Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Opisi virusa, 01.07.2011, 11:53 AM

Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Kako tvrde istraživači Kaspersky Laboratorije, bot (zombi) mreža poznata pod nazivom TDL, koja uključuje preko 4,5 miliona računara zaražena tokom poslednja tri meseca istoimenim Trojancem, TDL-4, praktično je neuništiva.

TDL-4, poznat i pod nazivima Tidserv, TDSS i Alureon, je četvrta verzija Trojanca koji inficira rootkit-om Master Boot Record (MBR) sektor računara koji je nulti sektor hard diska, na kome se nalazi kod za pokretanje operativnog sistema nakon što prethodno BIOS izvrši početne provere.

Zbog toga što TDL-4 instalira sopstveni rootkit u MBR sektoru, on je nevidljiv kako za operativni sistem tako i za antivirusni softver koji bi trebalo da otkrije ovakav zlonamerni kod.

"TDSS skenira registry, tragajući za određenim fajlovima, crnim listama sa adresama komandnih i kontrolnih centara drugih bot mreža i sprečava računare da komuniciraju sa njima," kažu istraživači Kaspersky Laboratorije. "Antivirus praktično pomaže TDSS-u; sa jedne strane, bori se protiv konkurencije, a sa druge strane štiti TDSS i pridružene mu zlonamerne programe od neželjenih interakcija do kojih bi moglo da dođe zahvaljujući drugim zlonamernim programima na zaraženom računaru."

Ali ono što TDL-4 bot mrežu čini veoma moćnom i otežava otkrivanje, brisanje i iskorenjivanje TDL-4 je kombinacija napredne enkripcije i korišćenje javne peer-to-peer (P2P) mreže za instrukcije koje malware-u dolaze od komandnih i kontrolnih servera.

U interesu je onih koji upravljaju ovom bot mrežom da spreče da se sa njom dogodi isto ono što se desilo nekolicini bot mreža koje su ugašene. Očigledno je da kriminalci nastoje da razviju nove metode koje će im pomoći da na okupu drže sve zaražene kompjutere koji su pod njihovom kontrolom. Koristeći javnu P2P mrežu, kriminalci su TDL bot mrežu praktično učinili imunom na bilo kakve pokušaje gašenja.

"Bilo kakav pokušaj gašenja C&C servera (command and control servers) može biti izbegnut ažuriranjem liste C&C centara pomoću P2P mreže," kažu iz Kaspersky Laboratorije. "Činjenica da TDL ima dva odvojena kanala za komunikaciju će veoma otežati pokušaje gašenja."

TDL-4 rootkit, enkripcija, metodi komunikacije i onemogućavanje aktivnosti drugih zlonamernih programa čini TDL bot mrežu ekstremno otpornom. TDL je biznis, i cilj je ostati u računaru korisnika što je duže moguće, kažu stručnjaci.

Kreatori TDL-4 koriste sopstveni sistem enkripcije kako bi zaštitili komunikaciju koja kontroliše bot mrežu. To dodatno otežava pokušaje analize saobraćaja između preotetih računara i komandnih i kontrolnih centara, ali takođe sprečava druge sajber kriminalce da eventualno preotmu bot mrežu.

Taktika TDL-4 napada na druge zlonamerne programe je veoma dobro odabrana jer povećava šanse da TDL-4 duže ostane neotkriven na računaru korisnika jer će drugi virusi, koje je lakše otkriti, privući pažnju korisnika svojim aktivnostima, te je logičan sled događaja da korisnik istraži problem, instalira antivirusni softver i skenira računar.

Sa druge strane, TDL bot mreža omogućava svojim vlasnicima da na računare korisnika kompjutera koji su pod njihovom kontrolom instaliraju čak 30 različitih zlonamernih programa (lažne antiviruse, adware programe i druge). Pored toga, bot mreža se može koristiti za izvođenje DDoS napada, spam i fišing kampanja, što samo znači da će uvek biti zainteresovanih za rentiranje bot mreže.

TDL-4 se širi preko veb sajtova koji korisnicima nude pornografske i piratske filmove, ali i sajtova za skladištenje video fajlova i slika korisnika, a za instalaciju koristi poznate ranjivosti u softveru.

Najveći bor zaraženih računara je u SAD (28%), potom u Indiji (7%) i Velikoj Britaniji (5%).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

Istraživači IBM-a otkrili su novi, do sada nepoznati destruktivni malver za brisanje podataka koji hakeri koji rade za Iran koriste za napade na kom... Dalje

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

U mnoštvu ransomwarea Clop CryptoMik Ransomware izdvaja se po tome što pokušava da onemogući Windows Defender, kao i da ukloni Microsoft Security... Dalje

Lažno ažuriranje za Windows vodi do ransomwarea Cyborg

Lažno ažuriranje za Windows vodi do ransomwarea Cyborg

Istraživači iz kompanije Truswave upozorili su na emailove koji sadrže fajl predstavljen kao važno ažuriranje za Windows, a koji zapravo dovodi d... Dalje

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje