Deux chercheurs de l'éditeur de solutions de sécurité Kaspersky ont communiqué sur leur récente découverte. Selon eux, un botnet qui infecterait déjà 4,5 millions de machines dans le monde serait quasiment impossible à neutraliser.

Ainsi, il serait impossible de l'attaquer par des voies classiques comme couper les serveurs par des actions fédérales, comme cela avait été fait récemment pour le botnet Rustock. 

Ce botnet communique avec les personnes qui le contrôlent via des communications chiffrées, et il se répand en peer 2 peer, notamment via un le réseau peer 2 peer public Kad. Les ordinateurs constituant le botnet sont donc particulièrement difficiles à identifier.

L'infection initiale se fait par un virus présenté comme extrêmement coriace également. Un virus qui est diffusé via des sites pornographiques, d'hébergement de fichiers ou de warez, principalement.

Un très intéressant billet de blog à sunbelblog.blogspot.com donne des détail techniques sur le fonctionnement de ce virus. Celui-ci infecte le boot (MBR) de Windows et y change la configuration de la politique de sécurité 'LoadIntegrityCheckPolicy'. Ceci permet d'abaisser le niveau de validation des programmes de boot et de charger des malwares, dont, notamment un fichier kdcom.dll qui écrase le fichier kdcom.dll normal de Windows. Le virus désactive aussi les débogueurs

Infected Kdcom.dll with debugger functions NOP’ed out

.text: public KdDebuggerInitialize0

.text: mov cs:byte_1800019EC, 3

.text: xor eax, eax

.text: retn <-- Debugger function NOP’ed out that prevents debugger attachment

.text: public KdSendPacket

.text: mov     cs:byte_1800019EC, 6

.text: retn <-- Debugger function NOP’ed out

.text: KdDebuggerInitialize1

.text: lea     rcx, sub_18000190C <-- This function installs the rootkit

.text: jmp     cs:PsSetLoadImageNotifyRoutine

.text: public KdDebuggerInitialize1 endp

Ce virus sévit à priori essentiellement aux Etats-Unis pour l'instant. Il est de la famille des virus TDSS et Kaspersky propose un outil de nettoyage des machines infectées à cette page.