Découverte d'un nouveau botnet "pratiquement indestructible"

[Idelways]

Sécurité : découverte d'un nouveau botnet "pratiquement indestructible"
TDL-4 contrôle 4.5 millions d'ordinateurs dans le monde



Plus de 4.5 millions d'ordinateurs forment un nouveau botnet découvert par Kaspersky Labs qui le qualifie de « pratiquement indestructible ».

D'après un rapport publié par l'éditeur russe de solutions de sécurité, le botnet « TDL-4 » ainsi découvert revêt une architecture particulièrement sophistiquée qui le hisse au rang de la plus dangereuse menace de l'histoire de la sécurité informatique.

« TDSS utilise un ensemble de méthodes pour échapper aux signatures [numériques], aux [méthodes de détections] heuristiques et proactive et met en oeuvre le chiffrement des données pour faciliter les communications entre ses bots et le centre de contrôle et de command du Botnet », révèle Kaspersky.

TDL-4 dispose aussi d'un arsenal de rootkits qui lui permettent de dissimuler une variété d'autres types de logiciels malveillants dans le même système victime.

Comme son nom l'indique, ce botnet est la quatrième génération de la famille TDL apparue pour la première fois en 2008, depuis, ses créateurs sont arrivés à améliorer drastiquement leur précieux :

« Les changements de TDL-4 affectent pratiquement tous les composants du malwares », affirme Kaspersky qui lève le voile sur le commerce florissant qui permet au botnet de s'étendre rapidement encore et encore.

En effet, un système d'affiliation permet de rémunérer qui le veut entre 20 et 200$ pour chaque lot de 1000 installations de TDL-4. Des primes qui varient selon l'emplacement des ordinateurs cibles, le tiers d’entre eux est actuellement aux États unis.

Les méthodes de dissémination sont d'ailleurs nombreuses et multiples, les plus prisés par ces chasseurs de primes sont sans surprises les sites pour adultes, puis les services de stockage de fichiers, vidéos et enregistrements audio pirates.

En somme, les créateurs du botnet essayent de créer un « botnet indestructible, protégé contre les attaques venant de ses rivaux ou des sociétés éditrices d'antivirus »

Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus et agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.

Gbot, ZeuS, Clishmic, Optima sont parmi une vingtaine de célèbres malwares qui passent tous à la trappe en présence de TDL-4 qui règne sans aucun partage.

Parmi ses autres particularités notables, TDL utilise le réseau de Peer 2 Peer Kad pour contrôler son réseau de zombies, il dispose d'un module de serveur proxy et supporte les systèmes 64bits.



Source : Kaspersky Labs

Et vous ?

Que pensez-vous de cette découverte ? Et des caractéristiques de TDL4 ?

[GCSX_]

Citation:

Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus, agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.

Citation:

TDL utilise le réseau de Peer 2 Peer Kad

Donc en examinant le MBR et les communications on peut le déceler non?

[Idelways]

Bonjour,

Toutes les communications du botnet via les réseaux P2P sont chiffrées, ce qui rend leur identification plus difficile voire impossible.
Et comme l'ensemble n'utilise pas son propre protocole pour communiquer, il se fond dans la masse en quelque sorte

Cordialement
Idelways

[guilhem91]

Et pour le MBR ? (Quoique j'imagine bien que l'immense majorité des gens utilisant un ordinateur ne regarde pas régulièrement son MBR, et encore faut-il qu'elle sache ce que c'est...)

[Firwen]

Assez étrange que ce malware soit resté dans l'anonymat assez longtemps pour amasser 4,5Millions de bots, et encore plus étrange une telle sophistication, ce n'est pas à la portée d'un simple Hacker isolé.

[Psykocrash]

Un antivirus ne pourra détecter un MBR corrompu que s'il est lancé avant le virus (et là, le virus est lancé en premier).

[nu_tango]

Je confirme que c'est une bonne petite saleté : vu la "bête" (dans sa version 4) en action sur le PC sous MS Win 7 d'une connaissance. La seule solution assez fiable que j'ai trouvé était d'utiliser ce petit logiciel fort pratique (de Kaspersky justement) : http://support.kaspersky.com/viruses...?qid=208280684 Il avait en sus rapatrié tout un tas de ces petits copains rootkits, malwares et autres joyausetés.

