Wykryty niedawno rootkit nazwany TDSS korzysta z zestawu metod unikania wykrycia, zarówno przez antywirusy bazujące na sygnaturach, algorytmach heurystycznych czy proaktywnej detekcji. Do komunikacji wykorzystuje szyfrowane połączenia i ma silny komponent klasy rootkit, służący do ukrywania obecności swojego kodu oraz wszystkich innych dodatkowych składników złośliwego oprogramowania, które pobiera.

Twórca nazwał ten program TDL, pierwsza wersja pochodzi z roku 2008, był on kolejno ulepszany, by pojawić się rok temu jako TDL-3. Twórcy TDSS trzymali swoje dzieło w ukryciu aż do końca ubiegłego roku, by wydać ostatecznie wersję połączoną z kodem właściwym dla botnetów tworzonych przez oprogramowanie SHIZ. Malware charakteryzuje się cechami odróżniającymi go od pospolitego ZeuSa, który służy głównie do kradzieży pieniędzy z kont bankowości elektronicznej.

Własny antywirus

Podobnie jak Sinowal, TDL-4 jest bootkitem, co oznacza, że infekuje główny sektor rozruchowy systemu, by uruchomić swój własny kod, zanim zostanie uruchomiony system operacyjny. Jest to klasyczna metoda stosowana przez twórców złośliwego oprogramowania, by wydłużyć czas życia malware’u na stacjach roboczych i minimalizować wykrycie przez oprogramowanie antywirusowe. Oprócz aktywnego ukrywania się przed znanymi antywirusami, TDL-4 potrafi usunąć niektóre z nich. Oprócz tego trojan ten ma wzorce różnego innego złośliwego oprogramowania (ponad 20 wariantów), między innymi Gbot, ZeuS, Clishmic, Optima i po ich wykryciu - usuwa ten kod. Oprócz działań korekcyjnych stosuje także prewencyjne, blokując adresy serwerów zarządzających innymi botnetami.

Dodatkowe opcje

Po instalacji, TDL-4 pobiera blisko 30 dodatkowych składników, w tym fałszywy program antywirusowy, narzędzia wyświetlające reklamy oraz oprogramowanie sieci Pushdo rozsiewające spam. Jedną z najciekawszych opcji TDL-4 jest biblioteka dostępu do sieci Kad, służącej do wymiany plików w modelu peer to peer. Dostęp do tej sieci umożliwia zarządzanie botnetem za pomocą publikowanego w sieci Kad pliku ktzerules. Plik ten jest zaszyfrowany i zawiera listę poleceń do botnetu, przy czym użycie sieci peer to peer dotąd wiązało się z własnościowymi protokołami właściwymi dla danej sieci. Twórcy TDL-4 wykorzystali Kad, gdyż jest to popularna sieć, w której nadal opublikowano mnóstwo plików, a ruch związany z Kad występuje w wielu segmentach sieci domowych.