Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Découverte d'un botnet "pratiquement indestructible"
TDL-4 contrôle 4.5 millions d'ordinateurs et agit en tant qu'anti-virus

Le , par Idelways

0PARTAGES

2  0 
Plus de 4.5 millions d'ordinateurs forment un nouveau botnet découvert par Kaspersky Labs qui le qualifie de « pratiquement indestructible ».

D'après un rapport publié par l'éditeur russe de solutions de sécurité, le botnet « TDL-4 » ainsi découvert revêt une architecture particulièrement sophistiquée qui le hisse au rang de la plus dangereuse menace de l'histoire de la sécurité informatique.

« TDSS utilise un ensemble de méthodes pour échapper aux signatures [numériques], aux [méthodes de détections] heuristiques et proactive et met en oeuvre le chiffrement des données pour faciliter les communications entre ses bots et le centre de contrôle et de command du Botnet », révèle Kaspersky.

TDL-4 dispose aussi d'un arsenal de rootkits qui lui permettent de dissimuler une variété d'autres types de logiciels malveillants dans le même système victime.

Comme son nom l'indique, ce botnet est la quatrième génération de la famille TDL apparue pour la première fois en 2008, depuis, ses créateurs sont arrivés à améliorer drastiquement leur précieux :

« Les changements de TDL-4 affectent pratiquement tous les composants du malwares », affirme Kaspersky qui lève le voile sur le commerce florissant qui permet au botnet de s'étendre rapidement encore et encore.

En effet, un système d'affiliation permet de rémunérer qui le veut entre 20 et 200$ pour chaque lot de 1000 installations de TDL-4. Des primes qui varient selon l'emplacement des ordinateurs cibles, le tiers d’entre eux est actuellement aux États unis.

Les méthodes de dissémination sont d'ailleurs nombreuses et multiples, les plus prisés par ces chasseurs de primes sont sans surprises les sites pour adultes, puis les services de stockage de fichiers, vidéos et enregistrements audio pirates.

En somme, les créateurs du botnet essayent de créer un « botnet indestructible, protégé contre les attaques venant de ses rivaux ou des sociétés éditrices d'antivirus »

Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus et agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.

Gbot, ZeuS, Clishmic, Optima sont parmi une vingtaine de célèbres malwares qui passent tous à la trappe en présence de TDL-4 qui règne sans aucun partage.

Parmi ses autres particularités notables, TDL utilise le réseau de Peer 2 Peer Kad pour contrôler son réseau de zombies, il dispose d'un module de serveur proxy et supporte les systèmes 64bits.

Source : Kaspersky Labs

Et vous ?

Que pensez-vous de cette découverte ? Et des caractéristiques de TDL4 ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de cs_ntd
Membre éprouvé https://www.developpez.com
Le 01/07/2011 à 17:52
L'argent de la cybercriminalité, et la cybercriminalité est souvent intimement lié avec les mafias "normale", donc ce qui inclue traffic de drogue, vol, contrebande, prostitution, etc, etc...

Les mafias repère en général des personnes calées en informatique, et souvent dans une situation difficile (problème d'argent, de travail, de santé...) ou qui souhaitent arrondir confortablement leurs fins de mois et leur propose de réparer leurs problèmes, et un salaire confortable, en échange de services en informatique.
Donc créations de virus de type "espion" pour récuperer les numéros de carte bleues, numéros de comptes, mots de passes... Mais ca etre plus spécifique, comme le piratage ou le vol d'informations dans entreprise bien particulière.

Dans le cas des botnets, les virus sont créés par des équipes d'informaticiens entretenus par une mafia quelquonque. Ces virus sont ensuite distribués a des revendeurs avec pour chaque, une plage de numéro de série.
Ensuite, chaque copie unique du virus est vendue (très chère, et il y a parfois plusieurs 'version' suivant le prix que l'on est prèt a mettre) a des clients finaux qui vont réellement le répandre (sites adultes, services de stockage de fichiers...). Eventuellement, il y a encore plus d'étapes entre les vendeurs originaux et les acheteurs finaux.

Apparement, il y a ici un systeme de rétribution pour encourager la distribution massive du virus, mais en général, les acheteurs rentabilisent le prix d'achat du virus avec la location des bots qu'ils ont créés, pour des personnes souhaitant envoyer du spam, attaquer un site par DDoS, ...
Vu le système de rétribution ici, je pense que sont les vendeurs originaux qui gardent le controle du réseau, et non pas les acheteurs.

Toutes ses tractations se font 'en vrai' de personne a personne, avec échange de cash, ou par le biais de forums 'anonymes' pour la location de bots, achat du virus, avec paiement par des sytème tout aussi anonyme (en gros qui ne devoile pas a la banque ou l'argent est envoyé, et qui ne dise pas d'ou provient l'argent pour celui qui le recoit).

