Nova verzija opasnog TDL-4 malvera odgovorna za infekciju 280000 računara, broj žrtava i dalje raste

Vesti, 19.09.2012, 09:27 AM

Istraživači Damballa Labs upozorili su na kampanju prevara sa klikovima u kojoj se koristi opasni malver TDL-4 a a prema proceni istraživača rezultati ove kampanje su 280000 žrtava, uključujući i 46 kompanija koje se nalaze na listi vodećih 500 kompanija koju objavljuje magazin Fortune, nekoliko internet provajdera, agencija i institucija.

Malver TDL-4, poznat i pod nazivom TDSS, proslavio se prošle godine kada su istraživači otkrili da je ovaj zlonamerni program odgovoran za zombi mrežu sa više od 4 miliona zaraženih računara. U to vreme, istraživači Kaspersky Lab-a opisali su TDL-4 bot mrežu kao neuništivu zbog naprednih tehnika koje koristi malver kako bi izbegao otkrivanje od strane antivirusnih programa, ali i zbog decentralizovane infrastrukture za komandu i kontrolu bot mreže.

Istraživači opisuju TDL-4 kao višenamensku odskočnu dasku za druge malvere koji mogu imati neke druge funkcionalnosti. TDL-4 se smatra jednim od najkompleksnijih malvera koje su ikada razvili sajber kriminalci, ne računajući malvere kao što su Stuxnet, Flame, Gauss i slične za koje se veruje da su državni projekti čiji cilj nije kriminal već sajber špijunaža.

TDL-4 je malver iz grupe bootkit (boot rootkit) malvera jer inficira Master Boot Record (MBR) hard diska, sektor koji sadrži informacije o tabeli particija i sistemskim fajlovima. Kod koji se nalazi u MBR se izvršava pre nego što se pokrene operativni sistem.

Najnovija verzija malvera na koju su upozorili istraživači Damballa Labs koristi algoritam za generisanje domena (domai-generation algortthm, DGA) koji omogućava zaraženim računarima generisanje na hiljade naziva domena na dnevnom nivou sa ciljem da se sakrije infrastruktura za komadnu i kontrolu bot mreže.

Žrtve kampanje koja svojim organizatorima donosi prihod od klikova, preusmeravaju se sa legitimnih oglasa na određene URL adrese pri čemu napadači profitiraju od preusmeravanja saobraćaja. Oglasi su ubačeni na različite veb sajtove uključujući i facebook.com, doubleclick.net, youtube.com, yahoo.com, msn.com i google.com.

Ova verzija malvera TDL-4 pojavila se u maju, tvrde istraživači, i samo prošle nedelje zarazila je više od 30000 računara.

Žrtve obično nisu svesne napada a ni istraživači još uvek nisu sigurni kakvi se oglasi koriste u ovoj kampanji jer je analiza napada još uvek u toku.

Istraživači su otkrili 85 servera koji su u vezi sa ovom zombi mrežom i koji se većinom nalaze u Rusiji, Rumuniji i Holandiji, dok se napadi većinski dešavaju u SAD, Nemačkoj i Velikoj Britaniji.

Istraživači upozoravaju da broj žrtava malvera TDL-4 raste, što je prema njima znak da antivirusni programi ne otkrivaju malver niti uklanjaju infekciju kada do nje dođe.

Istraživači Damballa Labs dobili su snimak memorije sa računara zaraženog malverom za koji veruju da je TDL-4 s obzirom na delove koda i konfiguraciju koje je otkrio taj snimak. Ipak, oni kažu da je za sada nemoguće potvrditi sa sigurnošću da je reč baš o TDL-4 malveru jer njima nije bio dostupan uzorak malvera iako su pokušavali da ga pronađu dva meseca. S obzirom da je reč o veoma kompleksnom malveru, za tradicionalne antiviruse je problem da ga detektuju a to je i objašnjenje zašto broj žrtava infekcije raste uprkos aktivnostima koje su preduzeli istraživači protiv nekoliko domena koji su povezani sa ovom bot mrežom.

Ipak, moguće je da neki antivirusi detektuju ovaj malver sa generičkim imenom, na osnovu ponašanja, kažu u Damballa Labs.

U Kaspersky Lab trenutno istražuju slučaj, ali za sada nemaju komentar o ovome, rekla je portparol kompanije za sajt Computer World.