TDL-4, un botnet « indestructible » selon Kaspersky Labs

Car TDL-4, auquel on s'expose en visitant, par exemple, des sites pornographiques ou de piratage, n’est effectivement pas un logiciel malveillant comme les autres : il accumule les fonctions et les protections pour se rendre invisible aux antivirus et génère un botnet (un réseau de « PC zombies ») particulièrement vivace, voire increvable – à la différence du malware lui-même, qui peut être éliminé (voir au bas de l'article).

TDL-4 est ce que les chercheurs appellent un bootkit. Comme ses prédécesseurs, il infecte la zone d’amorce de votre disque dur et permet ainsi d'atteindre votre ordinateur avant même le démarrage de votre système d’exploitation. Cela le rend d'ailleurs difficile à repérer par les antivirus. Mais ce qui inquiète le plus les chercheurs, ce sont les moyens que met en œuvre TDL-4 afin de former un botnet discret et difficile à désactiver. Il intègre ainsi son propre protocole de communication crypté entre les machines du réseau et les « centres de commande » qui permettent aux cybercriminels de contrôler les machines infectées.

Avec TDL-4, il sera très difficile de remonter jusqu’ à la structure de commande, comme l’avait fait Microsoft avec Rustock il y a quelques mois. Pour communiquer avec les machines infectées, les cybercriminels peuvent employer un réseau P2P public, Kad (notamment utilisé par eMule), géré par le malware sur la machine infectée. « La menace que constitue un botnet, c’est que même lorsque les centres de commande et de contrôle sont stoppés, les possesseurs du botnet ne perdent pas le contrôle des machines infectées », indiquent les chercheurs, qui estiment que ce réseau sans serveur et décentralisé est « pratiquement indestructible. »

Plus étonnant encore, le logiciel malveillant fait aussi office… d’antivirus ! Avec un objectif fort simple : tuer ses rivaux. TDL-4 peut en effet détruire une vingtaine de logiciels malveillants « concurrents » comme Gbot ou le fameux ZeuS, dans le but de récupérer les PC à son profit « et éviter des interactions indésirables qui pourraient être causées par d’autres malwares sur la machine infectée », précisent les chercheurs.

Soumenkov et Golovanov expliquent encore que TDL-4 installe une trentaine de programmes malveillants sur les ordinateurs de ses victimes, du bot à spam au faux antivirus. Il permet aussi aux cybercriminels d'utiliser les PC infectés comme proxys, afin de vendre des services de surf anonyme.

Kaspersky propose un petit utilitaire gratuit pour se débarrasser de ce malware coriace : TDSS Killer.