Le « top bot », selon l’expression de ses découvreurs, serait la « menace la plus sophistiquée » sévissant actuellement sur Internet. Transmis par des rogues, installé dans la MBR et capable de chasser les virus concurrents, il aurait infecté 4,5 millions de PC sous Windows en trois mois pour créer des botnets, c’est-à-dire des réseaux clandestins.

au sommaire


    Un business actif : les outils pour transformer d'innocents PC en spammeurs. © DR

    Un business actif : les outils pour transformer d'innocents PC en spammeurs. © DR

    Deux informaticiens travaillant chez l'éditeur d'antivirus Kaspersky, Igor Soumenkov et Sergey Golovanov, viennent de décrire une sorte de monstre, créateur de botnets, ces réseaux d'ordinateurs devenus zombies (c'est le terme) à l'insu de leur propriétaire et destinés à convoyer spams et virus ou à installer des pièges par phishing. Le nouveau venu n'est pas tout à fait un inconnu, expliquent ses découvreurs, puisqu'il est une variante, ou plutôt une évolution, du logiciel malveillantlogiciel malveillant TDSS, apparu en 2008.

    De nombreux perfectionnements ont été apportés depuis la version précédente, baptisée TDL-3, qui augmentent considérablement la dangerosité de ce parasiteparasite, affirment les deux informaticiens. TDL-4, compatible avec les systèmes 64 bits, infecte la MBRMBR (Master Boot Record), c'est-à-dire le premier enregistrement sur le disque durdisque dur, chargé dans la mémoire au démarrage de l'ordinateur, donc avant même le système d'exploitationsystème d'exploitation. Il est alors difficilement détectable. TDL-4 installe un rootkitrootkit, donc un ensemble d'outils logiciels pour modifier le système d'exploitation et se rendre indétectable.

    Un <em>add-on</em> pour Firefox facilite la connexion à un botnet. Cliquez sur OK. © Kaspersky

    Un add-on pour Firefox facilite la connexion à un botnet. Cliquez sur OK. © Kaspersky

    Un vrai business

    En tout, TDL-4 installerait une trentaine de logiciels sur le PC, et même un antivirus ! En effet, ce parasite est programmé pour éliminer ses concurrents s'il y en a (il en connaît 20, dont Zeus), afin d'être seul maître à bord. L'intérêt est double. Tout d'abord, la compétition règne entre cybercriminels et ces botnets sont des affaires lucratives. De plus, l'éradication de virus peut éviter d'éveiller les soupçons de l'utilisateur, qui sera peut-être même ravi de voir son ordinateur fonctionner plus vite...

    Bref, l'objet, intégralement démonté par les deux informaticiens, pourrait susciter l'admiration s'il n'était pas franchement malveillant, servant à véhiculer toutes les plaies du Web. Il est aussi une opération marketing, cet engin parasite ou ses services étant vendus.

    Les infections par TDL-4 dans le monde, repérées par les auteurs de l'article. Au total, elles toucheraient 4,5 millions de PC. Les États-Unis et l'Inde sont bien placés. © Kaspersky

    Les infections par TDL-4 dans le monde, repérées par les auteurs de l'article. Au total, elles toucheraient 4,5 millions de PC. Les États-Unis et l'Inde sont bien placés. © Kaspersky

    Ses auteurs, expliquent les deux informaticiens, ont commercialisé le code de TDL-3 à d'autres cybercriminels, au risque de faire de l'ombre à son successeur. Mais TDL-4 serait si sophistiqué que cette concurrence de l'ancien ne gênerait pas le jeune loup.

    Le dernier-né serait vendu par licence, avec un programme d'affiliationaffiliation. Les deux informaticiens estiment qu'il en coûte de 20 à 200 dollars (14 à 140 euros) pour infecter un millier de PCPC. De quoi envoyer des spams... Il y aurait des options : toujours selon la même source, l'installation d'un proxyproxy sur un PC infecté serait facturée 100 dollars par mois (environ 70 euros). Ce business nauséabond est-il une affaire florissante ?