Dodatak za Firefox u službi reklamiranja TDSS rent-a-bot mreže

Vesti, 09.09.2011, 02:51 AM

Kriminalci koji u vlasništvu imaju bot (zombi) mreže sačinjene od velikog broja hakovanih i preotetih računara nastoje da svoj unosni posao drže u tajnosti ne samo zbog toga da bi izbegli da se nađu na udaru zakona, već i zbog toga da bi svoje mreže sačuvali od pokušaja preotimanja drugih kriminalnih bandi. Međutim, ima i izuzetaka. Prema analizi poznatog blogera Brajana Krebsa, jedna od trenutno najvećih i najkompleksnijih bot mreža se iznajmljuje svima koji to žele i mogu da priušte takvu investiciju, a kuriozitet predstavlja dodatak za Firefox koji služi kao pomoć onima koji iznajmljuju zaražene računare ove bot mreže.

Stručnjaci Kaspersky Laboratorije označili su TDSS bot mrežu kao jednu od najkompleksnijih aktuelnih pretnji na internetu. Maliciozni program koji je odgovoran za formiranje mreže zaraženih računara, TDSS ili TDL-4, pojavio se prvi put 2008. godine, a aktuelna verzija je četvrta verzija ovog malware-a. Reč je o rootkit-u koji sebe instalira dubinski u računaru i učitava pre nego što se pokrene operativni sistem. TDSS ima mogućnost uklanjanja oko 20-ak drugih zlonamernih programa sa zaraženog računara kako bi sprečio njihovu komunikaciju sa drugim bot mrežama.

Između ostalog, TDSS instalira i fajl sa nazivom “socks.dll” koji omogućava onima koji kontrolišu zaraženi računar anonimno surfovanje internetom. Ovaj fajl omogućava onima koji iznajme deo bot mreže anonimni pristup servisu, što ih na mesečnom nivou košta oko 100 dolara. Dodatno, kriminalci koji rentiraju TDSS bot mrežu su razvili dodatak za Firefox koji olakšava promenu proxy servera unutar browser-a. Reklamirajući svoju bot mrežu, rentijeri ove mreže u prvi plan stavljaju awmproxy.net koji opisuju kao najbrže anonine proxy-je. Kada je “socks.dll” instaliran na zaraženom računaru, on obaveštava awmproxy.net da je novi proxy dostupan za rentiranje. Nakon toga, zaraženi računar počinje da dobija u proseku desetak proxy zahteva u minutu.

Awmproxy, smatraju u Kaspersky Laboratoriji, je u direktnoj vezi sa programerima TDL4 malware-a i u prilog tome govori dodatni proxy modul u TDL4 instaliran na enkriptovanoj particiji i njegovo funkcionisanje u okviru rootkit-a.

Cena proxy servisa zavisi od dužine korišćenja i ekskluzivnosti pristupa. Proxy-ji koji se koriste za potpuno anonimni internet saobraćaj koštaju između 65 i 500 dolara mesečno. Za 160 dolara nedeljno možete imati ekskluzivan pristup za 100 TDSS-om zaraženih sistema odjednom. Uplate za awmproxy se primaju preko PayPal-a, MasterCard-a i Visa.

Awmproxy.net rentira trenutno oko 24000 proxy-ja. Broj dostupnih proxy-ja nije stalan, i menja se od dana do dana, pa čak i u toku 24h. Objašnjenje je jednostavno - vlasnici zaraženih računara isključuju svoje kompjutere preko noći ili tokom vikenda.

Iznajmljivanje hakovanih računara je samo jedan od načina na koji vlasnici TDSS bot mreže ostvaruju profit. Ono što je zapravo najzanimljivije je to što se odgovorni za TDSS bot mrežu osećaju tako sigurno da na ovakav način reklamiraju svoju bot mrežu.