Nova verzija opasnog TDL-4 malvera odgovorna za infekciju 280000 računara, broj žrtava i dalje raste

Vesti, 19.09.2012, 09:27 AM

Nova verzija opasnog TDL-4 malvera odgovorna za infekciju 280000 računara, broj žrtava i dalje raste

Istraživači Damballa Labs upozorili su na kampanju prevara sa klikovima u kojoj se koristi opasni malver TDL-4 a a prema proceni istraživača rezultati ove kampanje su 280000 žrtava, uključujući i 46 kompanija koje se nalaze na listi vodećih 500 kompanija koju objavljuje magazin Fortune, nekoliko internet provajdera, agencija i institucija.

Malver TDL-4, poznat i pod nazivom TDSS, proslavio se prošle godine kada su istraživači otkrili da je ovaj zlonamerni program odgovoran za zombi mrežu sa više od 4 miliona zaraženih računara. U to vreme, istraživači Kaspersky Lab-a opisali su TDL-4 bot mrežu kao neuništivu zbog naprednih tehnika koje koristi malver kako bi izbegao otkrivanje od strane antivirusnih programa, ali i zbog decentralizovane infrastrukture za komandu i kontrolu bot mreže.

Istraživači opisuju TDL-4 kao višenamensku odskočnu dasku za druge malvere koji mogu imati neke druge funkcionalnosti. TDL-4 se smatra jednim od najkompleksnijih malvera koje su ikada razvili sajber kriminalci, ne računajući malvere kao što su Stuxnet, Flame, Gauss i slične za koje se veruje da su državni projekti čiji cilj nije kriminal već sajber špijunaža.

TDL-4 je malver iz grupe bootkit (boot rootkit) malvera jer inficira Master Boot Record (MBR) hard diska, sektor koji sadrži informacije o tabeli particija i sistemskim fajlovima. Kod koji se nalazi u MBR se izvršava pre nego što se pokrene operativni sistem.

Najnovija verzija malvera na koju su upozorili istraživači Damballa Labs koristi algoritam za generisanje domena (domai-generation algortthm, DGA) koji omogućava zaraženim računarima generisanje na hiljade naziva domena na dnevnom nivou sa ciljem da se sakrije infrastruktura za komadnu i kontrolu bot mreže.

Žrtve kampanje koja svojim organizatorima donosi prihod od klikova, preusmeravaju se sa legitimnih oglasa na određene URL adrese pri čemu napadači profitiraju od preusmeravanja saobraćaja. Oglasi su ubačeni na različite veb sajtove uključujući i facebook.com, doubleclick.net, youtube.com, yahoo.com, msn.com i google.com.

Ova verzija malvera TDL-4 pojavila se u maju, tvrde istraživači, i samo prošle nedelje zarazila je više od 30000 računara.

Žrtve obično nisu svesne napada a ni istraživači još uvek nisu sigurni kakvi se oglasi koriste u ovoj kampanji jer je analiza napada još uvek u toku.

Istraživači su otkrili 85 servera koji su u vezi sa ovom zombi mrežom i koji se većinom nalaze u Rusiji, Rumuniji i Holandiji, dok se napadi većinski dešavaju u SAD, Nemačkoj i Velikoj Britaniji.

Istraživači upozoravaju da broj žrtava malvera TDL-4 raste, što je prema njima znak da antivirusni programi ne otkrivaju malver niti uklanjaju infekciju kada do nje dođe.

Istraživači Damballa Labs dobili su snimak memorije sa računara zaraženog malverom za koji veruju da je TDL-4 s obzirom na delove koda i konfiguraciju koje je otkrio taj snimak. Ipak, oni kažu da je za sada nemoguće potvrditi sa sigurnošću da je reč baš o TDL-4 malveru jer njima nije bio dostupan uzorak malvera iako su pokušavali da ga pronađu dva meseca. S obzirom da je reč o veoma kompleksnom malveru, za tradicionalne antiviruse je problem da ga detektuju a to je i objašnjenje zašto broj žrtava infekcije raste uprkos aktivnostima koje su preduzeli istraživači protiv nekoliko domena koji su povezani sa ovom bot mrežom.

Ipak, moguće je da neki antivirusi detektuju ovaj malver sa generičkim imenom, na osnovu ponašanja, kažu u Damballa Labs.

U Kaspersky Lab trenutno istražuju slučaj, ali za sada nemaju komentar o ovome, rekla je portparol kompanije za sajt Computer World.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Proizvođači antivirusa i neprofitne organizacije koje se bave nasiljem u porodici oformili Koaliciju protiv stalkerwarea

Proizvođači antivirusa i neprofitne organizacije koje se bave nasiljem u porodici oformili Koaliciju protiv stalkerwarea

Ove nedelje osnovana je Koalcija protiv stalkerwarea, čiji je cilj da se na jednom mestu pruži pomoć žrtavama stalkwarea, kao i da definiše šta ... Dalje

Amnesty International: Google i Facebook su pretnja ljudskim pravima

Amnesty International: Google i Facebook su pretnja ljudskim pravima

Amnesty International se pridružio redovima kritičara Facebooka i Googlea, ocenom koju je izneo u svom izveštaju, da ove kompanije imaju "poslovne ... Dalje

Zvanični sajt kriptovalute Monero inficiran malverom koji krade kriptovalutu

Zvanični sajt kriptovalute Monero inficiran malverom koji krade kriptovalutu

Neko je hakovao zvanični web sajt projekta kriptovalute Monero i krišom zamenio legitimne Linux i Windows fajlove dostupne za preuzimanje maliciozni... Dalje

Interpol planira da osudi tehnološke kompanije zbog korišćenja enkripcije jer ona ''štiti pedofile''

Interpol planira da osudi tehnološke kompanije zbog korišćenja enkripcije jer ona ''štiti pedofile''

Međunarodna policijska organizacija Interpol planira da rezolucijom osudi tehnološke kompanije koje koriste snažnu enkripciju jer ona štiti pedofi... Dalje

Američke obaveštajne agencije prošle godine prestale da prikupljaju podatke o lokaciji mobilnih telefona, bez sudskog naloga

Američke obaveštajne agencije prošle godine prestale da prikupljaju podatke o lokaciji mobilnih telefona, bez sudskog naloga

Američke obaveštajne agencije zaustavile su prošle godine prikupljanje podataka o lokaciji telefona u SAD, bez sudskog naloga, navodi se u pismu Ka... Dalje