Le botnet «TDL-4» est considéré comme « la menace actuelle la plus sophistiquée », a déclaré Sergey Golovanov chercheur chez Kaspersky Labs dans une analyse détaillée. Il ajoute « TDL-4 est pratiquement indestructible ». D'autres spécialistes en conviennent. « Je ne dirais pas qu'il est parfaitement indestructible, mais qu'il s'en rapproche », a déclaré Joe Stewart, directeur de recherche chez Dell SecureWorks et un expert de renommée internationale sur les botnet, dans un entretien. Les deux scientifiques ont fondé leur opinion en étudiant les différents composants de TDL-4 et en constatant qu'il est extrêmement difficile à détecter et à supprimer.

TDL-4 infecte le MBR, master boot record de l'ordinateur par un rootkit où le malware se cache pour prendre le contrôle de l'OS. Le master boot record est le premier secteur - le secteur 0 - du disque dur, où les instructions pour l'amorçage du système d'exploitation sont stockées, après le démarrage des analyses du BIOS. L'installation est invisible pour l'OS et plus encore pour un logiciel de sécurité. Mais là n'est pas l'arme secrète de TDL-4. Ce qui rend le botnet quasi invincible, c'est la combinaison de l'utilisation d'un réseau peer to peer public et le chiffrement des instructions des serveurs de commandes et contrôle (C&C).

Un réseau P2P public et du chiffrement propriétaire

« La manière dont le peer-to-peer est utilisé pour TDL-4 rend ce botnet extrêmement difficile à vaincre », a déclaré Roel Schouwenberg, chercheur senior chez Kaspersky malware, et d'ajouter « les personnes derrière TDL font tout leur possible pour ne pas perdre leur réseau d'ordinateurs zombie ». Le scientifique fait référence notamment aux efforts des autorités policières, comme le FBI,  pour faire cesser les botnets, comme ce fut le cas pour Coreflood. Mais il précise qu'à « chaque fois qu'un botnet est arrêté, les cyber-criminels adaptent le suivant en le rendant plus résistant ».  Ainsi, les concepteurs de TDL-4 ont créé leur propre algorithme de chiffrement, précise Sergei Golovanov et le botnet utilise les noms de domaine des serveurs C & C comme clé de chiffrement. Il se base également sur le réseau public de P2P, Kad, pour l'un de ses deux canaux de communication entre les ordinateurs infectés et les serveurs C & C, a déclaré le chercheur. Auparavant, les communications se déroulaient dans un réseau P2P fermé, que les cyber-criminels avaient créé.

Les spécialistes de Kaspersky estiment que TDL-4 se compose de plus de 4,5 millions de PC Windows infectés. Le rootkit, le chiffrement et la communication, ainsi que sa capacité à désactiver d'autres programmes malveillants, y compris le bien connu Zeus, rend le botnet actif durablement. « TDL est un business et son but est de rester sur PC aussi longtemps que possible », a déclaré Joe Stewart. « C'est très intelligent de désactiver des logiciels malveillants facile à détecter pour éviter en cas de comportement suspect que l'utilisateur ne lance une analyse de sécurité via un logiciel antivirus » complète-t-il. En revanche, il installe ses propres malware, environ une trentaine sur les PC contrôlés, pour mener des attaques en DDOS ou faire des campagnes de spam et de phishing. La subtilité est que le botnet peut à tout moment supprimer ces malwares sur l'ordinateur, conclut Sergei Golovanov.