Donc a qui profite le crime ? Aux mafias, qui ne prennent quasiment aucun risque d'etre découvertes, aux pirates employés, vulnérables, mais en dehors de la chaine et ne présentant pas grand risque pour les mafias, au acheteurs de virus / revendeurs de bot qui se font un paquet d'argent avec des commandes de sociétés voulant espionner, d'un site web voulant envoyer du spam... Et ca profite éventuellement a certaines compagnies aux méthodes louches, qui volent des informations, font tomber un site web concurrent... etc.
En particulier, des personnes qui louent des botnets pour voler des informations personelles (comptes, numéros de carte, mots de passes), et qui ensuite eux-meme revendent ces informations a d'autres personne (eventuellement des mafias) qui vont s'en servir pour voler de l'argent, escroquer...

Il faut plus voir cette branche la de la cybercriminalité comme un 'service', un peu comme du cloud, cad ils ont pleins de machines a disposition, et ils laissent certaines personne en faire ce qu'elle veulent contre argent, avec d'autres 'services' tout pret (injection spécifique d'un malware pour répondre a vos besoins par exemple...)

Donc oui on est bien loin du hacker/pirate dans sa cave qui décide de chopper les numéros de carte bleues de tout le monde, ou encore loin des virus du type 'Tchernobyl' qui étaient la pour faire le plus de dégats possibles sur la machine, juste pour la 'gloire' de son créateur.
6  1 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 01/07/2011 à 7:45
Ah donc en gros si lors du scan de mon anti-virus je trouve aucun mignon c'est que je suis infecté ?
1  0 
Avatar de Spiff79
Membre du Club https://www.developpez.com
Le 01/07/2011 à 10:16
Il suffit qu'un botnet démarre avant l'antivirus pour que ce dernier ne le détecte pas ? Et personne n'y a pensé avant ? Là, il y a un truc que je ne pige pas
1  0 
Avatar de puyopuyo
Membre du Club https://www.developpez.com
Le 01/07/2011 à 13:53
Citation Envoyé par Spiff79 Voir le message
Il suffit qu'un botnet démarre avant l'antivirus pour que ce dernier ne le détecte pas ? Et personne n'y a pensé avant ? Là, il y a un truc que je ne pige pas
si c'est une technique très vieille. beaucoup de virus faisait ça sous dos. a l’époque la solution consisté a une détection par ton BIOS. il t'affichait un message comme quoi ton MBR avait changé et te prévenait que cela pouvait être normal ou que cela pouvait être un virus. mais le problème c'est que l'informatique se repend sans formation alors si tu affiche un message comme ça aujourd'hui c'est la panique assurée.
1  0 
Avatar de GCSX_
Membre confirmé https://www.developpez.com
Le 30/06/2011 à 22:10
Pour y arriver, TDL-4 qui est aussi un Bootkit, affecte le MBR pour assurer son lancement avant tout antivirus, agit lui-même comme un antivirus éliminant toute autre menace moins discrète qui pourrait éveiller l'attention de l'utilisateur sur la corruption de son système.
TDL utilise le réseau de Peer 2 Peer Kad
Donc en examinant le MBR et les communications on peut le déceler non?
0  0 
Avatar de Idelways
Expert éminent sénior https://www.developpez.com
Le 30/06/2011 à 22:15
Bonjour,

Toutes les communications du botnet via les réseaux P2P sont chiffrées, ce qui rend leur identification plus difficile voire impossible.
Et comme l'ensemble n'utilise pas son propre protocole pour communiquer, il se fond dans la masse en quelque sorte

Cordialement
Idelways
0  0 
Avatar de guilhem91
Membre régulier https://www.developpez.com
Le 30/06/2011 à 23:20
Et pour le MBR ? (Quoique j'imagine bien que l'immense majorité des gens utilisant un ordinateur ne regarde pas régulièrement son MBR, et encore faut-il qu'elle sache ce que c'est...)
0  0 
Avatar de Firwen
Membre expérimenté https://www.developpez.com
Le 30/06/2011 à 23:26
Assez étrange que ce malware soit resté dans l'anonymat assez longtemps pour amasser 4,5Millions de bots, et encore plus étrange une telle sophistication, ce n'est pas à la portée d'un simple Hacker isolé.
0  0 
Avatar de Psykocrash
Membre du Club https://www.developpez.com
Le 01/07/2011 à 0:43
Un antivirus ne pourra détecter un MBR corrompu que s'il est lancé avant le virus (et là, le virus est lancé en premier).
0  0 
Avatar de nu_tango
Membre averti https://www.developpez.com
Le 01/07/2011 à 0:48
Je confirme que c'est une bonne petite saleté : vu la "bête" (dans sa version 4) en action sur le PC sous MS Win 7 d'une connaissance. La seule solution assez fiable que j'ai trouvé était d'utiliser ce petit logiciel fort pratique (de Kaspersky justement) : http://support.kaspersky.com/viruses/solutions?qid=208280684 Il avait en sus rapatrié tout un tas de ces petits copains rootkits, malwares et autres joyausetés.

Et pour le MBR ? (Quoique j'imagine bien que l'immense majorité des gens utilisant un ordinateur ne regarde pas régulièrement son MBR, et encore faut-il qu'elle sache ce que c'est...)
Effectivement, démarrant avant l'OS donc avant l'antivirus, le truc serait quasi-indétectable si il n'avait pas la manie de faire planter quelquefois le kernel windows et donner un joli BSOD.
0  0