TDL4 jest programem wielozadniowym - jego podstawowym celem jest infekowanie kolejnych komputerów PC i przekształcanie ich w elementy botnetu, zdalnie zarządzanego przez przestępców. Aplikacja jest też rootkitem, dzięki czemu jest w stanie doskonale ukryć się przed większością popularnych aplikacji zabezpieczających.

"Specjaliści z ESET śledzą botnet TDL4 od dawna, a teraz zauważyliśmy nową fazę w jego ewolucji. Z naszych analiz wynika, że niektóre komponenty tego złośliwego programu są właśnie znacząco modyfikowane, część z nich - m.in. sterowniki odpowiedzialne za interakcję z jądrem - pisana jest od podstaw" David Harley, szef działu badań nad złośliwym oprogramowaniem w firmie ESET.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Zdaniem Harley'a, może to świadczyć o tym, że twórcy TDL4 zamierzają zmienić swój model biznesowy. Do tej pory kontrolowali go samodzielnie - zmiany wskazują, że teraz zamierzają zacząć "wypożyczać" go innym grupom przestępczym (np. w celu rozsyłania spamu, czy dystrybuowania oprogramowania typu scareware).

Dodajmy, że TDL znany jest specjalistom ds. bezpieczeństwa od kilku lat - jego kolejne wersje (aktualna ma nr 4) były starannie analizowane i za każdym razem wzbudzały podziw ekspertów. To właśnie o bieżącym wydaniu (TDL4) pracownicy firmy Kaspersky napisali, że jest to "najlepiej dopracowany złośliwy program w historii" (na miano to TDL zasłużył sobie m.in. pomysłowym systemem ukrywania się przed aplikacjami zabezpieczającymi).

Program faktycznie wyróżnia się na tle innych złośliwych aplikacji - TDL4 potrafi infekować 64-bitowe wersje Windows i może wykorzystywać do komunikowania się ze swoimi operatorami popularną sieć P2P Kad.

Do tej pory zadaniem najbardziej innowacyjnych rozwiązań zastosowanych w TDL4 było zwiększenie skuteczności infekcji - wprowadzane właśnie zmiany mają sprawić, że raz zainfekowany komputer pozostanie zarażony przez długi czas (m.in. dlatego nowy wariant tworzy na dysku ukrytą partycję, w której ukrywa swoje komponenty).

Warto dodać, że kilka miesięcy temu w zwalczanie TDL4 zaangażował się Microsoft - koncern udostępnił aktualizację aplikacji antywirusowej dołączanej do Windows, której zadaniem było usuwanie "szkodnika" z kont użytkowników "Okien". Twórcy TDL4 szybko zareagowali na tę operację - krótko później udostępnili poprawkę dla swojego programu, dzięki której stał się on znacznie trudniejszy do usunięcia. Taka determinacja może świadczyć o tym, że w rozwój "szkodnika" zainwestowano sporo pieniędzy lub pracy i że cyberprzestępcy są gotowi zrobić wiele, by program pozostał skuteczny.