Wiadomości
TDL-4: nowy, praktycznie niezniszczalny botnet
30 czerwca 2011 11:04,
Antoni Steliński
Botnet TDL-4, składa się z ponad czterech milionów zainfekowanych komputerów z Windows. Zdaniem specjalistów z firmy Kaspersky Labs, jest to jeden z najbardziej skomplikowanych i przemyślanych botnetów w historii - jego głównym atutem jest fakt, iż jest on "praktycznie niezniszczalny".
Polecamy:
Zobacz też:
"Nazwanie go absolutnie niezniszczalnym byłoby pewną przesadą, ale TDL-4 jest rzeczywiście wyjątkowo trudny do zniszczenia. Jego twórcy postarali się, by botnetu nie dało się usunąć standardowymi metodami" - komentuje Joe Stewart, dyrektor działu analizy złośliwego oprogramowania z firmy Dell SecureWorks.
TDL-4 stosuje cały zestaw technik i sztuczek, które utrudniają aplikacjom zabezpieczającym jego wykrycie oraz usunięcie. Przede wszystkim, szkodnik ukrywa się w głównym rekordzie startowym (MBR - Master Boot Record) dysku, co poważnie utrudnia jego namierzenie. Co więcej - autorzy botnetu poświęcili wiele pracy na to, by utrudnić zablokowanie komunikacji pomiędzy serwerami kontrolnymi a poszczególnymi zombie-PC.
Do przekazywania i odbierania instrukcji botnet wykorzystuje silnie szyfrowany kanał komunikacyjny, oparty na modelu peer-to-peer. "Sposób, w jaki TDL-4 wykorzystuje P2P, sprawia, że zlikwidowanie tego botnetu będzie niezmiernie trudnym zadaniem. Widać wyraźnie, że jego twórcom bardzo zależało, na tym, by ich botnet pozostał aktywny i odporny na próby zlikwidowania" - skomentował Roel Schouwenberg, specjalista ds. złośliwego oprogramowania z firmy Kaspersky Labs.
Do tej pory najczęściej wykorzystywaną metodą likwidowania botnetów było przecinanie połączeń pomiędzy poszczególnymi zombiePC, a serwerami kontrolnymi. W przypadku TDL-4 ten sposób może się nie sprawdzić - wykorzystanie szyfrowanego protokołu P2P sprawia, że odcięcie serwerów C&C (command and control) będzie właściwie niemożliwe.
Co więcej - nowy botnet wykorzystuje do przesyłania komend publiczną sieć P2P Kad. Do tej pory botnety używały do tego celu raczej prywatnych, stworzonych specjalnie w tym celu, sieci peer-to-peer. To sprawiało, że ich zamykanie było łatwe, bo nie cierpiał na tym nikt postronny. W przypadku TDL-4 jest inaczej, bo wyłączenie popularnej, publicznej sieci P2P raczej nie wchodzi w rachubę.
Warto dodać, że botworm TDL-4 został wyposażony w jeszcze jedną, bardzo interesującą funkcję - szkodnik po zainfekowaniu komputera blokuje działanie... innych złośliwych programów (w tym osławionego Zeusa). Specjaliści szacują, że obecnie w skład botnetu wchodzi co najmniej 4,5 mln zainfekowanych komputerów z Windows. "Ta liczba absolutnie nie jest zaskakujące - wysoka "jakość" TDL-4 sprawia, że łatwo atakuje kolejne maszyny i długo pozostaje niewykryty. Dodatkowym atutem jest fakt, że blokowane jest inne złośliwe oprogramowanie - dzięki temu komputer po infekcji działa sprawniej i jego właściciel nie widzi potrzeby szukania w nim wirusa czy botworma" - podsumowuje Joe Stewart z Dell SecureWorks.
Komentarze (1)
jest jedna metoda - wyłączyc komputer :)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...