Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Opisi virusa, 01.07.2011, 11:53 AM

Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Kako tvrde istraživači Kaspersky Laboratorije, bot (zombi) mreža poznata pod nazivom TDL, koja uključuje preko 4,5 miliona računara zaražena tokom poslednja tri meseca istoimenim Trojancem, TDL-4, praktično je neuništiva.

TDL-4, poznat i pod nazivima Tidserv, TDSS i Alureon, je četvrta verzija Trojanca koji inficira rootkit-om Master Boot Record (MBR) sektor računara koji je nulti sektor hard diska, na kome se nalazi kod za pokretanje operativnog sistema nakon što prethodno BIOS izvrši početne provere.

Zbog toga što TDL-4 instalira sopstveni rootkit u MBR sektoru, on je nevidljiv kako za operativni sistem tako i za antivirusni softver koji bi trebalo da otkrije ovakav zlonamerni kod.

"TDSS skenira registry, tragajući za određenim fajlovima, crnim listama sa adresama komandnih i kontrolnih centara drugih bot mreža i sprečava računare da komuniciraju sa njima," kažu istraživači Kaspersky Laboratorije. "Antivirus praktično pomaže TDSS-u; sa jedne strane, bori se protiv konkurencije, a sa druge strane štiti TDSS i pridružene mu zlonamerne programe od neželjenih interakcija do kojih bi moglo da dođe zahvaljujući drugim zlonamernim programima na zaraženom računaru."

Ali ono što TDL-4 bot mrežu čini veoma moćnom i otežava otkrivanje, brisanje i iskorenjivanje TDL-4 je kombinacija napredne enkripcije i korišćenje javne peer-to-peer (P2P) mreže za instrukcije koje malware-u dolaze od komandnih i kontrolnih servera.

U interesu je onih koji upravljaju ovom bot mrežom da spreče da se sa njom dogodi isto ono što se desilo nekolicini bot mreža koje su ugašene. Očigledno je da kriminalci nastoje da razviju nove metode koje će im pomoći da na okupu drže sve zaražene kompjutere koji su pod njihovom kontrolom. Koristeći javnu P2P mrežu, kriminalci su TDL bot mrežu praktično učinili imunom na bilo kakve pokušaje gašenja.

"Bilo kakav pokušaj gašenja C&C servera (command and control servers) može biti izbegnut ažuriranjem liste C&C centara pomoću P2P mreže," kažu iz Kaspersky Laboratorije. "Činjenica da TDL ima dva odvojena kanala za komunikaciju će veoma otežati pokušaje gašenja."

TDL-4 rootkit, enkripcija, metodi komunikacije i onemogućavanje aktivnosti drugih zlonamernih programa čini TDL bot mrežu ekstremno otpornom. TDL je biznis, i cilj je ostati u računaru korisnika što je duže moguće, kažu stručnjaci.

Kreatori TDL-4 koriste sopstveni sistem enkripcije kako bi zaštitili komunikaciju koja kontroliše bot mrežu. To dodatno otežava pokušaje analize saobraćaja između preotetih računara i komandnih i kontrolnih centara, ali takođe sprečava druge sajber kriminalce da eventualno preotmu bot mrežu.

Taktika TDL-4 napada na druge zlonamerne programe je veoma dobro odabrana jer povećava šanse da TDL-4 duže ostane neotkriven na računaru korisnika jer će drugi virusi, koje je lakše otkriti, privući pažnju korisnika svojim aktivnostima, te je logičan sled događaja da korisnik istraži problem, instalira antivirusni softver i skenira računar.

Sa druge strane, TDL bot mreža omogućava svojim vlasnicima da na računare korisnika kompjutera koji su pod njihovom kontrolom instaliraju čak 30 različitih zlonamernih programa (lažne antiviruse, adware programe i druge). Pored toga, bot mreža se može koristiti za izvođenje DDoS napada, spam i fišing kampanja, što samo znači da će uvek biti zainteresovanih za rentiranje bot mreže.

TDL-4 se širi preko veb sajtova koji korisnicima nude pornografske i piratske filmove, ali i sajtova za skladištenje video fajlova i slika korisnika, a za instalaciju koristi poznate ranjivosti u softveru.

Najveći bor zaraženih računara je u SAD (28%), potom u Indiji (7%) i Velikoj Britaniji (5%).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje