Sergiej Gołowanow - analityk z Kaspersky Lab - opublikował w poniedziałek szczegółową analizę nowego zagrożenia. Jego zdaniem botworm TDL-4 (czyli złośliwy program, zmieniający zainfekowany komputer w zombie) jest obecnie jednym z najskuteczniejszych i najlepiej zaprojektowanych programów tego typu. "Napisano go tak, by cały botnet był praktycznie niezniszczalny" - stwierdził Rosjanin.

"Nazwanie go absolutnie niezniszczalnym byłoby pewną przesadą, ale TDL-4 jest rzeczywiście wyjątkowo trudny do zniszczenia. Jego twórcy postarali się, by botnetu nie dało się usunąć standardowymi metodami" - komentuje Joe Stewart, dyrektor działu analizy złośliwego oprogramowania z firmy Dell SecureWorks.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

TDL-4 stosuje cały zestaw technik i sztuczek, które utrudniają aplikacjom zabezpieczającym jego wykrycie oraz usunięcie. Przede wszystkim, szkodnik ukrywa się w głównym rekordzie startowym (MBR - Master Boot Record) dysku, co poważnie utrudnia jego namierzenie. Co więcej - autorzy botnetu poświęcili wiele pracy na to, by utrudnić zablokowanie komunikacji pomiędzy serwerami kontrolnymi a poszczególnymi zombie-PC.

Do przekazywania i odbierania instrukcji botnet wykorzystuje silnie szyfrowany kanał komunikacyjny, oparty na modelu peer-to-peer. "Sposób, w jaki TDL-4 wykorzystuje P2P, sprawia, że zlikwidowanie tego botnetu będzie niezmiernie trudnym zadaniem. Widać wyraźnie, że jego twórcom bardzo zależało, na tym, by ich botnet pozostał aktywny i odporny na próby zlikwidowania" - skomentował Roel Schouwenberg, specjalista ds. złośliwego oprogramowania z firmy Kaspersky Labs.

Do tej pory najczęściej wykorzystywaną metodą likwidowania botnetów było przecinanie połączeń pomiędzy poszczególnymi zombiePC, a serwerami kontrolnymi. W przypadku TDL-4 ten sposób może się nie sprawdzić - wykorzystanie szyfrowanego protokołu P2P sprawia, że odcięcie serwerów C&C (command and control) będzie właściwie niemożliwe.

Co więcej - nowy botnet wykorzystuje do przesyłania komend publiczną sieć P2P Kad. Do tej pory botnety używały do tego celu raczej prywatnych, stworzonych specjalnie w tym celu, sieci peer-to-peer. To sprawiało, że ich zamykanie było łatwe, bo nie cierpiał na tym nikt postronny. W przypadku TDL-4 jest inaczej, bo wyłączenie popularnej, publicznej sieci P2P raczej nie wchodzi w rachubę.

Warto dodać, że botworm TDL-4 został wyposażony w jeszcze jedną, bardzo interesującą funkcję - szkodnik po zainfekowaniu komputera blokuje działanie... innych złośliwych programów (w tym osławionego Zeusa). Specjaliści szacują, że obecnie w skład botnetu wchodzi co najmniej 4,5 mln zainfekowanych komputerów z Windows. "Ta liczba absolutnie nie jest zaskakujące - wysoka "jakość" TDL-4 sprawia, że łatwo atakuje kolejne maszyny i długo pozostaje niewykryty. Dodatkowym atutem jest fakt, że blokowane jest inne złośliwe oprogramowanie - dzięki temu komputer po infekcji działa sprawniej i jego właściciel nie widzi potrzeby szukania w nim wirusa czy botworma" - podsumowuje Joe Stewart z Dell SecureWorks.