Articole

TDL-4 – un botnet virtual indestructibil

Un expert de la Kaspersky Labs a afirmat despre TDL-4 că a devenit un botnet de calculatoare infectate cu troianul TDSS. Dacă o renumită firmă de securitate, recunoscută ca lider chiar şi la noi, spune despre un botnet că e indestructibil, lucrurile probabil stau destul de rău. Să vedem de ce:

TDL-4 are două aspecte interesante. În primul rând se instalează ca bootkit în afara sistemului de operare. Asta înseamnă că este foarte dificil de detectat. Virusul se instalează în zona de Master Boot Record a discurilor (MBR), deci este rulat înaintea sistemului de operare. TDL reuşeşte astfel să se ascundă de programele de securitate atât pe sine, cât şi diverse alte programe pe care le descarcă şi le instalează. Mai mult, pentru a nu atrage atenţia asupra sa sau asupra faptului că sistemul are o problemă, TDL mai face un lucru interesant: elimină alte programe maliţioase care nu sunt asociate cu el din sistem. Evident nu pe toate, însă pe cele mai populare.

Al doilea aspect descris de specialiştii Kaspersky se referă la abilitatea lui TDL-4 de a folosi reţeaua publică p2p KAD, reuşind astfel să păstreze ascunse informaţiile despre serverele care controlează reţeaua de zombies. În reţeaua KAD TDL-4 foloseşte algoritmi avansaţi de encriptare pentru toată comunicaţia între serverele de comandă şi control pe de o parte, şi calculatoarele infectate pe de altă parte.

TDL-4 a reuşit să infecteze peste 5 milioane de sisteme doar în primele 3 luni din 2011, ceea ce înseamnă că este extrem de eficient, şi deşi efectele asupra calculatorului personal nu sunt vizibile, el poate fi folosit pentru a lansa atacuri distribuite de blocare a serviciilor (DDOS) şi alte acţiuni similare.

Pe măsură ce programele malware devin tot mai sofisticate, specialiştii în securitate informatică vor fi obligaţi să vină cu soluţii corespunzătoare. Pentru a contracara activitatea unor viruşi cum este TDL-4, o soluţie posibilă ar fi amplasarea barierelor de securitate în afara sistemelor care trebuie securizate, adică la nivelul ruterelor care asigură accesul calculatoarelor în internet. În cel mai rău caz, un astfel de sistem poate să depisteze nivelul traficului generat de sisteme şi să genereze alarme care pot fi apoi investigate pentru a confirma eventualele acţiuni neobişnuite, mai ales că atacurile DDOS, ca exemplu, sunt mari consumatoare de bandă.

Veste bună, dacă o putem numi aşa, este că la nivel mondial, România deţine doar 2% din computerele infectate de acest virus. La un total estimat de 5 milioane de sisteme infectate, asta înseamnă totuşi 100.000 de calculatoare, deci dintre cititorii acestui articol, există o şansă de 1 la 4 să ai şi tu acest virus.

Din păcate, la momentul la care scriem acest material nu există o soluţie simplă pentru identificarea şi eliminarea acestui troian, dar dacă bănuiţi cumva că problemele recente ale sistemului ar putea fi legate de acest subiect lăsaţi-ne un mesaj şi vom încerca să investigăm împreună.