il ne soit lui-même repéré.
« Pas tous, seulement les plus connus » modère le chercheur. Soit une vingtaine dont Gbot et Zeus. On se consolera comme on peut en se disant que c’est un bon moyen de lutter contre les malwares concurrents.
Résultat, TDL-4 aurait infecté près de 4,5 millions de machines, dont presque 140 000 en France.
Pour Sergey Golovanov, l’objectif des auteurs de TDSS est clair : créer un réseau infaillible de machines zombies.
« Les auteurs de TDL essaient principalement de créer un botnet ‘indestructible’ qui se protège des attaques, de la concurrence et des éditeurs d’antivirus. »
Un beau réseau à disposition de ceux qui veulent mener des campagnes de spam ou des attaques par DDoS massives, notamment.
Les éditeurs de sécurité ont donc du pain sur la planche pour protéger leurs clients.
Néanmoins, ces derniers peuvent se faciliter la vie en tentant de prévenir l’infection en regardant à deux fois avant de cliquer sur des liens potentiellement dangereux.
TDL-4 se propage par l’intermédiaire d’un réseau d’affiliés (qui touchent entre 20 et 200 dollars pour 1000 installations de TDL) qui propagent la bestiole sur les sites destinés aux pirates, aux contenus à caractères pornographiques, ou via les serveurs de stockage de fichiers et de vidéos.
Liste non exhaustive dans la mesure où « les affiliés peuvent utiliser n’importe quelle méthode d’installation de leur choix » précise Sergey Golovanov. Charmant.