Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Opisi virusa, 01.07.2011, 11:53 AM

Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Kako tvrde istraživači Kaspersky Laboratorije, bot (zombi) mreža poznata pod nazivom TDL, koja uključuje preko 4,5 miliona računara zaražena tokom poslednja tri meseca istoimenim Trojancem, TDL-4, praktično je neuništiva.

TDL-4, poznat i pod nazivima Tidserv, TDSS i Alureon, je četvrta verzija Trojanca koji inficira rootkit-om Master Boot Record (MBR) sektor računara koji je nulti sektor hard diska, na kome se nalazi kod za pokretanje operativnog sistema nakon što prethodno BIOS izvrši početne provere.

Zbog toga što TDL-4 instalira sopstveni rootkit u MBR sektoru, on je nevidljiv kako za operativni sistem tako i za antivirusni softver koji bi trebalo da otkrije ovakav zlonamerni kod.

"TDSS skenira registry, tragajući za određenim fajlovima, crnim listama sa adresama komandnih i kontrolnih centara drugih bot mreža i sprečava računare da komuniciraju sa njima," kažu istraživači Kaspersky Laboratorije. "Antivirus praktično pomaže TDSS-u; sa jedne strane, bori se protiv konkurencije, a sa druge strane štiti TDSS i pridružene mu zlonamerne programe od neželjenih interakcija do kojih bi moglo da dođe zahvaljujući drugim zlonamernim programima na zaraženom računaru."

Ali ono što TDL-4 bot mrežu čini veoma moćnom i otežava otkrivanje, brisanje i iskorenjivanje TDL-4 je kombinacija napredne enkripcije i korišćenje javne peer-to-peer (P2P) mreže za instrukcije koje malware-u dolaze od komandnih i kontrolnih servera.

U interesu je onih koji upravljaju ovom bot mrežom da spreče da se sa njom dogodi isto ono što se desilo nekolicini bot mreža koje su ugašene. Očigledno je da kriminalci nastoje da razviju nove metode koje će im pomoći da na okupu drže sve zaražene kompjutere koji su pod njihovom kontrolom. Koristeći javnu P2P mrežu, kriminalci su TDL bot mrežu praktično učinili imunom na bilo kakve pokušaje gašenja.

"Bilo kakav pokušaj gašenja C&C servera (command and control servers) može biti izbegnut ažuriranjem liste C&C centara pomoću P2P mreže," kažu iz Kaspersky Laboratorije. "Činjenica da TDL ima dva odvojena kanala za komunikaciju će veoma otežati pokušaje gašenja."

TDL-4 rootkit, enkripcija, metodi komunikacije i onemogućavanje aktivnosti drugih zlonamernih programa čini TDL bot mrežu ekstremno otpornom. TDL je biznis, i cilj je ostati u računaru korisnika što je duže moguće, kažu stručnjaci.

Kreatori TDL-4 koriste sopstveni sistem enkripcije kako bi zaštitili komunikaciju koja kontroliše bot mrežu. To dodatno otežava pokušaje analize saobraćaja između preotetih računara i komandnih i kontrolnih centara, ali takođe sprečava druge sajber kriminalce da eventualno preotmu bot mrežu.

Taktika TDL-4 napada na druge zlonamerne programe je veoma dobro odabrana jer povećava šanse da TDL-4 duže ostane neotkriven na računaru korisnika jer će drugi virusi, koje je lakše otkriti, privući pažnju korisnika svojim aktivnostima, te je logičan sled događaja da korisnik istraži problem, instalira antivirusni softver i skenira računar.

Sa druge strane, TDL bot mreža omogućava svojim vlasnicima da na računare korisnika kompjutera koji su pod njihovom kontrolom instaliraju čak 30 različitih zlonamernih programa (lažne antiviruse, adware programe i druge). Pored toga, bot mreža se može koristiti za izvođenje DDoS napada, spam i fišing kampanja, što samo znači da će uvek biti zainteresovanih za rentiranje bot mreže.

TDL-4 se širi preko veb sajtova koji korisnicima nude pornografske i piratske filmove, ali i sajtova za skladištenje video fajlova i slika korisnika, a za instalaciju koristi poznate ranjivosti u softveru.

Najveći bor zaraženih računara je u SAD (28%), potom u Indiji (7%) i Velikoj Britaniji (5%).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje