Découverte d'un botnet "pratiquement indestructible"
TDL-4 contrôle 4.5 millions d'ordinateurs et agit en tant qu'anti-virus

Les rubriques (actu, forums, tutos) de Développez
Réseaux sociaux




Sur le même sujet
Le , par Idelways, Expert Confirmé Sénior
Plus de 4.5 millions d'ordinateurs forment un nouveau botnet découvert par Kaspersky Labs qui le qualifie de « pratiquement indestructible ».

D'après un rapport publié par l'éditeur russe de solutions de sécurité, le botnet « TDL-4 » ainsi découvert revêt une architecture particulièrement sophistiquée qui le hisse au rang de la plus dangereuse menace de l'histoire de la sécurité informatique.

« TDSS utilise un ensemble de méthodes pour échapper aux signatures [numériques], aux [méthodes de détections] heuristiques et proactive et met en oeuvre le chiffrement des données pour faciliter les communications entre ses bots et le centre de contrôle et de command du Botnet », révèle Kaspersky.

TDL-4 dispose aussi d'un arsenal de rootkits qui lui permettent de dissimuler une variété d'autres types de logiciels malveillants dans le même système victime.

Comme son nom l'indique, ce botnet est la quatrième génération de la famille TDL apparue pour la première fois en 2008, depuis, ses créateurs sont arrivés à améliorer drastiquement leur précieux :

« Les changements de TDL-4 affectent pratiquement tous les composants du malwares », affirme Kaspersky qui lève le voile sur le commerce florissant qui permet au botnet de s'étendre rapidement encore et encore.

En effet, un système d'affiliation permet de rémunérer qui le veut entre 20 et 200$ pour chaque lot de 1000 installations de TDL-4. Des primes qui varient selon l'emplacement des ordinateurs cibles, le tiers d’entre eux est actuellement aux États unis.

Les méthodes de dissémination sont d'ailleurs nombreuses et multiples, les plus prisés par ces chasseurs de primes sont sans surprises les sites pour adultes, puis les services de stockage de fichiers, vidéos et enregistrements audio pirates.

En somme, les créateurs du botnet essayent de créer un « botnet indestructible, protégé contre les attaques venant de ses rivaux ou des sociétés éditrices d'antivirus »

Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus et agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.

Gbot, ZeuS, Clishmic, Optima sont parmi une vingtaine de célèbres malwares qui passent tous à la trappe en présence de TDL-4 qui règne sans aucun partage.

Parmi ses autres particularités notables, TDL utilise le réseau de Peer 2 Peer Kad pour contrôler son réseau de zombies, il dispose d'un module de serveur proxy et supporte les systèmes 64bits.

Source : Kaspersky Labs

Et vous ?

Que pensez-vous de cette découverte ? Et des caractéristiques de TDL4 ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de fregolo52 fregolo52
http://www.developpez.com
Expert Confirmé Sénior
le 01/07/2011 13:39
Citation Envoyé par malkav1978  Voir le message
Un jolie saleté que ce truc là.

Un autre solution pour l'erradiquer, un peu old school et radicale je le reconnait : le formatage de bas niveau.

C'est bizarre qu'il ne ait pas encore eu un commentaire des personnes de l'autre côté de la Force !!! : "Moi j'ai un anti-virus infaillible, c'est le pingoin."
Avatar de puyopuyo puyopuyo
http://www.developpez.com
Membre du Club
le 01/07/2011 13:53
Citation Envoyé par Spiff79  Voir le message
Il suffit qu'un botnet démarre avant l'antivirus pour que ce dernier ne le détecte pas ? Et personne n'y a pensé avant ? Là, il y a un truc que je ne pige pas

si c'est une technique très vieille. beaucoup de virus faisait ça sous dos. a l’époque la solution consisté a une détection par ton BIOS. il t'affichait un message comme quoi ton MBR avait changé et te prévenait que cela pouvait être normal ou que cela pouvait être un virus. mais le problème c'est que l'informatique se repend sans formation alors si tu affiche un message comme ça aujourd'hui c'est la panique assurée.
Avatar de abriotde abriotde
http://www.developpez.com
Membre éclairé
le 01/07/2011 14:00
Par contre, c'est quoi cette histoire de rémunération? Les hackeurs donnent de l'argent aux personnes qui les aident à le diffuser? Mais du coup il devrait être facile de remonter jusqu'au hackeurs, non?

