TDSS est un rootkit, c’est à dire qu’il modifie le Master Boot Record (MBR).
– Il modifie les paramètres des navigateurs afin de rediriger le trafic Web vers ses serveurs.
– Il se propage via les réseaux de partage de fichier (Peer To Peer).
– Il cherche a obtenir des accès administrateur système.
– Cette infection est très difficile à supprimer mais la plupart des antivirus la prenne en charge.
– Recensé le 10/10/2010.

Caractéristiques TDSS :

– Il appartient à une famille de méchants Rootkits avec des fonctionnalités e trojan et d’hijacker.
– Un rootkit est une infection du root système (MBR).
– Un Cheval de Troie (trojan) est un programme indésirable et dangereux qui s’installe à l’insu de l’utilisateur.
– Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.
– Développé par une société inconnue.

Actions principales TDSS :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il installe des pilotes qui démarrent automatiquement avec le système(O41)
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il détourne les extensions de fichiers (File Association Shell Spawing) (067)
– Les fichiers d’extension « exe » pointent vers une clé particulière « sezfile » (O67),
– Il pirate le démarrage des navigateurs Mozilla Firefox et d’Internet Explorer (O68),
– Il détourne le lancement du navigateur internet afin de lancer son propre processus malware (O68)
– Il s’installe dans la Base de Registres au niveau Internet Feature Controls (O81),

Aperçu ZHPDiag pour TDSS:

—\\ Processus lancés

[MD5.9DEBACAC653B229557F8935267962812] – (…) — C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe [311808]

—\\ Pilotes lancés au démarrage (O41)
O41 – Driver: (TDSSserv) . (…) – C:\WINDOWS\system32\drivers\TDSSserv.sys

—\\ File Association Shell Spawning (FASS) (O67)
O67 – Shell Spawning: <.exe> [HKCU\..\open\Command] (…) — « C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe
O67 – Shell Spawning: <.exe> [HKCR\..\open\Command] (…) — « C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe
O67 – Shell Spawning: <.exe> <sezfile>[HKCU\..\open\Command] (…) — « C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe
O67 – Shell Spawning: <.exe> <sezfile>[HKCR\..\open\Command] (…) — « C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe

—\\ Start Menu Internet (SMI) (O68)
O68 – StartMenuInternet: [HKLM\..\Shell\open\Command] (…) — « C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe
O68 – StartMenuInternet: [HKLM\..\Shell\open\Command] (…) — « C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe
O68 – StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (…) — « C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe
O68 – StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (…) — « C:\Documents and Settings\Coolman\Local Settings\Application Data\vz.exe

—\\ Internet Feature Controls (IFC) (O81)
O81 – IFC: Internet Feature Controls [HKCU] [feature_enable_ie_compression] — svchost.exe
O81 – IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] — svchost.exe
O81 – IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] — svchost.exe
O81 – IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] — svchost.exe
O81 – IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] — svchost.exe

Liens TDSS :

Rootkit.TDSS TDL 4 (Trojan.Alureon)
Infection with TDSS is extremely difficult to spot because of the rootkit component…
TDSSKiller Rootkit Removal Utility Free Download

Alias TDSS :

Rootkit.TDSS TDL
Trojan.Alureon
Rootkit.MBR.TDSS [BitDefender] MBR/Alureon.A

Supprimer (Remove) TDSS:

– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs