TDL - ten botnet nie jest niezniszczalny

Rootkit TDL jest trudny do usunięcia, nie jest jednak pierwszym w historii wirusem, który się ukrywa i zdaniem eksperta pokonanie opartego na nim botnetu to tylko kwestia czasu.

Rootkit TDL jest bardzo wyrafinowany. Jego globalna ekspansja spowodowała, że wielu obserwatorów obawia się, czy przemysł rozwiązań antymalware jest w stanie go pokonać. To prawda, TDL jest tak zaprojektowany, żeby jego namierzenie i usunięcie było maksymalnie trudne. Wielu ekspertów od bezpieczeństwa pozwoliło sobie nawet na stwierdzenie, że TDL - botnet składający się z milionów zainfekowanych PC (zombie) - jest praktycznie nie do zniszczenia.

Z taką tezą zdecydowanie nie zgadza się Roger Grimes, publicysta "Infoworlda", a zarazem wieloletni ekspert ds. bezpieczeństwa. Z perspektywy swojego 24-letniego doświadczenia, mówi on, że jeszcze nie było takiego zagrożenia, z którym przemysł antywirusowy musiał sobie poradzić, a z którym by sobie nie poradził. Zdaniem Grimesa może to sporo czasu, ale ostatecznie "dobro" zwycięży.

Zobacz również:

  • Rosyjski botnet zaskoczył mocno ekspertów do spraw bezpieczeństwa

Ekspert przypomina, że TDL nie jest pierwszym zagrożeniem lokującym się w MBR (sektorze startowym dysku). W 1987 r. (czyli w czasach tekstowego i dostępnego dla bardzo nielicznych internetu) miliony komputerów na całym świecie infekował wirus Stoned (przodek bardziej znanego później wirusa Michelangelo). Kolejne "usprawnienia" technik hakerskich pozwoliły autorom złośliwych kodów na tworzenie wirusów systemu DOS, które skutecznie się w tym systemie ukrywały. Pierwszy wirus na IBM PC (Pakistani Brain - 1986) też z resztą się ukrywał. Pojawiły się kolejne zaszyfrowane i polimorficzne wirusy, co gorsza ich działanie było coraz częściej nastawione na dane ofiary. Przy kolejnych generacjach zagrożeń pojawiali się analitycy wróżący, że dany wirus będzie szczególnie trudny czy nawet niemożliwy do usunięcia. Za każdym razem jednak problem udawało się skutecznie rozwiązać i wczorajsze nieusuwalne wirusy, znaczą kolejne etapy rozwoju technik walki z nimi.

Nawet najnowsze arcydzieło sztuki wirusowej (o ile można zaryzykować określenie pisania złośliwych kodów mianem sztuki), jakim jest stuxnet - niemal doskonały wirus do specjalnych (militarnych) zastosowań - stał się w końcu łatwy do namierzenia i usunięcia, choć, trzeba to przyznać, że najprawdopodobniej już po wykonaniu zadania, jakie przed nim postawiono. Trzeba też zaznaczyć, że kod ten był jednak adresowany do określonego typu systemów i nie był pisany przez typowych twórców wirusów.

TDL i związany z nim botnet, tak jak i każdy inny kod złośliwy, będzie jeszcze przez lata atakował miliony komputerów. Trzeba jednak zauważyć, że nie musi być w tym celu superbotem. Niemal na każdej miesięcznej liście zagrożeń znajdują się programy napisane przed laty.

Obecnie niemal każdy kod złośliwy staje się bezużyteczny dopiero z chwilą zniknięcia programu bądź procesu, który wykorzystywał. Wirusy dyskietkowe (chowające się w boot sektorze) lat 80. i 90. znikły na dobre wraz z dyskietkami (ostatnie dostępne na rynku chyba wykupił ZUS).

Zdaniem eksperta, to co faktycznie może martwić, to programy robiące coś zupełnie nowego, ponieważ producenci oprogramowania antywirusowego, producenci aplikacji oraz użytkownicy potrzebują wtedy więcej czasu, by dostosować swoje oprogramowanie czy sposób postępowania do nowych zagrożeń.

Na przykład uświadomienie użytkowników, że nie należy otwierać załączników, których się nie spodziewają, zajęło lata (a i tak wciąż zdarzają się tacy, którzy to zrobią). Obecnie musimy przekonywać pracowników, że klikanie na linkach wysłanych nawet przez zaufane osoby czy instalowanie przypadkowych aplikacji w swoim profilu facebooka bądź w smartfonie, nie jest dobrym pomysłem.

Czy naszym największym zagrożeniem jest atak na sektor MBR komputerów? Ekspert odpowiada - przecież już je znamy.

Artykuł powstał na podstawie opinii Rogera Grimesa, publicysty Infoworlda, zajmującego się zawodowo sprawami bezpieczeństwa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200