ACTUALITES

TDL-4, la quatrième version d'un malware (logiciel hostile combinant plusieurs menaces) découvert en 2008, inquiète les spécialistes de la sécurité informatique. Ce cheval de Troie a déjà infecté plus de 4,5 millions de PC. C'est "la menace actuelle la plus sophistiquée. TDL-4 est pratiquement indestructible" résume Sergey Golovanov, chercheur chez l'éditeur d'antivirus Kaspersky Labs.

Extrêmement sophistiqué, TDL-4 combine les recettes des anciennes générations de virus avec des approches plus modernes. Pour commencer, le malware infecte le Master Boot Record (MBR) ce qui lui permet de s'exécuter avant le chargement complet du système d'exploitation. Il contourne ainsi la majorité des antivirus (y compris les moteurs d'analyse heuristique et comportementale) et une partie des protections mises en œuvre dans les dernières versions de Windows.

Pour éviter de se faire repérer, TDL-4 désinstalle d'autres malwares (tels que Gbot et Zeus) qui n'ont pas encore été détectés par l'utilisateur. Rusé, il crypte également ses communications avec les autres ordinateurs infectés. L'analyse des flux réseau ne permet donc pas de le détecter. Toujours pour rester invisible, TDL-4 utiliserait le protocole de communication du réseau peer-to-peer Kad P2P.

L'objectif des auteurs de TDL-4 est de créer un botnet (réseau d'ordinateurs zombies) "indestructible et qui se protège des attaques, de la concurrence et des éditeurs d'antivirus" explique Sergey Golovanov. Ils peuvent ainsi maximiser l'efficacité de leurs campagnes de spam, d'hameçonnage (phishing) et même leurs attaques par déni de service (DDoS).

Le seul point faible de TDL-4 est son mode de propagation qui passe "classiquement" par des sites pornographiques, des serveurs de DivX, de "crack" (des logiciels permettant de craquer la licence d'un logiciel payant), etc. Une fois n'est pas coutume, les pirates utilisent donc le principal maillon faible de la chaîne de sécurité : l'utilisateur. La seule solution pour se protéger de ce type de menace est donc de sensibiliser et de former les salariés de l'entreprise aux risques qu'ils encourent en se connectant sur des sites web interdits par la charte sécurité de l'entreprise.