Ascuns sub iniţialele TDSS (cunoscut şi sub numele de TDL sau Tidserv) se ascunde un tip de malware foarte periculos, aflat în prezent în arsenalul infractorilor cibernetici.

Caracteristicile acestui rootkit permit autorilor să creeze o reţea botnet din milioane de computere infectate din întreaga lume. În analiza „TDL4 – Top Bot”, experţii Kaspersky Lab estimează că numărul PC-urilor compromise de acest program periculos depăşeşte 4,5 milioane, dintre care peste 80.000 se află în România.

Noua versiune de malware, TDL-4 (Trojan.Alureon), foloseşte reţele de tip peer-to-peer (P2P) pentru a controla computerele infectate, dar prezintă şi funcţii care instalează servere proxy. Scopul pentru care acesta a fost creat este de a construi o reţea de calculatoare-zombie (botnet) foarte bine ascunsă de competitori – infractori cibernetici care folosesc alte programe periculoase pentru a crea botnet-uri – şi de companiile de securitate informatică, care poate oferi acces la staţiile infectate, chiar dacă serverele de comandă şi control sunt dezactivate.

TDL-4 elimină aproximativ 20 de programe periculoase foarte populare, considerate competitoare, precum Gbot, ZeuS, Optima şi multe altele.

Asemenea versiunilor anterioare, TDL-4 se răspândeşte, în principal, prin intermediul aşa-numitelor programe de parteneriat cunoscute sub numele de „partnerka“ . Autorii malware-ului nu se ocupă ei înşişi de extinderea botnet-ului, ci plătesc alte persoane pentru această activitate. În funcţie de termene şi condiţii, partenerii sunt plătiţi între 20 şi 200 USD pentru instalarea a 1000 de versiuni ale programului periculos. Statisticile Kaspersky Lab arată că pentru o reţea de peste 4,5 milioane de PC-uri şi un preţ cuprins între sumele menţionate, infractorii cibernetici au cheltuit aproximativ 250.000 USD în trei luni pentru a crea o reţea tip botnet formată din computere aparţinând utilizatorilor americani.

TDSS instalează pe un computer infectat aproximativ 30 de „utilitare”, inclusiv programe anti-virus false şi sisteme pentru creşterea traficului publicitar şi distribuţia de spam. Una dintre cele mai importante caracteristici a TDL-4 este capacitatea de a infecta sisteme de operare Windows pe 64 de biţi. De asemenea, pentru controlul botnet-ului – pe lângă serverele de comandă şi control – este folosită pentru prima dată reţeaua publică pentru schimb de fişiere numită Kad.

Graficul ţărilor infectate cu TDL-4

„Fără îndoială, dezvoltarea TDSS va continua”, spun autorii analizei „TDL4 – Top Bot”. „Malware-ul şi botnet-urile vor crea neplăceri atât pentru utilizatori, cât şi pentru specialiştii în securitate IT. Actualizările constante în codul TDL-4, rootkit-urile pentru sisteme de operare pe 64 de biţi, folosirea de exploit-uri din arsenalul Stuxnet, utilizarea tehnologiilor P2P, „anti-virusul” proprietar şi multe alte caracteristici fac din TDSS unul dintre mai avansate şi greu de analizat programe periculoase ale momentului”, încheie aceştia.

Analiza completă a evoluţiei TDL-4 poate fi citită integral aici!