IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Découverte d'un nouveau botnet "pratiquement indestructible"


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut Découverte d'un nouveau botnet "pratiquement indestructible"
    Sécurité : découverte d'un nouveau botnet "pratiquement indestructible"
    TDL-4 contrôle 4.5 millions d'ordinateurs dans le monde



    Plus de 4.5 millions d'ordinateurs forment un nouveau botnet découvert par Kaspersky Labs qui le qualifie de « pratiquement indestructible ».

    D'après un rapport publié par l'éditeur russe de solutions de sécurité, le botnet « TDL-4 » ainsi découvert revêt une architecture particulièrement sophistiquée qui le hisse au rang de la plus dangereuse menace de l'histoire de la sécurité informatique.

    « TDSS utilise un ensemble de méthodes pour échapper aux signatures [numériques], aux [méthodes de détections] heuristiques et proactive et met en oeuvre le chiffrement des données pour faciliter les communications entre ses bots et le centre de contrôle et de command du Botnet », révèle Kaspersky.

    TDL-4 dispose aussi d'un arsenal de rootkits qui lui permettent de dissimuler une variété d'autres types de logiciels malveillants dans le même système victime.

    Comme son nom l'indique, ce botnet est la quatrième génération de la famille TDL apparue pour la première fois en 2008, depuis, ses créateurs sont arrivés à améliorer drastiquement leur précieux :

    « Les changements de TDL-4 affectent pratiquement tous les composants du malwares », affirme Kaspersky qui lève le voile sur le commerce florissant qui permet au botnet de s'étendre rapidement encore et encore.

    En effet, un système d'affiliation permet de rémunérer qui le veut entre 20 et 200$ pour chaque lot de 1000 installations de TDL-4. Des primes qui varient selon l'emplacement des ordinateurs cibles, le tiers d’entre eux est actuellement aux États unis.

    Les méthodes de dissémination sont d'ailleurs nombreuses et multiples, les plus prisés par ces chasseurs de primes sont sans surprises les sites pour adultes, puis les services de stockage de fichiers, vidéos et enregistrements audio pirates.

    En somme, les créateurs du botnet essayent de créer un « botnet indestructible, protégé contre les attaques venant de ses rivaux ou des sociétés éditrices d'antivirus »

    Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus et agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.

    Gbot, ZeuS, Clishmic, Optima sont parmi une vingtaine de célèbres malwares qui passent tous à la trappe en présence de TDL-4 qui règne sans aucun partage.

    Parmi ses autres particularités notables, TDL utilise le réseau de Peer 2 Peer Kad pour contrôler son réseau de zombies, il dispose d'un module de serveur proxy et supporte les systèmes 64bits.



    Source : Kaspersky Labs

    Et vous ?

    Que pensez-vous de cette découverte ? Et des caractéristiques de TDL4 ?

  2. #2
    Membre confirmé
    Inscrit en
    février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 230
    Points : 579
    Points
    579
    Par défaut
    Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus, agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.
    TDL utilise le réseau de Peer 2 Peer Kad
    Donc en examinant le MBR et les communications on peut le déceler non?

  3. #3
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut
    Bonjour,

    Toutes les communications du botnet via les réseaux P2P sont chiffrées, ce qui rend leur identification plus difficile voire impossible.
    Et comme l'ensemble n'utilise pas son propre protocole pour communiquer, il se fond dans la masse en quelque sorte

    Cordialement
    Idelways

  4. #4
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    mars 2010
    Messages
    58
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mars 2010
    Messages : 58
    Points : 108
    Points
    108
    Par défaut
    Et pour le MBR ? (Quoique j'imagine bien que l'immense majorité des gens utilisant un ordinateur ne regarde pas régulièrement son MBR, et encore faut-il qu'elle sache ce que c'est...)

  5. #5
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : juin 2009
    Messages : 472
    Points : 1 539
    Points
    1 539
    Par défaut
    Assez étrange que ce malware soit resté dans l'anonymat assez longtemps pour amasser 4,5Millions de bots, et encore plus étrange une telle sophistication, ce n'est pas à la portée d'un simple Hacker isolé.
    It's not a bug, it's a feature

  6. #6
    Membre du Club
    Profil pro
    Inscrit en
    avril 2007
    Messages
    38
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations forums :
    Inscription : avril 2007
    Messages : 38
    Points : 42
    Points
    42
    Par défaut
    Un antivirus ne pourra détecter un MBR corrompu que s'il est lancé avant le virus (et là, le virus est lancé en premier).

  7. #7
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    mai 2007
    Messages
    132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2007
    Messages : 132
    Points : 419
    Points
    419
    Par défaut
    Je confirme que c'est une bonne petite saleté : vu la "bête" (dans sa version 4) en action sur le PC sous MS Win 7 d'une connaissance. La seule solution assez fiable que j'ai trouvé était d'utiliser ce petit logiciel fort pratique (de Kaspersky justement) : http://support.kaspersky.com/viruses...?qid=208280684 Il avait en sus rapatrié tout un tas de ces petits copains rootkits, malwares et autres joyausetés.

    Et pour le MBR ? (Quoique j'imagine bien que l'immense majorité des gens utilisant un ordinateur ne regarde pas régulièrement son MBR, et encore faut-il qu'elle sache ce que c'est...)
    Effectivement, démarrant avant l'OS donc avant l'antivirus, le truc serait quasi-indétectable si il n'avait pas la manie de faire planter quelquefois le kernel windows et donner un joli BSOD.

  8. #8
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    3 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 3 736
    Points : 9 032
    Points
    9 032
    Par défaut
    Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus et agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.
    Donc il va agir comme un Antivirus là ça devient de plus en plus dur à le détecter

  9. #9
    Membre régulier
    Inscrit en
    avril 2011
    Messages
    56
    Détails du profil
    Informations forums :
    Inscription : avril 2011
    Messages : 56
    Points : 118
    Points
    118
    Par défaut
    Si on ecrase le MBR avec paer exemple une resintallation de windows ou encore de grub on elimine l'infection du MBR ?

  10. #10
    Membre averti
    Profil pro
    TDG
    Inscrit en
    mars 2007
    Messages
    142
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : TDG

    Informations forums :
    Inscription : mars 2007
    Messages : 142
    Points : 338
    Points
    338
    Par défaut
    Je ne sais pas si c'est la saloperie qui a infecté ma MBR jeudi dernier (message d'alerte de NOD32, impossibilité de nettoyer le cochonnerie, arrêt soudain de la machine, impossible de réparer avec les utilitaires de Windows, plus de démarrage possible, même en mode sans échec, CI.dll prétendument absente ou corrompue, à en croire l'outil de réparation — En fait CI.dll allait très bien, c'est juste le virus qui empêchait à Windows de voir la DLL.), mais le fait est que seul le TDSSKiller.exe de Kapersky (voir le lien de Nu Tango, ci-dessus) a été capable de me virer ce virus de mon disque dur (au moyen d'un autre ordi, sur lequel j'ai connecté le disque dur par USB au moyen d'un "dock"). NOD32 m'avait bien donné l'alerte, mais il n'a apparemment pas été en mesure de le nettoyer.
    Quoi qu'il en soit, ma première infection en plus de 20 ans, ça se fête! (dans la mesure où j'ai réussi à m'en sortir sans casse)

  11. #11
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 347
    Points
    9 347
    Par défaut
    Ah donc en gros si lors du scan de mon anti-virus je trouve aucun mignon c'est que je suis infecté ?

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  12. #12
    Membre averti
    Homme Profil pro
    Informaticien
    Inscrit en
    juin 2004
    Messages
    180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gers (Midi Pyrénées)

    Informations professionnelles :
    Activité : Informaticien
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : juin 2004
    Messages : 180
    Points : 337
    Points
    337
    Par défaut
    un seule solution pour être tranquille : boot sur live cd linux et scan du disque

  13. #13
    Membre confirmé

    Profil pro
    Développeur .NET
    Inscrit en
    août 2004
    Messages
    178
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : août 2004
    Messages : 178
    Points : 633
    Points
    633
    Par défaut
    Quelque part, c'est d'un niveau technique que je trouve très impressionnant.
    Je serais curieux de savoir combien de personnes sont derrière ce "projet".

  14. #14
    Membre du Club Avatar de lord anubis
    Inscrit en
    février 2006
    Messages
    114
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations forums :
    Inscription : février 2006
    Messages : 114
    Points : 59
    Points
    59
    Par défaut
    Je n'y connais rien en terme de piratage informatique, même si là je comprends d'après l'article que les développeurs de ce botnet sont des pros, voir plus encore XD.

    Par contre, c'est quoi cette histoire de rémunération? Les hackeurs donnent de l'argent aux personnes qui les aident à le diffuser? Mais du coup il devrait être facile de remonter jusqu'au hackeurs, non?

  15. #15
    Membre du Club
    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2005
    Messages
    33
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : mars 2005
    Messages : 33
    Points : 49
    Points
    49
    Par défaut
    Il suffit qu'un botnet démarre avant l'antivirus pour que ce dernier ne le détecte pas ? Et personne n'y a pensé avant ? Là, il y a un truc que je ne pige pas

  16. #16
    Membre actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2004
    Messages
    46
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Transports

    Informations forums :
    Inscription : août 2004
    Messages : 46
    Points : 214
    Points
    214
    Par défaut
    Un jolie saleté que ce truc là.

    Un autre solution pour l'erradiquer, un peu old school et radicale je le reconnait : le formatage de bas niveau.

  17. #17
    Membre averti
    Homme Profil pro
    Consultant fonctionnel
    Inscrit en
    août 2010
    Messages
    98
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Irlande

    Informations professionnelles :
    Activité : Consultant fonctionnel
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2010
    Messages : 98
    Points : 318
    Points
    318
    Par défaut
    En réécrivant/fixant le MBR, cela ne permet pas le non démarrage pour 1 boot le temps de éradiquer ?

  18. #18
    Membre averti
    Profil pro
    TDG
    Inscrit en
    mars 2007
    Messages
    142
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : TDG

    Informations forums :
    Inscription : mars 2007
    Messages : 142
    Points : 338
    Points
    338
    Par défaut
    Pourquoi ne font-ils pas d'antivirus qui démarrent avant les botnets???

  19. #19
    Expert confirmé Avatar de fregolo52
    Homme Profil pro
    Développeur C
    Inscrit en
    août 2004
    Messages
    2 364
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur C

    Informations forums :
    Inscription : août 2004
    Messages : 2 364
    Points : 5 284
    Points
    5 284
    Par défaut
    Citation Envoyé par malkav1978 Voir le message
    Un jolie saleté que ce truc là.

    Un autre solution pour l'erradiquer, un peu old school et radicale je le reconnait : le formatage de bas niveau.
    C'est bizarre qu'il ne ait pas encore eu un commentaire des personnes de l'autre côté de la Force !!! : "Moi j'ai un anti-virus infaillible, c'est le pingoin."

  20. #20
    Membre du Club
    Profil pro
    Inscrit en
    mars 2004
    Messages
    46
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2004
    Messages : 46
    Points : 54
    Points
    54
    Par défaut
    Citation Envoyé par Spiff79 Voir le message
    Il suffit qu'un botnet démarre avant l'antivirus pour que ce dernier ne le détecte pas ? Et personne n'y a pensé avant ? Là, il y a un truc que je ne pige pas
    si c'est une technique très vieille. beaucoup de virus faisait ça sous dos. a l’époque la solution consisté a une détection par ton BIOS. il t'affichait un message comme quoi ton MBR avait changé et te prévenait que cela pouvait être normal ou que cela pouvait être un virus. mais le problème c'est que l'informatique se repend sans formation alors si tu affiche un message comme ça aujourd'hui c'est la panique assurée.

Discussions similaires

  1. Réponses: 10
    Dernier message: 06/07/2011, 20h03
  2. Découverte d'un nouveau botnet "pratiquement indestructible"
    Par Idelways dans le forum Actualités
    Réponses: 0
    Dernier message: 30/06/2011, 22h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo