TDL-4, TDSS, Popureb, l’attaque des malwares indestructibles

Depuis 2008 et l’apparition du malware TDSS, le botnet formé par les machines infectées arrive au nombre écrasant de 4 millions et demi. Les analystes de Kaspersky ont récemment émis un rapport sur le sujet, déclarant TDSS comme la menace la plus sophistiquée à ce jour.

TDL-4 invisible et invulnérable ?

Le rootkit TDL-4, 4^ème génération du malware TDSS, alimente en PC Zombie le Botnet homonyme. La logique derrière l’infection est surtout mercantile, un système d’affiliation permet de rémunérer les meilleurs agents infectieux, des personnes diffusant à grande échelle ce nuisible. Le rootkit dissimule sa présence de par son statut et échappe même à la désinfection en s’imbriquant dans le secteur de boot. Encore plus fort, il possède une fonction qui écarte ses congénères du système ! En effet, tous les virus de même catégorie sont éradiqués, dans un souci d’exclusivité sans doute…L’action de TDL-4 reste elle classique, à savoir collecte d’informations personnelles et participation aux activités du Botnet.

 

Les bonnes méthodes de désinfection

Pour tromper les antivirus, le malware utilise une procédure vicieuse mais efficace : en s’installant au niveau du secteur de démarrage, il se duplique à chaque tentative de modification de celle-ci. La solution radicale pour s’en débarrasser serait idéalement de réinstaller Windows…les antivirus sont inefficaces, du moins seuls, mais les éditeurs de solutions de sécurité commencent à proposer des outils de secours qui permettent de se débarrasser définitivement du rootkit. BitDefender propose gratuitement son Free Removal Tool for TDL4, tandis que Norton met à disposition un Rescue Tool, ainsi qu’une batterie de modules dédiés à éliminer les backdoor, bootkits et autres trojan qui affectent les PC. Ces solutions peuvent également fonctionner contre Popureb, devenue célèbre dernièrement, mais la solution la plus efficace dans ce cas est de restaurer la MBR grâce à l’outil fournit par Norton.