Обнаружена сеть из 4 миллионов "компьютеров-зомби"

  • 1 июля 2011
Правообладатель иллюстрации SPL
Image caption Сложность трояна TDL-4 может помочь в его уничтожении

Более 4 млн компьютеров с помощью новой версии опасного трояна оказались втянутыми в ботнет - сеть зараженных компьютеров, позволяющих использовать их на расстоянии.

Как говорят эксперты по безопасности, этот ботнет почти невозможно уничтожить.

Преступники, взявшие компьютеры под контроль, либо крадут из них данные, либо используют их для рассылки спама или атак на другие машины.

Троян, известный как TDL-4 (самая свежая разновидность трояна TDSS) - вредоносная программа, которая внедряется в компьютеры, работающие на операционной системе Windows.

Как правило, сам по себе троян не причиняет компьютеру вреда, и его очень трудно обнаружить и обезвредить.

Российская пресса, в частности, "Известия", утверждает, что автором "самого совершенного трояна" является некая группировка российских хакеров, которая, по сведениям издания, зарабатывает на этом по 1 млн долларов в месяц.

Как говорят эксперты по безопасности, недавние успехи по борьбе с ботнетами заставили разработчиков TDL максимально усложнить его обнаружение.

За последние три месяца, то есть с тех пор, как появилась четвертая версия трояна, TDL успел проникнуть в 4,5 млн компьютеров.

Злоумышленники используют чужие компьютеры, вовлеченные в ботнет, чтобы самим остаться незамеченными.

В случае, если служба безопасности атакованной компании или государственного ведомства будет расследовать атаку, то они увидят данные тех, кто стоял последним в цепочке – т.е. ничего не подозревающих носителей вируса.

Пользователю, чей компьютер оказался заражен, помимо традиционных злоключений – потери паролей к электронной почте, социальным сетям, банковским счетам - может грозить преследование со стороны организаций, чьи сайты или электронные системы были атакованы хакерами.

"Самый сложный"

Изменения, внесенные в TDL-4, сделали его самым сложным трояном на сегодня, пишут специалисты по компьютерной безопасности из Лаборатории Касперского Сергей Голованов и Игорь Суменков в своей аналитической статье.

"Создатели TDL, по существу, попытались создать ботнет, который невозможно уничтожить. Он защищен от атак конкурентов и антивирусных компаний", – пишут исследователи.

Как показывает анализ, проведенный фирмой Symantec, благодаря успешной работе антивирусных фирм и правоохранительных органов уровень спама, рассылаемого через ботнеты, снизился до 75% от всей электронной переписки.

TDL распространяется через сайты-"ловушки" и заражает компьютеры, используя уязвимые места в операционной системе Windows.

Известно, что он распространяется через сайты, откуда можно скачать пиратские фильмы. Он также скрывается на страницах, где можно хранить фотографии и видео, а также на порносайтах.

Троян инсталлирует себя в системный файл Windows, известный как master boot record. В этом файле хранится список команд по запуску компьютера, и его редко когда сканирует стандартная антивирусная программа.

Если установленный на компьютере пакет антивирусных программ не может обнаружить троян, то обычный пользователь может никогда и не догадаться, что его компьютер инфицирован.

Вместе с тем, присутствие трояна можно обнаружить по таким косвенным признакам, как необычная работа операционной системы и изменения интернет-трафика. Это может быть снижение скорости обработки привычных задач или падение скорости интернет-соединения.

Трудно обезвредить

28% жертв TDL-4 находится в США. Немалое их число в Индии (7%) и Великобритании (5%). Примерно по 3% – во Франции, Германии и Канаде.

Однако, пишут исследователи, из-за особенностей его работы этот ботнет трудно найти и обезвредить.

Антивирус может не замечать присутствия вредоносной программы в компьютере из-за того, что это она еще не попала в антивирусные базы данных.

Один из принципов работы антивирусных систем состоит в сравнении содержимого компьютера со своей базой данных, и если вирус новый, то он останется невидимым до тех пор, пока разработчики антивирусных систем не внесут его в свои списки, а конечный пользователь не обновит свой антивирусный пакет.

Создатели TDL-4 придумали свою собственную систему кодировки для защиты способов связи между теми, кто управляет ботнетом, и зараженными компьютерами, что затрудняет анализ обмена данными между ними.

Кроме того, TDL-4 посылает команды зараженным машинам, используя открытые сети, а не централизованную командную систему. Это еще больше усложняет анализ, так как при такой системе связи нет центральных серверов, которые регулярно "общаются" с инфицированными машинами.

"Для чего бы он ни предназначался, его очень трудно удалить. Определенно, это один из самых сложных ботнетов", - говорит Джо Стюарт из компании SecureWorks.

Тем не менее, именно сложность TDL-4 может помочь в его уничтожении, считают исследователи из Лаборатории Касперского, которым удалось обнаружить ошибки в коде трояна.

Это позволило им получить доступ к базам данных, где хранится информация об инфицированных компьютерах, что, в свою очередь, поможет исследователям понять, кто и зачем создал TDL-4.

Новости по теме