TDL-4 "Nezničitelný botnet?
Zdroj: SOOM.cz [ISSN 1804-7270]Autor: _infinity_
Datum: 2.7.2011
Hodnocení/Hlasovalo: 1/2
30. červena 2011 byl výzkumníky z Kaspersky Lab představen botnet zvaný TDL-4, který byl označen za "nezničitelný". V globálním pohledu do budoucna se jedná o vážnou hrozbu, bude zajímavé sledovat průběh a mutace tohoto botnetu.
Bezpečnostní výzkumníci z Kaspersky Lab představili botnet zvaný TDL-4, sbírku infikovaných počítačů ovládaných zločinci - ", který by mohl být nezničitelný.
TDL-4 dostal své jeho podle toho, že se jedná o čtvrtou generaci tohoto botnetu. V roce 2008, byl původní TDL objeven. Ten se vyvinul řadou změn v průběhu posledních několika let. S TDL-4, Kaspersky poznamenal, že tvůrci malware radikálně zlepšují botnet od jeho předchůdců.
"Tvůrci malwaru rozšířili funkcionalitu programu, změnili algoritmus použitý k zašifrování komunikačního protokolu mezi boty a ovládacími příkazy a kontrolními servery, a pokoušejí se zajistit, aby měli přístup k napadeným počítačům i v případech, když jsou řídící servery botnetu vypnuté.", napsal Kaspersky na svém blogu SecureList začátkem tohoto týdne. "Majitelé TDL jsou v podstatě snaží o vytvoření 'nezničitelného' botnetu, který je chráněn před útoky, konkurencí a antivirovými společnostmi."
Hlavní aktualizace TDL-4 je vylepšený lepší algoritmus, který šifruje komunikaci mezi infikovanými počítači a ovládáním botnetu. Podle Kaspersky, TDL-4 tvoří identifikátor známý jako "parametr BSH", který: "se chová jako jeden z šifrovacích klíčů pro následné připojení k ovládacímu a kontrolnímu serveru." Jakmile je vyslán request příkazu a počítač je aktivní, je přenášen přes HTTPS spojení. Podle Kaspersky, systém pomáhá botnetu "běžet plynule" a zároveň, zastavuje kohokoliv jiného od pokusu převzít nad ním kontrolu.
Globální rozsah TDL-4 infekcí. Podle podle legendy zemí vpravo, USA, Indie, Indonésie a Velká Británie jsou vrcholy infekcí. (Credit: Kaspersky Lab)
Aby se TDL-4 chránil před odstraněním, infikuje v počítači master boot record, a umožňuje tak, aby byl spuštěn před zavedením operačního systému, a to ho drží z dosahu zvědavých očí tvůrců anti-malware programů. A co víc, botnet odstraní další škodlivé soubory, které by mohly být zachyceny bezpečnostními nástroji a dát tip uživatelům, že by TDL-4 mohl běžet na jejich počítačích. Na druhou stranu, TDL-4 má stáhnout asi 30 škodlivých programů na infikované počítače, včetně "falešných antivirových programů, adware a 'Pushdo Spambot'," řekl Kaspersky.
Podle Kaspersky, botnet také používá peer-to-peer síť Kad, která mu zajišťuje několik příkazů, včetně hledání nových souborů, publikování souborů v síti Kad a dále.
Velký závěr pro tvůrce TDL-4, kaspersky řekl, že i když: "řídící a kontrolní servery jsou vypnuty, majitelé botnetu nepřijdou o kontrolu nad infikovanými stroji", protože budou mít stále vytvořenou síť Kad.
I když Kaspersky se domnívá, že TDL-4 je prakticky neproniknutelný, není tak rychlý ke stejnému závěru. Dnes se píše článek pro InfoWorld, kde Roger Grimes, "24-letý veterán z válek malwaru," řekl, že zde i přesto může být jediný threat, který by mohl být schován na neurčito.
"Mohu říci s jistotou, že žádný threat není v nebezpečí, jelikož, nikdo s antimalwarového průmyslu a prodejců OS nebyl schopný úspěšně reagovat.", popsal Grimes. "Může trvat měsíce nebo roky něco killnout, ale nakonec to dobří hoši zvládnou.
Právě on uvedl následující fakta. V loňském roce byl zastaven Conflicker po msti na počítačích po celém světě od roku 2008. Začátkem tohoto měsíce, FBI oznámila, že to zastavilo i botnet Coreflood.
Ale TDL-4 hraje svoji vlastní ligu. Jak uvádí Kaspersky, botnet může: "manipulovat s adware a vyhledávači, poskytovat anonymní přístup k internetu a slouží i jako odrazový můstek pro další malware.".
Podle Kaspersky, 28 procent ze všech nakažených TDL-4 počítačů jsou v USA, dále ve Velké Británii, Itálii, Francii a v mnoha dalších zemích.
Všichni řekli, že více než 4,5 milionů počítačů bylo infikováno TDL-4 během prvních tří měsíců roku 2011.
Autor: Don Reisinger
Odkazy:
Secit.SK
crypto-world.info