Répondre à la discussion
Affichage des résultats 1 à 17 sur 17

Actu - TDL-4, le super botnet qui fait peur



  1. #1
    RSSBot

    Actu - TDL-4, le super botnet qui fait peur

    Le « top bot », selon l'expression de ses découvreurs, serait la « menace la plus sophistiquée » sévissant actuellement sur Internet. Transmis par des rogues, installé dans&nbsp;la MBR et capable de chasser les virus concurrents, il aurait infecté 4,5 millions de PC sous Windows en trois mois pour créer des botnets, c'est-à-dire des réseaux clandestins.<br />
    Deux informaticiens travaillant chez l'éditeur d'antivirus Kaspersky, Igor Soumenkov et Sergey Golovanov, viennent de décrire une sorte de...

    Lire la suite : TDL-4, le super botnet qui fait peur
    Les actualités Futura-Sciences

  2. Publicité
  3. #2
    BriareosH

    Re : Actu - TDL-4, le super botnet qui fait peur

    Bonjour, vu l'universalité du rootkit, sa propension à échapper aux détections et se répandre, dire aux gens "vous pouvez être infectés" sans leur donner le moyen de s'en assurer est étrange.

    Voici le lien vers l'outil TDSSKiller de Kaspersky qui permet de détecter et supprimer TDL4 ainsi que d'autres bootkit.

  4. #3
    acropole

    Re : Actu - TDL-4, le super botnet qui fait peur

    Citation Envoyé par BriareosH Voir le message
    Bonjour, vu l'universalité du rootkit, sa propension à échapper aux détections et se répandre, dire aux gens "vous pouvez être infectés" sans leur donner le moyen de s'en assurer est étrange.

    Voici le lien vers l'outil TDSSKiller de Kaspersky qui permet de détecter et supprimer TDL4 ainsi que d'autres bootkit.
    Peut-on avoir confiance en ce lien ?

  5. #4
    BriareosH

    Re : Actu - TDL-4, le super botnet qui fait peur

    *

  6. A voir en vidéo sur Futura
  7. #5
    SNT

    Re : Actu - TDL-4, le super botnet qui fait peur

    Citation Envoyé par acropole Voir le message
    Peut-on avoir confiance en ce lien ?
    Quand même, on peut faire confiance à Kaspersky, ça n'est pas n'importe quelle entreprise.
    "Ne regrette jamais tes erreurs, elles te feront toujours avancer" So

  8. #6
    zoonel

    Re : Actu - TDL-4, le super botnet qui fait peur

    pour ceux qui veulent en savoir plus sur son mode de fonctionnement:
    http://resources.infosecinstitute.com/tdss4-part-1/
    http://resources.infosecinstitute.com/tdss4-part-2/
    http://resources.infosecinstitute.com/tdss4-part-3/

    Je crois que gmer detecte aussi ce rootkit (http://www.gmer.net/)

  9. Publicité
  10. #7
    mila06

    Re : Actu - TDL-4, le super botnet qui fait peur

    Merci pour l'info mais :
    "Deux informaticiens de chez Kaspersky, viennent de décrire..."
    ça ce trouve c'est eux qui ont crée ce Botnet pour vendre leurs systeme...

  11. #8
    JPL
    Responsable des forums

    Re : Actu - TDL-4, le super botnet qui fait peur

    N'importe quoi.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  12. #9
    SNT

    Re : Actu - TDL-4, le super botnet qui fait peur

    Citation Envoyé par mila06 Voir le message
    Merci pour l'info mais :
    "Deux informaticiens de chez Kaspersky, viennent de décrire..."
    ça ce trouve c'est eux qui ont crée ce Botnet pour vendre leurs systeme...
    Biensur, c'est même HADOPI qui a fait le bootnet....



    Citation Envoyé par JPL Voir le message
    N'importe quoi.
    +1
    "Ne regrette jamais tes erreurs, elles te feront toujours avancer" So

  13. #10
    uneautreterre

    Re : Actu - TDL-4, le super botnet qui fait peur

    Bonjour.
    Ce malware génère-t-il un processus que l'on peut visualiser dans la liste des processus du gestionnaire des tâches?
    Si oui, ce serait bien d'en indiquer le nom.

  14. #11
    JPL
    Responsable des forums

    Re : Actu - TDL-4, le super botnet qui fait peur

    Ce serait trop simple. Déjà les infections classiques tendent à se dissimuler, mais là il s'agit d'un rootkit qui manipule directement le système d'exploitation. Donc aucun espoir de le repérer sauf en utilisant des outils spécialisés. Autrement dit, non seulement on ne voit rien, mais chercherait-on à lire le MBR modifié (avec un éditeur hexadécimal permettant de lire directement les secteurs du disque), on n'observerait que la structure d'un MBR normal parce qu'il en garde certainement une copie cachée quelque part pour leurrer un utilisateur trop curieux.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  15. #12
    SNT

    Re : Actu - TDL-4, le super botnet qui fait peur

    J'ajoute quand même que c'est un belle exploit d'avoir réalisé un tel rootkit (même s'il est vrai que c'est une belle saloperie)
    "Ne regrette jamais tes erreurs, elles te feront toujours avancer" So

  16. Publicité
  17. #13
    JPL
    Responsable des forums

    Re : Actu - TDL-4, le super botnet qui fait peur

    Ce que j'ai indiqué dans mon message précédent n'est qu'une propriété commune à tous les rootkits exploitant ou non le MBR.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  18. #14
    polo974

    Re : Actu - TDL-4, le super botnet qui fait peur

    Mais quelque part, c'est un truc installé par l'utilisateur ayant les droits admin qui s'est fait leurré...
    Jusqu'ici tout va bien...

  19. #15
    JPL
    Responsable des forums

    Re : Actu - TDL-4, le super botnet qui fait peur

    Comme d'habitude. Toutefois il ne faut pas oublier que même dans une session non administrateur certains malwares peuvent utiliser des failles dans des logiciels ou dans le système d'exploitation pour pratiquer une élévation des privilèges (privilege escalation) qui leur permet de se comporter comme des administrateurs "à l'insu du plein gré" de l'utilisateur.

    C'est une des raisons qui justifient la nécessité de toujours mettre à jour l'OS et tous les programmes qu'on utilise.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  20. #16
    SNT

    Re : Actu - TDL-4, le super botnet qui fait peur

    Citation Envoyé par SNT Voir le message
    J'ajoute quand même que c'est un belle exploit d'avoir réalisé un tel rootkit (même s'il est vrai que c'est une belle saloperie)
    Citation Envoyé par JPL Voir le message
    Ce que j'ai indiqué dans mon message précédent n'est qu'une propriété commune à tous les rootkits exploitant ou non le MBR.
    Je parlais de tout ce qu'il sait faire :
    http://sebsauvage.net/rhaa/index.php...ect-mercantile
    "Ne regrette jamais tes erreurs, elles te feront toujours avancer" So

  21. #17
    pl.lamballais

    Re : Actu - TDL-4, le super botnet qui fait peur

    Citation Envoyé par SNT Voir le message
    J'ajoute quand même que c'est un belle exploit d'avoir réalisé un tel rootkit (même s'il est vrai que c'est une belle saloperie)
    C'est un virus de boot-secteur et ce sont les tout premiers qui sont apparus sur Atari vers... 1987! A l'époque on faisait ça sur disquette en utilisant une particularité des OS qui peuvent démarrer sur disque, particularité qui était exploitée sur les jeux: sur un Atari tu mets la disquette de ton jeu dans le lecteur, puis tu allumes ta machines, et hop, le jeu démarre tout seul grace au loader que l'éditeur a écrit dans le boot secteur.
    On se servait donc de ça pour faire des virus: quand tu démarrais ta machine avec une disquette infectée, ta machine regardait le boot secteur, et y déclenchait naturellement le bout de code. Celui-ci avait plusieurs fonctions:
    1) se recopier en RAM dans une zone extréme de celle-ci
    2) détourner le reset de la machine afin qu'en cas d'appui sur le reset, celui-ci se fasse sans effacer la zone de RAM infectée
    3) détourner la lecture disque. Ceci permettant de lire le boot de la "nouvelle disquette insérée" et si elle n'était pas infectée, hop, le virus s'y écrivant.

    En quelques jours tu pouvais avoir 200 ou 300 disquettes infectées.

    Après c'était plus drole parce que tout le truc pour un virus c'est de rester caché le plus longtemps possible. Pour certains, il y a avait un compteur d'installation et au bout de X recopies, hop, ils commençaient à bricoler le disque, par exemple en mélangeant les FAT (ça, ça fait mal: tu demandes le répertoire et tu as plus que des noms du genre jhgjhazgjazhgdazygzjg.jhgejhzg aejhazg avec des fichiers dont la taille est du genre 87987987 To...), ou alors en inversant tous les mouvements de la souris (ça c'est juste drole) etc...

    La solution la plus simple qui avait été trouvée, c'était de vacciner les disques en les "infectants" avec une version neutre. Comme ça, quand le vrai virus voulait infecter le disque, il croyait déjà y être et le laissait tranquille.

    En fait, comme les ordinateurs fonctionnent toujours de la même manière, les bonnes vieilles recettes fonctionnent toujours. Je serais même tenté de dire que c'est plus facile. Sur Atari, si mes souvenirs sont exacts le boot de l'Atari ça devait être 512 octets, donc assembleur obligatoire. Avec la taille des secteurs des disques durs actuels, je pense qu'on a pas mal de place pour faire pas mal de bidouilles.

    Amitiés
    Fiercy from 44E

Discussions similaires

  1. Actu - Une femme qui ne connaît pas la peur !
    Par RSSBot dans le forum Commentez les actus, dossiers et définitions
    Réponses: 1
    Dernier message: 20/12/2010, 10h24
  2. Actu - L'éléphant a peur des fourmis, ce qui sauve l'acacia
    Par RSSBot dans le forum Commentez les actus, dossiers et définitions
    Réponses: 1
    Dernier message: 05/09/2010, 22h24
  3. Actu - Apophis, le géocroiseur qui fait peur, va probablement rater la Terre
    Par RSSBot dans le forum Commentez les actus, dossiers et définitions
    Réponses: 11
    Dernier message: 15/10/2009, 16h41
  4. Message qui fait peur à l'allumage
    Par Chrysomallus dans le forum Matériel - Hardware
    Réponses: 5
    Dernier message: 11/11/2008, 11h11