Info Importante : Le Malware Botnet TDL4

Botnet TDL4




[Vous devez être inscrit et connecté pour voir cette image]

Cette news m’a fasciné… La société Kaspersky a mis au jour un réseau
de botnet du nom de TDL4 (ou TDSS) de plus de 4,5 millions de machines.
D’après l’éditeur d’antivirus, TDL4 a véritablement été conçu pour
régner en maitre sur ses machines grâce à :

• Un système d’affiliation qui permet de rémunérer les gens qui
  installent (volontairement) ce malware sur les machines d’autres
  personnes (pas vraiment au courant). Ça rapporterait entre 20 et 200$
  pour les 1000 installs. Les premiers à jouer le jeu sont les sites pour
  adultes et les sites de téléchargement de fichiers piratés.
  
• Un système efficace de chiffrement de données qui permet de masquer les communications entre les bots et le centre de commande du botnet.
  
• Une série de rootkits qui se téléchargent d’Internet et permettent d’infecter la machine hôte jusqu’à la moelle.
  
• Une faculté à échapper aux antivirus à signature, proactifs ou heuristiques.
  
• Un bootkit qui s’installe dans la MBR (Master Boot Record) et qui
  permet à TDL de s’initialiser avant tout antivirus (et ainsi de garder
  le contrôle).
  
• Un antivirus intégré dans TDL qui dégage les concurrents comme ZeuS ou Gbot…Etc.
  
• Une utilisation du protocole kadmelia qui permet une communication P2P entre les bots et avec le centre de controle.
  
• Un support des machines 32 et 64 bits.
  

Bref, un beau petit joujou qui fait mal et qui est réparti dans les pays de la manière suivante :

[Vous devez être inscrit et connecté pour voir cette image]
TDL4 est utilisé pour collecter des données personnelles (accès à des
serveurs, n° de carte de crédit, vol d’identité…etc) mais aussi pour
lancer des attaques Ddos…etc. D’après Kaspersky, c’est à ce jour le
botnet le plus avancé techniquement et l’ambition de ses créateurs est
de clairement garder la main sur son réseau de machine face aux
concurrents, tout en rendant ce botnet quasiment indestructible.
Pfiou !

Source : Korben

TDL-4 : le botnet le plus coriace jamais créé



Grâce à des algorithmes de chiffrement protégeant le
flux entre ordinateurs zombies et serveurs de contrôle, les créateurs de TDL-4 ont enfanté un monstre. Plusieurs millions de postes ont été infectés en 3 mois.

En décapitant Coreflood en avril dernier, le FBI avait gagné une bataille contre les botnets, mais assurément pas la guerre. Le botnet TDL-4 qui s'étend via des rogues. Des fausses alertes de sécurité qui
prétendent éradiquer un virus imaginaire détecté sur le terminal, et
disséminées sur des sites Web pornographiques, proposant des contenus piratés ou du stockage en ligne. Le réseau a déjà infecté 4,5 millions de postes de travail sur les trois premiers moins de l'année selon Kaspersky.

"Les créateurs de TDL se sont efforcé à mettre au
point un botnet indestructible, protégé contre les attaques, ses
concurrents et les éditeurs d'antivirus", indiquent les chercheurs de Kaspersky Labs Sergey Golovanov and Igor Soumenkov. Connu des experts depuis des années, les botnets forment des réseaux d'ordinateurs infectés appelés également zombies, contrôlés à distance et servant le plus souvent de relais pour la diffusion de pourriels (spam, phishing...) quand ils ne sont pas infectés par des logiciels malicieux visant à subtiliser les identifiants et mots de passe des utilisateurs pour accéder, entre autres, à leur compte bancaire en ligne.

TDL/TDSS créé en 2008 a depuis été largement amélioré pour résister aux antivirus, analyses heuristiques et mécanismes de détection proactive

Le botnet TDL-4, qui exploite des vulnérabilités Windows qui avaient également été exploitées par le ver Stuxnet, s'avère cependant plus pernicieux et sophistiqué que bien d'autres botnets. Le malware TDL, pièce logicielle maîtresse sur laquelle le réseau a pu se former, est pourtant loin d'être inconnu au bataillon, sa première apparition remontant à 2008.

En 2010, la génération TDL-3 a fait son apparition et contenait alors des modules d'un ancien programme malicieux, SHIZ. Mais depuis, il a subi de nombreuses modifications pour aujourd'hui atteindre une dangereuse maturité. TDL-4 est en effet un bootkit, ce qui signifie qu'il infecte la MBR (Master Boot Record)
chargé directement par le BIOS, dans le but de se lancer
automatiquement et de s'assurer ainsi que le code malicieux qu'il
contient puisse infecter le poste de travail avant même le démarrage du système d'exploitation. Un nouvel algorithme de chiffrement basé sur Xor swap et non plus RC4. Mais ce n'est pas tout. Le code malicieux TDSS qui dispose également d'un puissant composant (de type rootkit) qui lui permet de détecter la présence de n'importe quel autre malware déjà présent sur le poste de travail sur lequel il se trouve. En détruisant ses pairs (plus d'une vingtaine en tout dont Gbot, ZeuS, Clishmic, Optima...), TDL-4 s'assure ainsi la complète et totale domination du poste de travail infecté et fait chuter la probabilité de découverte d'un autre malware et donc d'attaques de la part des logiciels d'antivirus.

Pour couronner le tout, les pirates à l'origine de TDL-4 utilisent également un nouvel algorithme de chiffrement complexes
utilisés pour protéger le protocole de communication entre les
ordinateurs infectés et le centre de commande du botnet et ses serveurs de contrôle. Ainsi, RC4 a été mis au placard au profit d'un algorithme maison basé sur Xor swap. Ce qui rend la tâche
difficile pour remonter jusqu'aux pirates qui passent par de multiples
réseaux point-à-point, utilisent un module de serveur proxy et
supportent les systèmes 64bits.

Selon Kaspersky, les opérateurs de sites toucheraient, toutes les 1 000 nouvelles machines infectées, entre 20 et 200 dollars des pirates à l'origine de TDL-4. Par ailleurs, 28% des PC infectés seraient situés aux Etats-Unis, contre 7% en Inde,
5% en Grande-Bretagne et 3% pour chacun des pays suivants : France, Allemagne, Mexique et Canada.


Source : le Journal du Net