Rueil-Malmaison, 5 juillet 2011 – Les logiciels malveillants comme TDSS (également connu sous le nom de TDL), détectés par les produits Kaspersky Lab, constituent aujourd’hui les outils les plus avancés et perfectionnés dans la panoplie des cybercriminels. Ce puissant composant de rootkit et les autres capacités de TDL permettent de créer un botnet composé de millions d’ordinateurs « zombies ». Les experts de Kaspersky Lab ont étudié le comportement de la récente version TDL-4 du programme malveillant et évalué ses nouvelles capacités, parmi lesquelles l’utilisation de réseaux « peer-to-peer » (P2P) pour le contrôle des ordinateurs infectés ou encore des fonctions servant à ouvrir un serveur proxy. L’analyse de TDL-4 entreprise par Sergey Golovanov et Igor Sumenkov a permis de déterminer les nouvelles possibilités offertes par ce malware et d’estimer le nombre de PC contaminés. Les modifications apportées dans TDL-4 visent à constituer un botnet aussi invisible que possible pour les concurrents et les antivirus et donnant théoriquement accès aux machines infectées même après fermeture de tous les centres de commande.
Plus particulièrement, TDL-4 peut désormais détruire une vingtaine de ses concurrents les plus répandus sur une machine infectée, notamment Gbot, ZeuS, Optima, etc. En outre, TDSS lui-même installe sur un PC une trentaine d’utilitaires, dont de faux antivirus et des systèmes destinés à accroître le trafic publicitaire et à diffuser du spam. L’une des principales nouveautés de TDL-4 réside dans la possibilité d’infecter les systèmes d’exploitation 64 bits. Pour contrôler le botnet (en dehors des serveurs de commande), le malware utilise pour la première fois le réseau public d’échanges de fichiers Kad. Autre nouveauté, TDL-4 permet d’ouvrir un serveur proxy. Les cybercriminels peuvent ainsi offrir des services d’accès anonyme via des ordinateurs infectés, facturant pour cela une centaine de dollars par mois.
A l’image des versions précédentes, TDL-4 est principalement diffusé par le biais de programmes « partenaires ». En effet, les auteurs du malware n’étendent pas eux‑mêmes le réseau des ordinateurs infectés, préférant rémunérer des tiers à cette fin. Suivant les modalités du « contrat », ces partenaires perçoivent de 20 à 200 dollars pour chaque millier de programmes malveillants installés.
En dépit des mesures de protection mises en place sur les serveurs de commande, les experts de Kaspersky Lab sont parvenus à extraire des statistiques générales sur le nombre de machines contaminées. L’analyse des données ainsi obtenues révèle qu’au cours des trois premiers mois de 2011, TDL-4 a contribué à infecter plus de 4,5 millions d’ordinateurs à travers le monde, dont une grande partie aux Etats-Unis. Compte tenu des tarifs mentionnés plus haut pour la diffusion du malware, on peut donc estimer à quelques 250 000 dollars l’investissement consacré par les cybercriminels à la création d’un botnet essentiellement composé d’utilisateurs américains.
« Il ne fait aucun doute pour nous que le développement de TDSS va se poursuivre », commentent les experts qui ont mené l’enquête. « Les malwares et botnets reliant entre eux les ordinateurs infectés vont causer beaucoup de soucis, tant aux utilisateurs qu’aux spécialistes de la sécurité informatique. Une refonte active du code de TDL-4, des rootkits pour systèmes 64 bits, le lancement d’un nouveau système d’exploitation, l’exploitation de failles de type Stuxnet, l’utilisation de technologies P2P, la présence de soi-disant “antivirus” propriétaires… toutes ces caractéristiques et bien d’autres font du programme malveillant TDSS l’un des plus évolués sur le plan technologique et des plus difficiles à analyser. »
La version complète de l’enquête TDL-4 est disponible sur le site securelist.com.