Parce que tu crois que c'est si simple... Ca m'étonnerais qu'il n'y ai des intermédiaires, de l'argents liquide avec des comptes dans des paradis fiscaux et pour finir un couvert légal... On peut arrêter relativement simplement un sou-fifre mais une organisation comme ceci qui brasse beaucoup d'argent à les moyen de se cacher. Ne serais-ce que demander une perquisition contre un leader n'est pas simple (personne influente dans la police, avec beaucoup d'avocats....).
Avatar de puyopuyo puyopuyo
http://www.developpez.com
Membre du Club
le 01/07/2011 14:29
sans parler des risques diplomatique dans le cas ou un état serait en cause. dans ce cas il faut avancer lentement et être sur de ton coup quand tu veux arrêter quelqu'un. sur d'avoir la bonne personne et sur d'avoir bien planifié les conséquences.

Enfin il faut comprendre que les lois d'un pays ne sont applicable que dans celui-ci. si tu pirates des ordinateur aux USA mais que tu vis en Russie (pour faire dans les bons exemples hollywoodiens ) tu ne peux pas être poursuivi directement. La justice américaine n'a pas de pouvoir directe et si aucun accord n'existe pour permettre l’enquête ou l'arrestation ou encore l'extradition alors la personne ne peut pas être inquiétée.
Avatar de nazoreen nazoreen
http://www.developpez.com
Membre actif
le 01/07/2011 14:51
En tout cas c'est un bon moyen de virer tous les autres troyans et virus ! C'est peut-être un bon exemple pour les pro de la sécurité comme Symantec ou Kapersky...
Avatar de loufab loufab
http://www.developpez.com
Rédacteur/Modérateur
le 01/07/2011 16:09
Et d'ou vient l'argent de la rétribution ?
Avatar de rt15 rt15
http://www.developpez.com
Membre éprouvé
le 01/07/2011 17:32
Citation Envoyé par nazoreen  Voir le message
C'est peut-être un bon exemple pour les pro de la sécurité comme Symantec ou Kapersky...

Son mécanisme de détection/suppression n'a pas l'air bien évolué :
TDSS contains code to remove approximately 20 malicious programs, including Gbot, ZeuS, Clishmic, Optima, etc. TDSS scans the registry, searches for specific file names, blacklists the addresses of the command and control centers of other botnets and prevents victim machines from contacting them.

Peut être que le principe d'écraser le MBR pourrait cependant être aussi utilisé par les anti-virus. Moche...

Citation Envoyé par loufab
Et d'ou vient l'argent de la rétribution ?

Facile. C'est un méchant hacker chez lui avec 200000$ sur son compte en banque.

Plus sérieusement, quel est l'intérêt de ce malware ? Que fait il à part se cacher ? Bin plus ou moins comme les autres :
the botnet has installed nearly 30 additional malicious programs, including fake antivirus programs, adware, and the Pushdo spambot.

Il modifie aussi les résultats renvoyés par les moteurs de recherches.

Donc en gros il est là pour faire de la pub...
Précision cependant : il est reconfigurable via des fichiers de commandes.
LoadExe – download and run the executable file
Publish – publish a file on Kad [Met un fichier à dispo sur le réseau quoi]
...

Donc ses possibilité peuvent être largement étendues : installation de keylogger, attaque DoS, calcul distribué pour le cracking... Mais pour le moment, ce n'est apparemment pas du tout le but.

Donc soit l'argent qui rentre de la pub est plus important que l'argent donné au gens pour étendre le réseau, soit il y a une autre source de financement... A qui profite ce malware ?
-> Aux sociétés à qui ont fait de la pub.
-> Aux sociétés d'antivirus (Ca fait un peu troll de dire ça mais bon...).
-> Autre ? (Etat ça m'étonnerait, même comme PoC).
Avatar de DonQuiche DonQuiche
http://www.developpez.com
Expert Confirmé Sénior
le 01/07/2011 17:34
Citation Envoyé par lord anubis  Voir le message
Par contre, c'est quoi cette histoire de rémunération? Les hackeurs donnent de l'argent aux personnes qui les aident à le diffuser? Mais du coup il devrait être facile de remonter jusqu'au hackeurs, non?

Il faut sortir de cette image du hacker dans son garage, seul, pour penser groupes mafieux et états. Les hackers ne sont généralement qu'un petit maillon de la chaîne. Quant au centre de commande, ce n'est qu'un sous-fifre et, entre les mesures informatiques et les mesures traditionnelles, il est déjà difficile d'accès.
Avatar de cs_ntd cs_ntd
http://www.developpez.com
Membre Expert
le 01/07/2011 17:52
L'argent de la cybercriminalité, et la cybercriminalité est souvent intimement lié avec les mafias "normale", donc ce qui inclue traffic de drogue, vol, contrebande, prostitution, etc, etc...

