Новый ботнет TDL-4 невозможно уничтожить

Новый улучшенный ботнет, заразивший более четырех миллионов ПК, «практически нерушим» , заявляют исследователи систем безопасности.

«TDL-4» - название и «троянца», который заражает машины, и группы объединенных действиями вируса компьютеров. «Сегодня это самая сложная угроза, - отметил Сергей Голованов, исследователь «Лаборатории Касперского», в подробном анализе. - TDL-4 практически неразрушим».

Другие специалисты с ним согласны. Джо Стюарт (Joe Stewart), директор по исследованиям вредоносного ПО компании Dell SecureWorks и всемирно известный эксперт по ботнетам заявил: «Я бы не сказал, что он неразрушим, но он в значительной степени неразрушим. Он проделывает большую работу по восстановлению себя».

Эксперты основывают свои суждения на различных характеристиках TDL-4, все из которых делают его чрезвычайно крепким орешком для обнаружения, удаления, подавления или уничтожения.

С одной стороны, сказал Голованов, TDL-4 заражает MBR, или главную загрузочную запись жесткого диска ПК руткитом (rootkit) - вредоносной программой, которая прячет себя от разрушения операционной системой. Прописав руткит в MBR, TDL-4 становится невидимым для операционной системы, и хуже всего – для антивирусного программного обеспечения и систем безопасности, способных обнаружить вредоносный код.Елена Истомина, Directum: Как no-code меняет стоимость проекта 6.9 т

Но не это является секретным оружием TDL-4. Что делает ботнет нерушимым, так это сочетание развитой системы шифрования и использование общедоступных пиринговых сетей (P2P) для управления вредоносной программой при помощи серверов контроля и управления(C&C).

Роэл Шувенберг (Roel Schouwenberg), старший научный сотрудник компании «Лаборатория Касперского» отметил в сообщении электронной почты, что использование [TDL-4] пиринговых сетей сделает чрезвычайно трудным подавление этой ботсети. «Эти ребята делают все от них зависящее, чтобы не стать очередной бандой, потерявшей свой ботнет», - добавил он.

Шувенберг назвал несколько громких «охот» на ботнеты, часть из них была подавлена скоординированными усилиями, которыми остановили Conficker в прошлом году, а в 2011 под руководством ФБР уничтожили Coreflood. «Каждый раз, когда ботсеть сносят, это поднимает планку для следующей попытки, - отметил Шувенберг. – Настоящие профессионалы, кибер-преступники, наблюдают и работают над своими ботсетями, чтобы сделать их более устойчивыми к подавлению или захвату контроля».

Создатели TDL-4 разработали свой собственный алгоритм шифрования, сказал Голованов в своем анализе и ботнет использует доменные имена C&C-серверов в качестве ключей шифрования.

Ботнет также использует открытую пиринговую сеть Kad P2P для одного из двух своих каналов связи между инфицированными компьютерами и серверами управления, говорят эксперты «Касперского». Ранее, при использовании P2P, ботнеты применяли закрытую сеть, которую сами создавали.

Сети общего пользования помогут выжить ботнетам при любых попытках их подавления. «Любую попытку отключения серверов контроля группа TDL эффективно минует, обновив список серверов управления через сети P2P, - сказал Шувенберг. - Тот факт, что TDL имеет два раздельных канала связи, сделает очень-очень трудным выключение этого ботнета».

По оценкам Касперского, ботнет TDL-4 состоит из более 4,5 млн. зараженных компьютеров под ОС Windows. «TDL это бизнес, и его цель - остаться на ПК как можно дольше», - считает Стюарт, ссылаясь на технологии, которые делают почти невозможным выключение ботнета. Он отметил, что успех TDL-4 еще и в том, что он противостоит нападениям других вредоносных программ.

Создатели TDL-4 используют ботнет для внесения дополнительного вредоносного ПО на компьютеры, сдачи его, для этой цели, в аренду другим лицам и проведения атак, вызывающих отказ обслуживания систем (DDoS-атаки), а также для проведения спам- и фишинг-кампаний. «Во всех случаях и намерениях, TDL-4 очень трудно удалить, - считает Стюарт. – Определенно, это один из самых сложных ботнетов».