Neuništiva bot mreža za tri meseca porobila 4 miliona računara

Opisi virusa, 01.07.2011, 11:53 AM

Kako tvrde istraživači Kaspersky Laboratorije, bot (zombi) mreža poznata pod nazivom TDL, koja uključuje preko 4,5 miliona računara zaražena tokom poslednja tri meseca istoimenim Trojancem, TDL-4, praktično je neuništiva.

TDL-4, poznat i pod nazivima Tidserv, TDSS i Alureon, je četvrta verzija Trojanca koji inficira rootkit-om Master Boot Record (MBR) sektor računara koji je nulti sektor hard diska, na kome se nalazi kod za pokretanje operativnog sistema nakon što prethodno BIOS izvrši početne provere.

Zbog toga što TDL-4 instalira sopstveni rootkit u MBR sektoru, on je nevidljiv kako za operativni sistem tako i za antivirusni softver koji bi trebalo da otkrije ovakav zlonamerni kod.

"TDSS skenira registry, tragajući za određenim fajlovima, crnim listama sa adresama komandnih i kontrolnih centara drugih bot mreža i sprečava računare da komuniciraju sa njima," kažu istraživači Kaspersky Laboratorije. "Antivirus praktično pomaže TDSS-u; sa jedne strane, bori se protiv konkurencije, a sa druge strane štiti TDSS i pridružene mu zlonamerne programe od neželjenih interakcija do kojih bi moglo da dođe zahvaljujući drugim zlonamernim programima na zaraženom računaru."

Ali ono što TDL-4 bot mrežu čini veoma moćnom i otežava otkrivanje, brisanje i iskorenjivanje TDL-4 je kombinacija napredne enkripcije i korišćenje javne peer-to-peer (P2P) mreže za instrukcije koje malware-u dolaze od komandnih i kontrolnih servera.

U interesu je onih koji upravljaju ovom bot mrežom da spreče da se sa njom dogodi isto ono što se desilo nekolicini bot mreža koje su ugašene. Očigledno je da kriminalci nastoje da razviju nove metode koje će im pomoći da na okupu drže sve zaražene kompjutere koji su pod njihovom kontrolom. Koristeći javnu P2P mrežu, kriminalci su TDL bot mrežu praktično učinili imunom na bilo kakve pokušaje gašenja.

"Bilo kakav pokušaj gašenja C&C servera (command and control servers) može biti izbegnut ažuriranjem liste C&C centara pomoću P2P mreže," kažu iz Kaspersky Laboratorije. "Činjenica da TDL ima dva odvojena kanala za komunikaciju će veoma otežati pokušaje gašenja."

TDL-4 rootkit, enkripcija, metodi komunikacije i onemogućavanje aktivnosti drugih zlonamernih programa čini TDL bot mrežu ekstremno otpornom. TDL je biznis, i cilj je ostati u računaru korisnika što je duže moguće, kažu stručnjaci.

Kreatori TDL-4 koriste sopstveni sistem enkripcije kako bi zaštitili komunikaciju koja kontroliše bot mrežu. To dodatno otežava pokušaje analize saobraćaja između preotetih računara i komandnih i kontrolnih centara, ali takođe sprečava druge sajber kriminalce da eventualno preotmu bot mrežu.

Taktika TDL-4 napada na druge zlonamerne programe je veoma dobro odabrana jer povećava šanse da TDL-4 duže ostane neotkriven na računaru korisnika jer će drugi virusi, koje je lakše otkriti, privući pažnju korisnika svojim aktivnostima, te je logičan sled događaja da korisnik istraži problem, instalira antivirusni softver i skenira računar.

Sa druge strane, TDL bot mreža omogućava svojim vlasnicima da na računare korisnika kompjutera koji su pod njihovom kontrolom instaliraju čak 30 različitih zlonamernih programa (lažne antiviruse, adware programe i druge). Pored toga, bot mreža se može koristiti za izvođenje DDoS napada, spam i fišing kampanja, što samo znači da će uvek biti zainteresovanih za rentiranje bot mreže.

TDL-4 se širi preko veb sajtova koji korisnicima nude pornografske i piratske filmove, ali i sajtova za skladištenje video fajlova i slika korisnika, a za instalaciju koristi poznate ranjivosti u softveru.

Najveći bor zaraženih računara je u SAD (28%), potom u Indiji (7%) i Velikoj Britaniji (5%).