Pour gérer vos consentements :
Categories: Cloud

TDL-4 : le rootkit qui forme un « botnet indestructible »

« Le malware détecté par l’anti-virus de Kaspersky comme TDSS est la menace la plus sophistiqués à ce jour« , annonce le chercheur en sécurité Sergey Golovanov du Kaspersky Labs sur Securlist, information reprise par notre partenaire Silicon.fr.

Il est vrai que la bestiole a de quoi effrayer. Apparu en 2008, TDSS, qui se décline aujourd’hui dans sa 4ème version (TDL-4), échappe ainsi aux détections proactives et aux analyses heuristiques (comportementales).

Il se rend particulièrement discret en chiffrant les communications entre les différentes machines affectées (qui composent le botnet) et le centre de contrôle.

Difficile à suivre, donc. Enfin, une composante Rootkit lui permet de dissimuler la présence d’autres agents malveillants sur la machine affectée, précise le chercheur.

Pour parfaire le tout, TDL-4 infecte le MBR, le secteur de démarrage du disque dur, comme le bootkit Popureb dont nous vous parlions en début de semaine. Cela lui permet de se lancer au démarrage de la machine avant le système d’exploitation, et l’anti-virus aura le plus grand mal à détecter sa présence.

Mieux, TDL-4 sait détecter les autres agents malveillants en manque de discrétion pour les éliminer avant qu’il ne soit lui-même repéré.

« Pas tous, seulement les plus connus » modère le chercheur. Soit une vingtaine dont Gbot et Zeus. On se consolera comme on peut en se disant que c’est un bon moyen de lutter contre les malwares concurrents.

Résultat, TDL-4 aurait infecté près de 4,5 millions de machines, dont presque 140 000 en France.

Pour Sergey Golovanov, l’objectif des auteurs de TDSS est clair : créer un réseau infaillible de machines zombies.

« Les auteurs de TDL essaient principalement de créer un botnet ‘indestructible’ qui se protège des attaques, de la concurrence et des éditeurs d’antivirus. »

Un beau réseau à disposition de ceux qui veulent mener des campagnes de spam ou des attaques par DDoS massives, notamment.

Les éditeurs de sécurité ont donc du pain sur la planche pour protéger leurs clients.

Néanmoins, ces derniers peuvent se faciliter la vie en tentant de prévenir l’infection en regardant à deux fois avant de cliquer sur des liens potentiellement dangereux.

TDL-4 se propage par l’intermédiaire d’un réseau d’affiliés (qui touchent entre 20 et 200 dollars pour 1000 installations de TDL) qui propagent la bestiole sur les sites destinés aux pirates, aux contenus à caractères pornographiques, ou via les serveurs de stockage de fichiers et de vidéos.

Liste non exhaustive dans la mesure où « les affiliés peuvent utiliser n’importe quelle méthode d’installation de leur choix » précise Sergey Golovanov. Charmant.

Le site permettant aux créateurs de TDL-4 de trouver des affiliés. Crédit : Kaspersky

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

16 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago