Diaposon

Pour Sergey Golovanov, chercheur pour Kaspersky, les sophistications de TDL-4 rend le botnet quasiment indestructible. Inquiétant.

  « Le malware détecté par l’anti-virus de Kaspersky comme TDSS est la menace la plus sophistiqués à ce jour », annonce le chercheur en sécurité Sergey Golovanov du Kaspersky Labs sur Securlist. Il est vrai que la bestiole a de quoi effrayer. Apparu en 2008, TDSS, qui se décline aujourd’hui dans sa 4e version (TDL-4), échappe ainsi aux détections proactives et aux analyses heuristiques (comportemental). Il se rend particulièrement discret en chiffrant les communications entre les différentes machines affectées (qui composent le botnet) et le centre de contrôle. Difficile à suivre, donc. Enfin, une composante Rootkit lui permet de dissimuler la présence d’autres agents malveillants sur la machine affectée, précise le chercheur.

Pour parfaire le tout, TDL-4 infecte le MBR, le secteur de démarrage du disque dur. Ce qui lui permet de se lancer au démarrage de la machine avant le système d’exploitation dont l’anti-virus aura le plus grand mal à détecter la présence. Mieux, TDL-4 sait détecter les autres agents malveillants en manque d’indiscrétion pour les éliminer avant qu’il ne soit lui-même repéré. « Pas tous, modère le chercheur, seulement les plus connus. » Soit une vingtaine dont Gbot et Zeus. On se consolera comme on peut en se disant que c’est un bon moyen de lutter contre les malwares concurrents.

Résultat, TDL-4 aurait infecté près de 4,5 millions de machines. Pour Sergey Golovanov, l’objectif des auteurs de TDSS est clair : créer un réseau infaillible de machines zombies. « Les auteurs de TDL essaient principalement de créer un botnet ‘indestructible’ qui se protège des attaques, de la concurrence et des éditeurs d’antivirus. » Un beau réseau à disposition de ceux qui veulent mener des campagnes de spam ou des attaques par DDoS massives, notamment.

Les éditeurs de sécurité ont donc du pain sur la planche pour protéger leurs clients. Néanmoins, ces derniers peuvent se faciliter la vie en tentant de prévenir l’infection en regardant à deux fois avant de cliquer sur des liens potentiellement dangereux. TDL-4 se propage par l’intermédiaire d’un réseau d’affiliés (qui touchent entre 20 et 200 dollars pour 1000 installation de TDL) qui propagent la bestiole sur les sites destinés aux pirates, aux contenus à caractères pornographiques, ou via les serveurs de stockage de fichiers et de vidéos. Liste non exhaustive dans la mesure où « les affiliés peuvent utiliser n’importe quelle méthode d’installation de leur choix », précise Sergey Golovanov. Charmant.