Одна из самых хитрых вредоносных программ в мире заразила более 4.5 миллионов
ПК всего лишь за 3 месяца.
Руткит TDSS появился в 2008 году, получив от экспертов по безопасности
неохотно поставленные высокие оценки из-за большого списка функций продвинутого
уровня. Он практически не может быть обнаружен антивирусным ПО и, кроме того, он
использует низкоуровневые функции, поэтому исследователям чрезвычайно трудно
изучить его. Встроенная схема шифрования не дает инструментам мониторинга сети
перехватить сообщения, посылаемые серверами осуществления контроля
инфицированным машинам.
Последняя версия руткита TDL-4, которая используется в качестве бэкдора для
установки других типов вредоносных программ, заразила 4,52 миллиона компьютеров
за первые три месяца этого года, согласно
подробному техническому анализу, опубликованном в среду антивирусной фирмой
"Лаборатория Касперского". Практически треть взломанных компьютеров расположены
в США. В ходе успешных атак компьютеров те, кто стоит за всем этим, заработали
около 250 тысяч долларов только в этой стране.
TDL-4 представляет собой улучшенную модификацию
TDL-3 и более ранних
версий руткита, который также известен под именем Alureon или просто TDL. Как
сообщалось ранее, теперь он способен
заражать 64-битные версии
Windows, обходя политику подписи кода, которая была создана для того, чтобы
она разрешала установку драйверов только в случае их цифровой подписи доверенным
источником. Его способность создавать узкоспециализированные серверы DHCP в сети
также дает этой новой версии еще больше возможностей для распространения.
"Изменения в той или иной степени затронули практически все компоненты
вредоносной программы TDL-4 и степень её активности в сети", - написали
исследователи Касперского в докладе. "Владельцы TDL пытаются создать
несокрушимую ботсеть, защищенную от атак, конкурентов и антивирусных компаний".
Дополнительные изменения включают в себя новую антивирусную функцию, которая
избавляет инфицированные TDSS компьютеры от 20 вредоносных программ-соперников –
список включает в себя ZeuS, Gbot и Optima. Он также заносит в чёрный список
адреса командных серверов, используемые этими программами-конкурентами, чтобы не
дать им работать должным образом.
Как и троян Popureb
и ботсеть Torpig (известная также как Sinowal и Anserin), он тоже заражает
главную загрузочную запись жесткого диска компьютера, обеспечивая тем самым
запуск вредоносных программ еще до того, как загружается Windows.
TDL-4 также способен общаться через пиринговую сеть Kad. В случае выключения
60 или более командных серверов, используемых для управления ботсетью TDSS
(сложно, но не невозможно, учитывая уничтожения ботсетей Rustock и Coreflood),
инфицированные TDSS машины могут получать инструкции с использованием клиента
Kad с пользовательскими настройками.
Несмотря на устойчивость TDL-4, в нем до сих пор содержатся ошибки, как и в
любом другом сложном программном обеспечении. Исследователи "ЛК" смогли
проанализировать количество заражений TDL-4 путем эксплуатации уязвимости,
которая раскрыла три MySQL-базы данных, расположенных в Молдове, Литве и США.
Базы данных как раз и вывели исследователей на цифру в 4.52 миллиона инфекций.
Примечательно то, что данные не выявили русских пользователей - скорее всего
потому, что партнёрские программы, которые платят от 20 до 200 долларов за
каждую тысячу TDSS-инфекций, не платят за инфицирование компьютеров,
расположенных в России.