Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Opisi virusa, 01.07.2011, 11:53 AM

Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Kako tvrde istraživači Kaspersky Laboratorije, bot (zombi) mreža poznata pod nazivom TDL, koja uključuje preko 4,5 miliona računara zaražena tokom poslednja tri meseca istoimenim Trojancem, TDL-4, praktično je neuništiva.

TDL-4, poznat i pod nazivima Tidserv, TDSS i Alureon, je četvrta verzija Trojanca koji inficira rootkit-om Master Boot Record (MBR) sektor računara koji je nulti sektor hard diska, na kome se nalazi kod za pokretanje operativnog sistema nakon što prethodno BIOS izvrši početne provere.

Zbog toga što TDL-4 instalira sopstveni rootkit u MBR sektoru, on je nevidljiv kako za operativni sistem tako i za antivirusni softver koji bi trebalo da otkrije ovakav zlonamerni kod.

"TDSS skenira registry, tragajući za određenim fajlovima, crnim listama sa adresama komandnih i kontrolnih centara drugih bot mreža i sprečava računare da komuniciraju sa njima," kažu istraživači Kaspersky Laboratorije. "Antivirus praktično pomaže TDSS-u; sa jedne strane, bori se protiv konkurencije, a sa druge strane štiti TDSS i pridružene mu zlonamerne programe od neželjenih interakcija do kojih bi moglo da dođe zahvaljujući drugim zlonamernim programima na zaraženom računaru."

Ali ono što TDL-4 bot mrežu čini veoma moćnom i otežava otkrivanje, brisanje i iskorenjivanje TDL-4 je kombinacija napredne enkripcije i korišćenje javne peer-to-peer (P2P) mreže za instrukcije koje malware-u dolaze od komandnih i kontrolnih servera.

U interesu je onih koji upravljaju ovom bot mrežom da spreče da se sa njom dogodi isto ono što se desilo nekolicini bot mreža koje su ugašene. Očigledno je da kriminalci nastoje da razviju nove metode koje će im pomoći da na okupu drže sve zaražene kompjutere koji su pod njihovom kontrolom. Koristeći javnu P2P mrežu, kriminalci su TDL bot mrežu praktično učinili imunom na bilo kakve pokušaje gašenja.

"Bilo kakav pokušaj gašenja C&C servera (command and control servers) može biti izbegnut ažuriranjem liste C&C centara pomoću P2P mreže," kažu iz Kaspersky Laboratorije. "Činjenica da TDL ima dva odvojena kanala za komunikaciju će veoma otežati pokušaje gašenja."

TDL-4 rootkit, enkripcija, metodi komunikacije i onemogućavanje aktivnosti drugih zlonamernih programa čini TDL bot mrežu ekstremno otpornom. TDL je biznis, i cilj je ostati u računaru korisnika što je duže moguće, kažu stručnjaci.

Kreatori TDL-4 koriste sopstveni sistem enkripcije kako bi zaštitili komunikaciju koja kontroliše bot mrežu. To dodatno otežava pokušaje analize saobraćaja između preotetih računara i komandnih i kontrolnih centara, ali takođe sprečava druge sajber kriminalce da eventualno preotmu bot mrežu.

Taktika TDL-4 napada na druge zlonamerne programe je veoma dobro odabrana jer povećava šanse da TDL-4 duže ostane neotkriven na računaru korisnika jer će drugi virusi, koje je lakše otkriti, privući pažnju korisnika svojim aktivnostima, te je logičan sled događaja da korisnik istraži problem, instalira antivirusni softver i skenira računar.

Sa druge strane, TDL bot mreža omogućava svojim vlasnicima da na računare korisnika kompjutera koji su pod njihovom kontrolom instaliraju čak 30 različitih zlonamernih programa (lažne antiviruse, adware programe i druge). Pored toga, bot mreža se može koristiti za izvođenje DDoS napada, spam i fišing kampanja, što samo znači da će uvek biti zainteresovanih za rentiranje bot mreže.

TDL-4 se širi preko veb sajtova koji korisnicima nude pornografske i piratske filmove, ali i sajtova za skladištenje video fajlova i slika korisnika, a za instalaciju koristi poznate ranjivosti u softveru.

Najveći bor zaraženih računara je u SAD (28%), potom u Indiji (7%) i Velikoj Britaniji (5%).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver za Windows, nazvan MosaicLoader, širi se po celom svetu, kao platforma za isporuku malvera koja se koristi za infekciju računara žrtava... Dalje