17 replies to this topic

[Txon]

Salut !


Sergey Golovanov … Securelist : TDL4 - Top Bot …

"TDSS, le malware détecté par Kaspersky Anti-Virus est la menace la plus sophistiquée à ce jour. TDSS utilise tout une gamme de méthodes pour échapper au contrôle de signature ainsi qu'à la détection heuristique et proactive. Il utilise le chiffrement afin de faciliter la communication entre ses zombies et le centre de contrôle et de commande du botnet. TDSS dispose également d'un puissant composant rootkit, ce qui lui permet de dissimuler la présence d'autres types de logiciels malveillants dans le système".

… "[TDL-4] est pratiquement indestructible."

TDL-4, la dernière version du rootkit TDSS initialement apparu en 2008, est utilisé comme une porte dérobée persistante pour installer d'autres types de logiciels malveillants. Plus de 4,5 millions de PCs auraient été infectés dans les trois premiers mois de 2011, dont 28% aux USA et 3 % (environ 135.000) en France.
Comme les versions précédentes de TDSS, TDL-4 est essentiellement distribué par des "partenaires". Les auteurs du maliciel ne développent pas eux-mêmes le botnet (réseau d'ordinateurs infectés), mais préfèrent payer des tiers pour cela. Selon les termes et conditions particulières, les partenaires sont payés entre 20 US$ et 200 US$ par tranche de 1.000 PCs infectés, suivant le pays concerné … à part la petite mère Russie.
Quand il se propage via des supports amovibles, TDL-4 crée les fichiers setup.lnk, myporno.avi.lnk et pornmovs.lnk, en plus de autorun.inf. Ces fichiers sont des raccourcis vers le fichiers rundll32.exe, avec des paramètres pointant vers les DLL du maliciel. C'est une technique standard utilisée par de nombreux programmes malveillants.

• TDL-4 infecte le MBR (master boot record - secteur 0 du disque dur) où est stocké le code d'amorçage du système d'exploitation et qui est utilisé après que le BIOS ait effectué ses contrôles de démarrage. Parce qu'il installe son rootkit sur le MBR, il est invisible à la fois le système d'exploitation et des logiciels de sécurité conçus pour détecter les codes malveillants,
• Non seulement TDL-4 est camouflé mais il peut maintenant supprimer des PCs infectés une vingtaine de ses concurrents les plus communs y compris GBOT, Zeus et Optima,
• A la demande, il peut installer une trentaine de maliciels différents comme de faux anti-virus, des outils de spam etc. Le coût de la location ne commencerait qu'à 100 US$ par mois. Il efface ensuite le code utilisé,
• Il est maintenant capable d'infecter les versions 64 bits de Windows en contournant le contrôle de signature effectué en mode noyau qui a été conçu pour permettre aux pilotes de n'être installés que s'ils ont été signées numériquement par une source fiable,
• La capacité à créer des serveurs DHCP sur le réseau donne également plus de puissance de propagation à cette version de TDSS.

Mais ce n'est pas l'arme la plus secrète de TDL-4.
Ce qui rend le botnet indestructible est la combinaison de son cryptage de pointe et l'utilisation d'un réseau public peer-to-peer (P2P) KAD pour la diffusion des instructions données par le centre de contrôle et de commande du botnet.
Roel Schouwenberg … Kaspersky …

"De la façon dont la P2P est utilisé par TDL-4, il sera extrêmement difficile de décrocher ce botnet".

@+

[noisette]

Windows 64 bits désormais vulnérable: quelle bonne nouvelle !

C'est exactement ce que tu prévoyais il y a deux ans.

Il ne manque à ce botnet que la faculté à insérer son code au niveau hardware, et ta projection sera entièrement devenue réalité.

Juste une question de temps.

[Txon]

La perméabilité des Windows 64 bits a déjà été démontrée par Joanna Rutkowska dès 2006, avec son fameux rootkit "BluePill". Il se basait sur une technologie de machine virtuelle et agissait comme un hyperviseur (technique confirmée plus tard par Dino Dai Zovi). Il modifiait légèrement le MBR.
Les attaques sur le MBR existent depuis aussi longtemps que les disques durs sur les PCs ou presque. A l'origine, c'était le fait de vrais "virus" qui bousillaient le MBR pour "casser" le disque.
Très drôle .
Même maintenant, une attaque sur le MBR venant d'un périphérique USB est difficile à parer. Il est plus facile de protéger ses propres périphérique USB (voir -> ici).

Pour ce qui est des rootkits "firmware", le principe est connu depuis 2004 et la première réalisation a été faite en 2007.
Rookits et anti-rookits (2007)

[b] ... Les rootkits firmware (driver level rootkits) ou flash .
Certains éléments de l'ordinateur disposent en interne d'une mémoire propre et d'un logiciel de fonction dont l'accès n'est pas complètement verrouillé afin que des mises à jour puissent être effectuées. Une première annonce de possibilité d'intrusion dans un « processeur secondaire » a été faite par Greg Hoglung dès 2004.
De son côté, le chercheur John Heasmann de NGS Software a démontré qu'il était possible de profiter de failles de sécurité pour implanter dans la mémoire en question des programmes totalement différents des originaux. Il a conçu des rootkits "POC" pour BIOS et cartes graphiques ...

• Implementing and detenting an ACPI BIOS rootkit.
• Implementing and detenting a PCI rootkit.

Les attaques au niveau des pilotes (driver level) peuvent également viser toutes sortes d'autres périphériques et en particulier les cartes WiFi.
Aucune mesure habituelle comme le formatage de disque suivi d'une réinstallation du système d'exploitation n'est efficace contre ce genre d'intrusion. Pour s'en protéger, il faudrait disposer de composants qui imposent un strict contrôle de signature des implantations dans ces éléments, par exemple grâce à un processeur de sécurité conforme aux normes TPM (Trusted Platform Module) ... encore assez rare, plus cher et sans garantie d'efficacité totale.

Le problème est qu'il faut adapter l'implant à chaque modèle de composant d'un ordinateur. Je pense que c'est pour cette raison que la technique rebute encore les "black-hat hackers".

@+

[il pleut]

Salut , pas rassurant tout ça !

[loumax]

Merci Txon de rappeler ce qu'est "la bête noire du moment"

J'en avais déjà touché un mot ici.

Heureusement TDL4 n'est pas invincible, il existe maintenant quelques outils même sur les plateformes 64 bits pour le détecter et l'éradiquer.

[Txon]

Merci Txon de rappeler ce qu'est "la bête noire du moment"
J'en avais déjà touché un mot ici.

Mille excuses ! Au mois de mars dernier j'étais peu revenu sur Infomars et depuis, je n'ai pas tout lu, loin de là.
Je vois que tu y mentionnais la précédente version de TDSS.

Heureusement TDL4 n'est pas invincible, il existe maintenant quelques outils même sur les plateformes 64 bits pour le détecter et l'éradiquer.

As-tu des logiciels à proposer et ou des liens à suivre vers des articles à lire ?

@+

[loumax]

Mille excuses ! Au mois de mars dernier j'étais peu revenu sur Infomars et depuis, je n'ai pas tout lu, loin de là.
Je vois que tu y mentionnais la précédente version de TDSS.

Aucun problème
En fait l'évolution TDL3 => TDL4 c'est faite très rapidement ainsi que l'adaptation sur les 64 bits, ce qui à l'époque en a surpris quelques-uns malgré que c'était prévisible.

As-tu des logiciels à proposer et ou des liens à suivre vers des articles à lire ?

@+

Je vais essayer, mais pour des raisons évidentes je ne donnerais pas d'infos précises.

Les signes "avant coureurs" de cette infection, sont souvent des redirections du navigateur.
-Plusieurs lignes à contrôler avec certains outils de diagnostique, où l'infection est décelable.
-TDSSKiller de chez Kaspersky, est le meilleur actuellement pour supprimer TDSS, il a la faculté entre-autre de réparer le MBR (dans la foulée) des éventuelles dégâts causés par le rootkit.
-Combofix éliminera les restes de TDSS, suivi de Malwarebytes qui pourra finaliser.
Il existe d'autre outils suivant les cas et les préférences de l'helper, qui peuvent-être utilisés.
-Évidemment la plupart des live CD peuvent servir dans le cas où Windows ne se lancerait pas.
(Ces outils sont puissants, donc à manier avec prudence, si vous avez un doute le mieux est de se faire aider sur un forum spécialisé)

-Quelques liens :
http://forum.malekal...eon-t29496.html
http://forum.malekal...19.html#p235308
http://www.securelis...2157/TDSS_TDL_4
http://resources.inf...m/tdss4-part-1/
http://resources.inf...m/tdss4-part-2/
http://resources.inf...m/tdss4-part-3/

http://www.youtube.com/watch?v=az13Tj3nmPY

[lolo32]

bonjour à vous , sa fait un long moment que je regarde régulièrement votre forum pour les excellents conseils!!

merci à vous

et bravo pour les conseils et liens pour lutter contre TDL-4

continué!!

[Txon]

Salut et bienvenue lolo32. Gersois ? Gascon ?

Il semblerait que Microsoft ait publié les "patches" de colmatage des failles de sécurité qui permettent l'accès au MBR de certains rootkits comme TDSS ou le bootkit chinois. Mais quelle est la proportion de PCs "à jour" que ce soit dans les entreprises ou chez les particuliers ?
De plus il est certain que TDSS continuera son évolution. On constate en effet dans le milieu des "black hat hackers" un échange de routines/code, chacun empruntant à l'autre ce qu'il a de meilleur. Pour TDL-4, c'est l'adoption de techniques jusqu'ici propres à Stuxnet.
Une autre grande nouveauté de TDL-4 est l'utilisation de la variante KAD du P2P qui rend très difficile la remontée vers les donneurs d'ordres.

Les bootkits ne sont jamais simples à détecter. Une des techniques pour s'en défaire est de contrôler/réparer le MBR de son disque avec un live-cd comme Ultimate Boot CD, Hiren Boot CD ou autre (voir -> ici).

@+

[loumax]

Attention !

Concernant TDSS et les dommages pouvant-être occasionnés sur le MBR :
-Avant toutes opérations => fixer/réparer le MBR s'assurer que le PC n'est pas tatoué.
Si le PC est tatoué, il doit avoir normalement une partition de recovery qui permet de mettre le PC en configuration usine.
http://www.depanneto...ce-fantome.html

Pour Samsung NC10:
https://support.sams...NC10/U2-003.asp

Pour Acer:
http://acer-fr.custh... ... /a_id/4222

Pour HP:
http://h10025.www1.h... ... #RecoverOS

Suivant ce cas de figure :
- Sauvegardez vos documents personnels.
- Faire une restauration usine via la partition cachée de recovery ou cd/dvd de restauration (si ces derniers ont été créés).

Merci Smart91

Autre lien utile :
http://forum.malekal...dvd-t29605.html

[Xplode]

Bonjour,

TDL4 tout seul n'est pas spécialement difficile à éradiquer. Ca commence à faire un bout bon de temps qu'on le connait, et même si il évolue, les outils permettant de s'en défaire évoluent aussi.

Actuellement, TDSSKiller fait l'affaire. On peut également envisager d'utiliser AswMBR. Les live CD.. bof je suis pas trop pour dans ce cas de figure. Déjà c'est assez contraignant à utiliser pour un utilisateur lambda ( pour peu que la séquence de boot de son BIOS soit mal configurée ) , et la réparation se passe à l'aveugle, dans le sens où l'on a pas de diagnostic.

Après la solution reste de faire un dump du MBR via le live CD puis de l'analyser sur VT pour voir si il est infecté par TDL4, mais pourquoi s'embêter à faire tout ça lorsqu'un outil peut très bien s'en débarrasser directement sous Windows?

En plus je ne parle même pas des problèmes de disques dur tatoués..

Le gros problème c'est le phénomène de packs, généralement un utilisateur se choppe TDL4 + les autres merdouilles qui l'accompagnent ( généralement rogue ) , et là, c'est un peu plus chiant de s'en débarasser

Il semblerait que Microsoft ait publié les "patches" de colmatage des failles de sécurité qui permettent l'accès au MBR de certains rootkits comme TDSS ou le bootkit chinois. Mais quelle est la proportion de PCs "à jour" que ce soit dans les entreprises ou chez les particuliers ?

J'aimerais avoir les sources, parce qu'à ma connaissance j'en ai jamais entendu parler De toute façon, les auteurs de malware trouveront toujours un moyen d'implanter leur bestiole.

[VB 6]

bon retours du labo Kaspersky; maintenant reste à voir quand on sauras s'en prémunir

[noisette]

Seb Sauvage aborde le sujet également:

http://www.sebsauvag...pect-mercantile

[lolo32]

à la question , oui du gers!!!!! foi gras ect ... les choses de la vraie vie he he

[loumax]

Pour continuer sur les rootkits, voici une belle vérole : Sirefef.B / Rootkit.Win32.ZAccess / MAX++

http://www.malekal.c...32-zaccess-max/

[loumax]

Pour continuer sur les rootkits, voici une belle vérole : Sirefef.B / Rootkit.Win32.ZAccess / MAX++

http://www.malekal.c...32-zaccess-max/

Webroot ont sorti un fix qui pour le moment fonctionne :
http://blog.webroot....re-of-the-same/

Pour rappel, tous les anti-rootkits actuels (compris TDSSKiller) se font killer par ZeroAccess.

Plus d'informations pour utiliser l'outil de suppression de Webroot :
http://www.malekal.c...irefef-remover/

[Th-Crown]

Pour continuer sur les rootkits, voici une belle vérole : Sirefef.B / Rootkit.Win32.ZAccess / MAX++

http://www.malekal.c...32-zaccess-max/

Webroot ont sorti un fix qui pour le moment fonctionne :
http://blog.webroot....re-of-the-same/

Pour rappel, tous les anti-rootkits actuels (compris TDSSKiller) se font killer par ZeroAccess.

Plus d'informations pour utiliser l'outil de suppression de Webroot :
http://www.malekal.c...irefef-remover/

Mais il semble que le driver de Webroot ne se charge pas sur Windows 67 bits (si on lit bien le commentaire sur la dite page http://www.malekal.c...irefef-remover/ Son intérêt se réduit quelque peu (entre autres pour moi).

[loumax]

Mais il semble que le driver de Webroot ne se charge pas sur Windows 67 bits (si on lit bien le commentaire sur la dite page http://www.malekal.c...irefef-remover/ Son intérêt se réduit quelque peu (entre autres pour moi).

Il semblerait bien que tu aies raison
Espérons que l'adaptation de Webroot aux plateformes 64 bits soit plus rapide qu'une éventuelle évolution de ZAccess qui serait en mesure de bloquer le fix ...