TDL-4 : un malware qui fait peur…

01 juillet 2011

Le malware TDL-4 est au centre des attentions de certains chercheurs en sécurité. Il aurait déjà infecté plus de quatre millions de PC et serait pratiquement indestructible. En effet, celui-ci infecte le secteur de démarrage du disque dur, ce qui lui permet de se lancer avant le démarrage de la grande majorité des antivirus…

Un malware plus évolué que ses prédécesseurs

TLD-4 : un malware qui fait peur...TDL-4 serait la quatrième version d’un malware découvert en 2008. Le botnet «TDL-4» est « la menace actuelle la plus sophistiquée », a déclaré Sergey Golovanov chercheur chez Kaspersky Labs dans une analyse détaillée. Il ajoute « TDL-4 est pratiquement indestructible ».

D’autres spécialistes en conviennent. « Je ne dirais pas qu’il est indestructible, mais il s’en rapproche », a déclaré Joe Stewart, directeur de recherche chez Dell SecureWorks et expert internationale sur les botnet.

Un malware très malin et très vicieux

TDL-4 serait capable de chiffrer ses communications entre les différents postes infectés faisant partie d’un réseau botnet et le centre de contrôle de cette architecture. En outre, le Cheval de Troie utiliserait également un second moyen pour communiquer entre ordinateurs zombies grâce à un réseau P2P public (Kad P2P).

Toute mesure à son encontre pourrait donc être plus difficile. Les autorités ou éditeurs de sécurité pourraient, en effet, avoir plus de problèmes pour fermer un tel réseau public. Pour parfaire le tout, TDL-4 infecte le MBR, le secteur de démarrage du disque dur.

Cela lui permet de se lancer au démarrage de la machine avant le système d’exploitation, et l’anti-virus aura le plus grand mal à détecter sa présence. Mieux, TDL-4 sait détecter les autres agents malveillants en manque de discrétion pour les éliminer avant qu’il ne soit lui-même repéré. Résultat, il aurait infecté près de 4,5 millions de machines, dont presque 140 000 en France.

Créer un botnet indestructible

Pour Sergey Golovanov, l’objectif des auteurs de TDSS est clair : « créer un réseau infaillible de machines zombies« . Pour Joe Stewart : « TDL est un business et son but est de rester sur PC aussi longtemps que possible ». « C’est très intelligent de désactiver des logiciels malveillants facile à détecter pour éviter en cas de comportement suspect que l’utilisateur ne lance une analyse de sécurité via un logiciel antivirus » complète-t-il.

En revanche, il installe ses propres malware, environ une trentaine sur les PC contrôlés, pour mener des attaques deni de service ou faire des campagnes de spam et de phishing. La subtilité est que le botnet peut à tout moment supprimer ces malwares sur l’ordinateur, conclut Sergei Golovanov. Les éditeurs de sécurité ont donc du pain sur la planche pour protéger leurs clients.

Suggestions de lecture

Posté dans: Actualités   Tags: ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>