Nova verzija opasnog TDL-4 malvera odgovorna za infekciju 280000 računara, broj žrtava i dalje raste

Vesti, 19.09.2012, 09:27 AM

Nova verzija opasnog TDL-4 malvera odgovorna za infekciju 280000 računara, broj žrtava i dalje raste

Istraživači Damballa Labs upozorili su na kampanju prevara sa klikovima u kojoj se koristi opasni malver TDL-4 a a prema proceni istraživača rezultati ove kampanje su 280000 žrtava, uključujući i 46 kompanija koje se nalaze na listi vodećih 500 kompanija koju objavljuje magazin Fortune, nekoliko internet provajdera, agencija i institucija.

Malver TDL-4, poznat i pod nazivom TDSS, proslavio se prošle godine kada su istraživači otkrili da je ovaj zlonamerni program odgovoran za zombi mrežu sa više od 4 miliona zaraženih računara. U to vreme, istraživači Kaspersky Lab-a opisali su TDL-4 bot mrežu kao neuništivu zbog naprednih tehnika koje koristi malver kako bi izbegao otkrivanje od strane antivirusnih programa, ali i zbog decentralizovane infrastrukture za komandu i kontrolu bot mreže.

Istraživači opisuju TDL-4 kao višenamensku odskočnu dasku za druge malvere koji mogu imati neke druge funkcionalnosti. TDL-4 se smatra jednim od najkompleksnijih malvera koje su ikada razvili sajber kriminalci, ne računajući malvere kao što su Stuxnet, Flame, Gauss i slične za koje se veruje da su državni projekti čiji cilj nije kriminal već sajber špijunaža.

TDL-4 je malver iz grupe bootkit (boot rootkit) malvera jer inficira Master Boot Record (MBR) hard diska, sektor koji sadrži informacije o tabeli particija i sistemskim fajlovima. Kod koji se nalazi u MBR se izvršava pre nego što se pokrene operativni sistem.

Najnovija verzija malvera na koju su upozorili istraživači Damballa Labs koristi algoritam za generisanje domena (domai-generation algortthm, DGA) koji omogućava zaraženim računarima generisanje na hiljade naziva domena na dnevnom nivou sa ciljem da se sakrije infrastruktura za komadnu i kontrolu bot mreže.

Žrtve kampanje koja svojim organizatorima donosi prihod od klikova, preusmeravaju se sa legitimnih oglasa na određene URL adrese pri čemu napadači profitiraju od preusmeravanja saobraćaja. Oglasi su ubačeni na različite veb sajtove uključujući i facebook.com, doubleclick.net, youtube.com, yahoo.com, msn.com i google.com.

Ova verzija malvera TDL-4 pojavila se u maju, tvrde istraživači, i samo prošle nedelje zarazila je više od 30000 računara.

Žrtve obično nisu svesne napada a ni istraživači još uvek nisu sigurni kakvi se oglasi koriste u ovoj kampanji jer je analiza napada još uvek u toku.

Istraživači su otkrili 85 servera koji su u vezi sa ovom zombi mrežom i koji se većinom nalaze u Rusiji, Rumuniji i Holandiji, dok se napadi većinski dešavaju u SAD, Nemačkoj i Velikoj Britaniji.

Istraživači upozoravaju da broj žrtava malvera TDL-4 raste, što je prema njima znak da antivirusni programi ne otkrivaju malver niti uklanjaju infekciju kada do nje dođe.

Istraživači Damballa Labs dobili su snimak memorije sa računara zaraženog malverom za koji veruju da je TDL-4 s obzirom na delove koda i konfiguraciju koje je otkrio taj snimak. Ipak, oni kažu da je za sada nemoguće potvrditi sa sigurnošću da je reč baš o TDL-4 malveru jer njima nije bio dostupan uzorak malvera iako su pokušavali da ga pronađu dva meseca. S obzirom da je reč o veoma kompleksnom malveru, za tradicionalne antiviruse je problem da ga detektuju a to je i objašnjenje zašto broj žrtava infekcije raste uprkos aktivnostima koje su preduzeli istraživači protiv nekoliko domena koji su povezani sa ovom bot mrežom.

Ipak, moguće je da neki antivirusi detektuju ovaj malver sa generičkim imenom, na osnovu ponašanja, kažu u Damballa Labs.

U Kaspersky Lab trenutno istražuju slučaj, ali za sada nemaju komentar o ovome, rekla je portparol kompanije za sajt Computer World.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zoom obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti

Zoom obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti

Zoom je obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti. Ovo je objavljeno na blogu izvršnog direktora Zooma Erika Juana... Dalje

Zašto je lozinka ''123456'' vrlo loša ideja

Zašto je lozinka ''123456'' vrlo loša ideja

U jednoj od najvećih studija o upotrebi lozinki, analizom više od milijardu procurelih korisničkih podataka otkriveno je da je jedna od svake 142 ... Dalje

Zbog prikupljanja podataka korisnika, Indija zabranila 59 kineskih aplikacija, među kojima i TikTok i UC Browser

Zbog prikupljanja podataka korisnika, Indija zabranila 59 kineskih aplikacija, među kojima i TikTok i UC Browser

Indijska vlada zabranila je juče 59 kineskih mobilnih aplikacija zbog nacionalne bezbednosti. Zabrana dolazi nakon sukoba indijske vojske sa kineskim... Dalje

Kako je Telegram pobedio rusku vlast koja ga je zabranila

Kako je Telegram pobedio rusku vlast koja ga je zabranila

Pre dve godine, vlasnik Telegrama Pavel Durov odbio je da dozvoli ruskim bezbednosnim službama pristup šifrovanim porukama korisnika u svojoj popula... Dalje

Google će automatski brisati podatke koje prikuplja o novim korisnicima, a evo šta će biti sa podacima postojećih korisnika

Google će automatski brisati podatke koje prikuplja o novim korisnicima, a evo šta će biti sa podacima postojećih korisnika

Google menja svoja podrazumevana podešavanja tako da će ubuduće neki podaci koje prikuplja o korisnicima biti automatski brisani, umesto da korisni... Dalje