A világ legrejtélyesebb kártékony hálózata

A TDSS - vagy más néven TDL - rootkit három éve jelent meg először az interneten. A víruskutatók már akkor különös figyelmet fordítottak a kártékony kódra, ugyanis az olyan megoldásokat tartalmazott, amelyek a felismerését és a detektálását is jelentősen képesek voltak megnehezíteni. A TDSS készítői az elmúlt évek során folyamatosan fejlesztették a kártevőjüket, aminek eredményeként mostanra a rootkit sokkal komolyabb fenyegetést jelent, mint azt eddig gondolni lehetett.

A TDSS egyik legveszélyesebb jellemzője, hogy úgy képes trójai programokat és egyéb ártalmas kódokat terjeszteni, hogy abból nemcsak a felhasználó nem vesz észre semmit, hanem adott esetben a víruskeresőknek is komoly kihívást jelent az észlelése. Emiatt a rootkit közreműködésével az elmúlt évek során egy nagy kiterjedésű botnet jöhetett létre, amely a Kaspersky Lab legutóbbi felmérése szerint több mint négymillió PC-t foglal magában. Ez egyben azt is jelenti, hogy a TDSS botnet napjaink egyik legnagyobb ártalmas hálózata.

A Kaspersky Lab kutatói egy olyan C&C (command and control) szerverre bukkantak, amely SQL-alapú parancsokkal kommunikál a kliensekkel, illetve a magával a TDSS-sel. A biztonsági cég e szerveren 4,5 millió IP-címet talált, amelyek mindegyike fertőzött számítógépekhez tartozik. Ezek közül 1,5 millió az Egyesült Államokban működik. A szakemberek becslése szerint a TDSS botnet USA-ban működő szegmensének értéke egymaga körülbelül 250 ezer dollárt képvisel az internetes feketepiacon.

A TDSS család legújabb képviselője, a TDL-4 képes megfertőzni az MBR-t (Master Boot Record), és ezáltal a lehető legkorábban betöltődni. Ez a tulajdonsága a detektálását és az eltávolítását is megnehezíti. Ráadásul a szakemberek körében vita alakult ki arról, hogy az MBR-be beköltöző károkozókkal miként lehet hatékonyan elbánni. Többek szerint csak az operációs rendszer teljes újratelepítése jelent biztos megoldást, ugyanakkor mások úgy vélik, hogy az MBR tisztítása is eredményre vezethet.

A már 64 bites rendszerekkel is kompatibilis TDL-4 további érdekes jellemzője, hogy nem tűr meg maga mellett rivális kártékony programokat. Több mint 20 féle károkozó eltávolítására alkalmas, így a Gbot, a Zeus és az Optima sem maradhat azokon a PC-ken, amelyekre felkerül. Emellett egy kad.dll nevű fájl is tartozik hozzá, amely a Kad P2P hálózatban rejlő lehetőségek kihasználásával képes elősegíteni a zombi számítógépek vezérlését, és a C&C szerverekkel való elosztott kommunikáció megvalósítását. Ezért ha a rivális bandáknak, a biztonsági cégeknek vagy a hatóságoknak az elsődleges, titkosított kommunikációs csatornát sikerülne felszámolniuk, akkor a Kad P2P még mindig rendelkezésükre áll a vírusterjesztőknek.

A Kaspersky Lab szerint a TDSS készítői elsősorban szolgáltatásalapon igyekeznek biztosítani a botnetjükhöz való hozzáférést, és az abban rejlő erőforrások használatát. A botnetbe bevont számítógépek proxy-ként történő használatára is van lehetőség. Egy proxy bérleti díja havonta 100 dollár.

"Nem kételkedünk abban, hogy a TDSS fejlesztői folytatni fogják a tevékenységüket. A TDL-4 kódja, a 64 bites kialakítása, a P2P technológiák használata, az antivírusok megkerüléséhez alkalmazott technikák és a TDSS által biztosított egyéb megoldások a legfejlettebb technológiákat képviselik, miközben az elemzésük nagyon bonyolult" - mondta Sergey Golovanov, a Kaspersky egyik kutatója.

Feltételezések szerint a TDL-4 forráskódja egy kelet-európai banda kezében van, amely más bűnözői csoportok számára még a régebbi, TDL-3 rootkitet értékesíti.