Citation:

Et pour le MBR ? (Quoique j'imagine bien que l'immense majorité des gens utilisant un ordinateur ne regarde pas régulièrement son MBR, et encore faut-il qu'elle sache ce que c'est...)

Effectivement, démarrant avant l'OS donc avant l'antivirus, le truc serait quasi-indétectable si il n'avait pas la manie de faire planter quelquefois le kernel windows et donner un joli BSOD.

[hackoofr]

Citation:

Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus et agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.

Donc il va agir comme un Antivirus là ça devient de plus en plus dur à le détecter

[jv-boy]

Si on ecrase le MBR avec paer exemple une resintallation de windows ou encore de grub on elimine l'infection du MBR ?

[St-Jean]

Je ne sais pas si c'est la saloperie qui a infecté ma MBR jeudi dernier (message d'alerte de NOD32, impossibilité de nettoyer le cochonnerie, arrêt soudain de la machine, impossible de réparer avec les utilitaires de Windows, plus de démarrage possible, même en mode sans échec, CI.dll prétendument absente ou corrompue, à en croire l'outil de réparation — En fait CI.dll allait très bien, c'est juste le virus qui empêchait à Windows de voir la DLL.), mais le fait est que seul le TDSSKiller.exe de Kapersky (voir le lien de Nu Tango, ci-dessus) a été capable de me virer ce virus de mon disque dur (au moyen d'un autre ordi, sur lequel j'ai connecté le disque dur par USB au moyen d'un "dock"). NOD32 m'avait bien donné l'alerte, mais il n'a apparemment pas été en mesure de le nettoyer.
Quoi qu'il en soit, ma première infection en plus de 20 ans, ça se fête! (dans la mesure où j'ai réussi à m'en sortir sans casse)

[transgohan]

Ah donc en gros si lors du scan de mon anti-virus je trouve aucun mignon c'est que je suis infecté ?

[rupteur]

un seule solution pour être tranquille : boot sur live cd linux et scan du disque

[Reward]

Quelque part, c'est d'un niveau technique que je trouve très impressionnant.
Je serais curieux de savoir combien de personnes sont derrière ce "projet".

[lord anubis]

Je n'y connais rien en terme de piratage informatique, même si là je comprends d'après l'article que les développeurs de ce botnet sont des pros, voir plus encore XD.

Par contre, c'est quoi cette histoire de rémunération? Les hackeurs donnent de l'argent aux personnes qui les aident à le diffuser? Mais du coup il devrait être facile de remonter jusqu'au hackeurs, non?

[Spiff79]

Il suffit qu'un botnet démarre avant l'antivirus pour que ce dernier ne le détecte pas ? Et personne n'y a pensé avant ? Là, il y a un truc que je ne pige pas

[malkav1978]

Un jolie saleté que ce truc là.

Un autre solution pour l'erradiquer, un peu old school et radicale je le reconnait : le formatage de bas niveau.

[Homo_Informaticus]

En réécrivant/fixant le MBR, cela ne permet pas le non démarrage pour 1 boot le temps de éradiquer ?

[St-Jean]

Pourquoi ne font-ils pas d'antivirus qui démarrent avant les botnets???

[fregolo52]

Citation:

Envoyé par malkav1978

Un jolie saleté que ce truc là.

Un autre solution pour l'erradiquer, un peu old school et radicale je le reconnait : le formatage de bas niveau.

C'est bizarre qu'il ne ait pas encore eu un commentaire des personnes de l'autre côté de la Force !!! : "Moi j'ai un anti-virus infaillible, c'est le pingoin."

[puyopuyo]

Citation:

Envoyé par Spiff79

Il suffit qu'un botnet démarre avant l'antivirus pour que ce dernier ne le détecte pas ? Et personne n'y a pensé avant ? Là, il y a un truc que je ne pige pas

si c'est une technique très vieille. beaucoup de virus faisait ça sous dos. a l’époque la solution consisté a une détection par ton BIOS. il t'affichait un message comme quoi ton MBR avait changé et te prévenait que cela pouvait être normal ou que cela pouvait être un virus. mais le problème c'est que l'informatique se repend sans formation alors si tu affiche un message comme ça aujourd'hui c'est la panique assurée.