Ile można zarobić na rootkicie? Nowy TDL4 ukrywa się jeszcze lepiej, jest hitem czarnego rynku

19 października David Harley z ESET poinformował, że kod rootkitu botnetu TDL4 został zaktualizowany przez jego autorów. Wprowadzone zmiany czynią z niego jedną z najbardziej zaawansowanych technicznie form malware. Co więcej, wiele wskazuje na to, że stanie się on powszechnie wykorzystywany przez twórców innych szkodników.

Nowa wersja kodu chroni się przed wykryciem przez programy antywirusowe, tworząc na dysku systemowym własną partycję. Następnie partycja ta oznaczana jest jako aktywna, a rootkit ustawia dla niej VBR (volume boot record). W efekcie w kodzie MBR nie pojawiają się żadne zmiany, a mimo to, podczas uruchamiania systemu, kontrola jest przekazywana do zainfekowanej partycji.

Nowy system plików partycji pozwala na przechowywanie dowolnej ich liczby, podczas gdy wcześniej mogło ich być tylko 15. W nowej wersji rootkita jeśli któryś z plików jest uszkodzony (co wykazuje porównanie CRC32) to zostaje skasowany.

Te nowości sprawią, że TDL4 będzie jeszcze trudniej wykrywalny, a już wcześniej był z tym problem. Najgorsze, że jego twórcy zarabiają na swojej przestępczej działalności. Oferują dzięki botnetowi anonimowy dostęp do Internetu za ok. 100 dolarów miesięcznie, sprzedali też prawdopodobnie kod twórcom innego rootkita o nazwie SHIZ. Profity przynosi im też udostępnianie miejsca w botnecie dla innego złośliwego oprogramowania, które mogą zdalnie instalować, czy podmienianie reklam w wyszukiwarkach. Kontrola nad milionami komputerów daje bowiem ogromne pole do zarabiania pieniędzy.

O skali zarobków właścicieli botnetu niech świadczy choćby uruchomienie przez nich programu partnerskiego, w ramach którego płaci się od 20 do 200 dolarów za tysiąc instalacji rootkita. Jest on osadzany najczęściej na stronach z pornografią, filmami i plikami.

Rootkit obchodzi wymóg podpisywania sterowników w systemach 64-bitowych, kasuje z systemu niektóre inne rootkity, które mogłyby wzbudzić podejrzenia użytkownika i potrafi łączyć się z siecią P2P Kad, aby pobierać z niej rozkazy, jeśli padną serwery centralne. To wszystko czyni z TDL niezwykle groźne zagrożenie, na które branża security IT nie ma niezawodnego lekarstwa.

źródło: theregister.co.uk, eset.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

5 skomentuj »

Komentarze

#1 Naczelny Mosista RP 2011-10-24 18:15:14 0
Branża security IT recepty nie ma, ja na szczęście mam. Na komputerze, z którego piszę ten komentarz, żadne rootkity nie działają...
IP: 89.161.31.[...] Mozilla/5.0 (Macintosh; PowerPC MorphOS 2.7; Odyssey Web Browser; rv:1.14) AppleWebKit/534.48.3 (KHTML, like Gecko) OWB/1.14 Safari/534.48.3
#2 7ed 2011-10-25 09:02:09 0
I tu jesteś w błędzie. W ostatnich latach powstaje coraz więcej złośliwego oprogramowania na Macintoshe wszelkiej maści
IP: 77.65.61.[...] Opera/9.80 (Windows NT 6.1; U; Edition Campaign 21; pl) Presto/2.9.168 Version/11.52
#3 gosc 2011-10-25 10:20:57 0
Nie jestem na biezaco ostatnio... To jak sprawdzic, czy wogole mamy tego TDL ??
IP: 213.192.65.[...] Opera/9.80 (Windows NT 6.1; U; en) Presto/2.9.168 Version/11.52
#4 Splitfire^® 2011-10-25 11:59:25 0
Jak można zarabiać w tak rozległy sposób na przestępczej działalności? Płaci się im bitcoinach czy jak? :D
IP: 78.133.207.[...] Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
#5 harlow 2011-11-14 18:23:11 0
7ed

nie popisałeś się za bardzo

Naczelny Mosista RP nie używa jakiegoś tam Macintosha (jak to określiłeś) a MorpOS - czyli systemu pokrewnego do AmigaOS

chociaż za to pokrewieństwo to się pewnie obrazi :)
IP: 83.9.37.[...] Mozilla/5.0 (Windows NT 6.1; rv:10.0a2) Gecko/20111113 Firefox/10.0a2

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.