Sécurité

Botnet TDL4 : plus intelligent, plus sophistiqué et non destiné à être utilisé en Russie – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Les blogs de sécurité publient des informations sur les logiciels malveillants TDSS depuis un certain temps, mais ce n’est qu’avec l’arrivée de TDL4 que les choses ont vraiment commencé à se réchauffer. Comme tous les autres développeurs de logiciels, les cybercriminels réinventent et affinent leurs logiciels malveillants au fil du temps – et l’équipe TDSS a clairement déployé beaucoup d’efforts dans sa version la plus récente.

Il y a plusieurs aspects intéressants de TDL4. Pour commencer, il n’aime pas partager des systèmes avec des logiciels malveillants concurrents. Il s’avère que les cybercriminels, comme beaucoup d’hommes d’affaires légitimes, n’aiment pas la concurrence. Étonnamment, TDL4 effectue en fait certaines tâches anti-malware lorsqu’il s’installe sur un ordinateur infecté, déracinant d’autres logiciels criminels comme ZeuS et Gbot. Ses motivations ne sont pas bienveillantes, bien sûr. Le gang TDSS veut des ordinateurs sous son contrôle et sous son seul contrôle – afin de fournir de faux logiciels antivirus, des logiciels malveillants supplémentaires générateurs de revenus et des spambots occasionnels. TDSS a également innové en introduisant un pilote 64 bits en 2010, ce qu’aucun autre gang de logiciels malveillants n’avait réussi à faire à ce moment-là.

Une autre caractéristique unique de TDL4 est que son système de commande et de contrôle ne repose pas uniquement sur un groupe de serveurs maîtres. C’est ainsi que fonctionnent la plupart des botnets traditionnels, comme Conficker et Coreflood, et c’est en grande partie la raison pour laquelle ils ont pu être démantelés. TDL4 complique la situation en introduisant un basculement, un système peer-to-peer personnalisé qui peut transmettre des commandes à travers le réseau. Il dispose également d’un système de cryptage personnalisé, ce qui rend difficile l’analyse des informations envoyées et reçues.

Psssssst :  Échapper au pare-feu avec un tunnel SSH, un proxy SOCKS et PuTTY - High-teK.ca

Mais ce qui a peut-être le plus préoccupé les administrateurs, c’est le kung-fu d’obscurcissement de TDL4. Le cheval de Troie se rend difficile à détecter et à supprimer en s’enfouissant dans l’enregistrement de démarrage principal d’un disque dur. Il peut alors empêcher ses propres ajouts de logiciels malveillants post-infection d’être détectés par les logiciels de sécurité et même les programmes outfox qui tentent de nettoyer ou de réparer le MBR pour supprimer l’infection. Cela a conduit beaucoup à conseiller la réimagerie ou la réinstallation comme le seul moyen approprié de traiter une infection TDL4 – ce n’est pas vraiment une surprise, car il est généralement considéré comme une meilleure pratique de recommencer à zéro chaque fois qu’un cheval de Troie ou un rootkit vraiment méchant est trouvé. sur un système.

Une note parallèle intéressante à l’histoire est que les analystes de Kaspersky ont réussi à violer les bases de données contenant des informations sur les systèmes infectés par TDL. Dans leur discussion, Igor Soumenkov et Sergey Golovanov de Kaspersky ont révélé qu’aucun système infecté ne pouvait être trouvé à l’intérieur des frontières russes. La raison : TDSS est une entreprise à but lucratif et les affiliés ne sont pas payés pour les installations sur les ordinateurs russes. Il s’agit peut-être de la première restriction géographique dont j’ai jamais entendu parler. en fait une bonne chose.

Aussi méchant que soit TDL4, les professionnels de la sécurité aiment Roger Grimes d’InfoWorld rappelez-nous que finalement les gentils gagnent. En fait, Microsoft a déjà fourni des correctifs qui corrigent les vulnérabilités exploitées par TDL4 et des trous supplémentaires seront comblés au fil du temps. Ce sera plus intéressant pour voir si un effort concerté peut arracher le contrôle du réseau à ses créateurs et libérer les plus de 4,5 millions de systèmes actuellement sous sa coupe.

Psssssst :  Les IRM du cerveau montrent pourquoi nous ignorons les avertissements de sécurité - High-teK.ca

Bouton retour en haut de la page