Les mafias repère en général des personnes calées en informatique, et souvent dans une situation difficile (problème d'argent, de travail, de santé...) ou qui souhaitent arrondir confortablement leurs fins de mois et leur propose de réparer leurs problèmes, et un salaire confortable, en échange de services en informatique.
Donc créations de virus de type "espion" pour récuperer les numéros de carte bleues, numéros de comptes, mots de passes... Mais ca etre plus spécifique, comme le piratage ou le vol d'informations dans entreprise bien particulière.

Dans le cas des botnets, les virus sont créés par des équipes d'informaticiens entretenus par une mafia quelquonque. Ces virus sont ensuite distribués a des revendeurs avec pour chaque, une plage de numéro de série.
Ensuite, chaque copie unique du virus est vendue (très chère, et il y a parfois plusieurs 'version' suivant le prix que l'on est prèt a mettre) a des clients finaux qui vont réellement le répandre (sites adultes, services de stockage de fichiers...). Eventuellement, il y a encore plus d'étapes entre les vendeurs originaux et les acheteurs finaux.

Apparement, il y a ici un systeme de rétribution pour encourager la distribution massive du virus, mais en général, les acheteurs rentabilisent le prix d'achat du virus avec la location des bots qu'ils ont créés, pour des personnes souhaitant envoyer du spam, attaquer un site par DDoS, ...
Vu le système de rétribution ici, je pense que sont les vendeurs originaux qui gardent le controle du réseau, et non pas les acheteurs.

Toutes ses tractations se font 'en vrai' de personne a personne, avec échange de cash, ou par le biais de forums 'anonymes' pour la location de bots, achat du virus, avec paiement par des sytème tout aussi anonyme (en gros qui ne devoile pas a la banque ou l'argent est envoyé, et qui ne dise pas d'ou provient l'argent pour celui qui le recoit).

Donc a qui profite le crime ? Aux mafias, qui ne prennent quasiment aucun risque d'etre découvertes, aux pirates employés, vulnérables, mais en dehors de la chaine et ne présentant pas grand risque pour les mafias, au acheteurs de virus / revendeurs de bot qui se font un paquet d'argent avec des commandes de sociétés voulant espionner, d'un site web voulant envoyer du spam... Et ca profite éventuellement a certaines compagnies aux méthodes louches, qui volent des informations, font tomber un site web concurrent... etc.
En particulier, des personnes qui louent des botnets pour voler des informations personelles (comptes, numéros de carte, mots de passes), et qui ensuite eux-meme revendent ces informations a d'autres personne (eventuellement des mafias) qui vont s'en servir pour voler de l'argent, escroquer...

Il faut plus voir cette branche la de la cybercriminalité comme un 'service', un peu comme du cloud, cad ils ont pleins de machines a disposition, et ils laissent certaines personne en faire ce qu'elle veulent contre argent, avec d'autres 'services' tout pret (injection spécifique d'un malware pour répondre a vos besoins par exemple...)

Donc oui on est bien loin du hacker/pirate dans sa cave qui décide de chopper les numéros de carte bleues de tout le monde, ou encore loin des virus du type 'Tchernobyl' qui étaient la pour faire le plus de dégats possibles sur la machine, juste pour la 'gloire' de son créateur.
Avatar de Félix C. Félix C.
http://www.developpez.com
Invité de passage
le 07/07/2011 16:20
C'est windows only cette delicieuse petit bete ? (ceci n'est pas un troll)
D'un point de vue purement technique je me demande juste comment faire un botnet qui serait crossplatform.
Avatar de jsonline jsonline
http://www.developpez.com
Membre du Club
le 11/07/2011 10:40
Bon faut relativiser aussi.

Le nombre d'ordinateurs dans le monde a atteint 1 milliard en 2008, il arrivera à 2 milliards en 2013 ou 2014.

Alors 4,5 millions d'ordinateurs cela ne représente pas tant que cela non ?

Finalement les gens sont peut être beaucoup mieux protégés que les sociétés d'antivirus voudraient leur faire penser.
Offres d'emploi IT
stage dev d'application -Grenoble H/F
Stage
BULL FR - Rhône Alpes - GRENOBLE - BULL ECHIROLLES
Parue le 10/12/2014
Concepteur-développeur java/jee h/f
CDI
BULL FR - Provence Alpes Côte d'Azur - Sophia Antipolis
Parue le 08/12/2014
Evaluation d'un système de détection de l'hypovigilance
Stage
Renault - Ile de France - Guyancourt (78280)
Parue le 18/12/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula