Odkryto botnet przynajmniej 4,5 mln komputerów

Rootkit TDSS zainfekował kilka milinów komputerów na całym świecie. Badacze bezpieczeństwa z Kaspersky Lab informują, że jest to część kampanii zmierzającej do stworzenia gigantycznego botnetu. Nowa wersja tego malware'u cechuje się wieloma innowacyjnymi rozwiązaniami.

TDSS (znany też jako TDL) został wykryty trzy lata temu i ciągle ewoluuje. Staje się coraz bardziej skomplikowany i niebezpieczny. Badacze z Lab dostali się niedawno do trzech serwerów C&C pozwalających na kontrolę ostatniej wersji TDL-4. Odnaleźli tam adresy IP 4,5 mln komputerów zainfekowanych tylko w 2011 roku. Prawie 1,5 mln pochodziło z USA.

Malware TDL-4 do listy swoich możliwości dodaje kilka nowych, które nie są powszechne dla botnetów. Infekuje główny rekord startowy (MBR) komputera i pozwala na wczytanie malware'u jeszcze przed innymi programami. Dąży do pozbywania się rywalizującego złośliwego oprogramowania z komputera. Zna 20 typów takiego malware'u włączając w to Gbota, Zeusa i Optimę.

TDSS jest też rewolucyjny pod względem uzyskiwania przychodów przez jego twórców. Zainfekowane komputery są udostępniane za 100 dolarów miesięcznie klientom, którzy chcą ukryć swoją działalność w Internecie. To jakby wersja modelu biznesowego SaaS (oprogramowanie jako usługa), tylko że w ofercie jest botnet, który można wynająć na jakiś czas.

Sergey Golovanov z Kaspersky Lab uważa, że TDSS jest w rękach pojedynczej grupy przestępczej z Europy Wschodniej. Osobiście korzysta ona z wersji TDL-4, a starszą wersję TDL-3 odsprzedała innej grupie z tego samego obszaru geograficznego. Rootkit TDSS jest najbardziej zaawansowany technologicznie przedstawicielem swojego gatunku. Oprócz wymienionych możliwości potrafi też atakować systemy 64-bit i kontrolować boty dzięki technologii P2P.