TDSS : les technologies Rootkit au cœur de la cybercriminalité

27 août 2010
Actualités Virus

TDSS est le rootkit le plus puissant et le plus complexe à ce jour. Ce malware universel peut dissimuler sa propre présence et celle d’autres logiciels malveillants sur un système piraté tout en offrant de nombreuses possibilités. Pour pénétrer les ordinateurs, TDSS infecte les pilotes, de manière à se lancer quasiment dès le démarrage du système d’exploitation. Il est par conséquent extrêmement difficile de détecter et de supprimer ce rootkit.

Kaspersky Lab a investi énormément de temps et d’efforts dans la résolution des problèmes causés par TDSS. Cet article examine les technologies mises en œuvre dans TDSS, son mode de propagation, ainsi que les façons dont les cybercriminels tirent profit de ce malware.

TDSS se répand via un programme d’affiliation qui recourt à toutes les méthodes possibles pour diffuser le malware sur les machines visées. Ce rootkit s’attaque aux ordinateurs du monde entier.

Kaspersky Lab estime que 3 millions d’ordinateurs ont été infectés par le rootkit. Les affiliés sont rémunérés en fonction du nombre d’ordinateurs infectés, sachant que les tarifs sont les plus élevés pour les machines situées aux Etats-Unis.

Des botnets gérés au moyen de TDSS, comprenant environ 20 000 machines infectées, se vendent au marché noir. Leurs centres de commande se trouvent en Chine, au Luxembourg, à Hong Kong, aux Pays-Bas et en Russie. Le rootkit offre tout un arsenal de fonctionnalités et peut être utilisé de diverses manières selon les desseins de ceux qui programment le malware et/ou louent ou possèdent les botnets créés au moyen de TDSS.

« TDSS est très élaboré. Notre analyse nous amène à penser que ses auteurs sont russes ou du moins russophones. Ils suivent les évolutions dans le secteur des antivirus et y réagissent instantanément en diffusant des mises à jour très régulières. Il est donc probable que son fonctionnement sera modifié dans un proche avenir afin de continuer à contourner les techniques de protection », précisent Sergey Golovanov et Vyacheslav Rusakov, auteurs de l’article.

La version complète de l’article est disponible sur le site Securelist.com.

  PARTAGER