Более 4 млн компьютеров с помощью новой версии опасного "трояна" оказались втянутыми в ботнет - сеть зараженных компьютеров, позволяющих использовать их на расстоянии. Как говорят эксперты по безопасности, этот ботнет почти невозможно уничтожить, передает Би-би-си.
Преступники, взявшие компьютеры под контроль, либо крадут из них данные, либо используют их для рассылки спама или атак на другие машины.
Троян, известный как TDL-4 (самая свежая разновидность трояна TDSS) - вредоносная программа, которая внедряется в компьютеры, работающие на операционной системе Windows.
Как правило, сам по себе троян не причиняет компьютеру вреда, и его очень трудно обнаружить и обезвредить.
Российская пресса, в частности, "Известия", утверждает, что автором "самого совершенного трояна" является некая группировка российских хакеров, которая, по сведениям издания, зарабатывает на этом по 1 млн долларов в месяц.
Как говорят эксперты по безопасности, недавние успехи по борьбе с ботнетами заставили разработчиков TDL максимально усложнить его обнаружение.
За последние три месяца, то есть с тех пор, как появилась четвертая версия трояна, TDL успел проникнуть в 4,5 млн компьютеров.
Изменения, внесенные в TDL-4, сделали его самым сложным трояном на сегодня, пишут специалисты по компьютерной безопасности из Лаборатории Касперского Сергей Голованов и Игорь Суменков в своей аналитической статье.
"Создатели TDL, по существу, попытались создать ботнет, который невозможно уничтожить. Он защищен от атак конкурентов и антивирусных компаний", – пишут исследователи.
Как показывает анализ, проведенный фирмой Symantec, благодаря успешной работе антивирусных фирм и правоохранительных органов уровень спама, рассылаемого через ботнеты, снизился до 75% от всей электронной переписки.
TDL распространяется через сайты-"ловушки" и заражает компьютеры, используя уязвимые места в операционной системе Windows.
Известно, что он распространяется через сайты, откуда можно скачать пиратские фильмы. Он также скрывается на страницах, где можно хранить фотографии и видео, а также на порносайтах.
Троян инсталлирует себя в системный файл Windows, известный как master boot record. В этом файле хранится список команд по запуску компьютера, и его редко когда сканирует стандартная антивирусная программа.
28% жертв TDL-4 находится в США. Немалое их число в Индии (7%) и Великобритании (5%). Примерно по 3% – во Франции, Германии и Канаде.
Однако, пишут исследователи, из-за особенностей его работы этот ботнет трудно найти и обезвредить.
Создатели TDL-4 придумали свою собственную систему кодировки для защиты способов связи между теми, кто управляет ботнетом, и зараженными компьютерами, что затрудняет анализ обмена данными между ними.
Кроме того, TDL-4 посылает команды зараженным машинам, используя открытые сети, а не централизованную командную систему. Это еще больше усложняет анализ, так как при такой системе связи нет центральных серверов, которые регулярно "общаются" с инфицированными машинами.
"Для чего бы он не предназначался, его очень трудно удалить. Определенно, это один из самых сложных ботнетов, - говорит Джо Стюарт из компании SecureWorks.
Тем не менее, именно сложность TDL-4 может помочь в его уничтожении, считают исследователи из Лаборатории Касперского, которым удалось обнаружить ошибки в коде трояна.
Это позволило им получить доступ к базам данных, где хранится информация об инфицированных компьютерах, что, в свою очередь, поможет исследователям понять, кто и зачем создал TDL-4.
Обнаружен ботнет из 4,5 миллионов зараженных компьютеров
1 июля 2011 11:18