Rootkit TDSS zainfekował kilka milinów komputerów na całym świecie. Badacze bezpieczeństwa z Kaspersky Lab informują, że jest to część kampanii zmierzającej do stworzenia gigantycznego botnetu. Nowa wersja tego malware'u cechuje się wieloma innowacyjnymi rozwiązaniami.
TDL-4 zainfekował w 2011 roku 4,5 mln komputerów
Polecamy:
Zobacz też:
(znany też jako
TDL) został wykryty trzy lata temu i ciągle ewoluuje. Staje się coraz bardziej skomplikowany i niebezpieczny. Badacze z
Kaspersky Lab dostali się niedawno do trzech serwerów C&C pozwalających na kontrolę ostatniej wersji TDL-4. Odnaleźli tam adresy IP 4,5 mln komputerów zainfekowanych tylko w 2011 roku. Prawie 1,5 mln pochodziło z USA.
Malware
TDL-4 do listy swoich możliwości dodaje kilka nowych, które nie są powszechne dla botnetów. Infekuje główny rekord startowy (MBR) komputera i pozwala na wczytanie malware'u jeszcze przed innymi programami. Dąży do pozbywania się rywalizującego złośliwego oprogramowania z komputera. Zna 20 typów takiego malware'u włączając w to Gbota, Zeusa i Optimę.
TDSS jest też rewolucyjny pod względem uzyskiwania przychodów przez jego twórców. Zainfekowane komputery są udostępniane za 100 dolarów miesięcznie klientom, którzy chcą ukryć swoją działalność w Internecie. To jakby wersja modelu biznesowego SaaS (oprogramowanie jako usługa), tylko że w ofercie jest botnet, który można wynająć na jakiś czas.
Sergey Golovanov z
Kaspersky Lab uważa, że TDSS jest w rękach pojedynczej grupy przestępczej z Europy Wschodniej. Osobiście korzysta ona z wersji TDL-4, a starszą wersję
TDL-3 odsprzedała innej grupie z tego samego obszaru geograficznego.
Rootkit TDSS jest najbardziej zaawansowany technologicznie przedstawicielem swojego gatunku. Oprócz wymienionych możliwości potrafi też atakować systemy 64-bit i kontrolować boty dzięki technologii P2P.
