TDL-4: kibernoziedznieki paplašina izmantoto tehnoloģiju arsenālu

30. jūnijs 2011
Kaitīgā programmatūra, kuru Kaspersky Lab risinājumi pazīst ar nosaukumu TDSS (autoru dotais nosaukums ir TDL), pašlaik ir viens no vispilnīgākajiem kibernoziedznieku instrumentiem. Tās spēcīgais sistēmlauznis un citas iespējas ir ļāvušas TDL autoriem izveidot robottīklu, kas sastāv no miljoniem lietotāju datoru.

Kaspersky Lab ekspertu Sergeja Golovanova un Igora Sumenkova veiktā kaitīgās programmatūras jaunās versijas TDL-4 analīze ir ļāvusi noskaidrot tās jaunās iespējas un noteikt inficēto lietotāju datoru skaitu. TDL-4 veikto jauninājumu mērķis ir tāda robottīkla izveide, kas būtu maksimāli aizsargāts no konkurentu un antivīrusu kompāniju iejaukšanās un teorētiski nodrošinātu piekļuvi inficētajiem datoriem pat tad, ja tiktu slēgti visi komandcentri.

Piemēram, TDL-4 ir izveidota iespēja dzēst no lietotāja datora aptuveni 20 vispopulārākos konkurentu izstrādājumus. To vidū ir plaši izplatītās kaitīgās programmatūras Gbot, ZeuS, Optima un citas. Vienlaikus TDSS papildus instalē datorā aptuveni 30 utilītprogrammas, tostarp viltus antivīrusus, kā arī reklāmas plūsmas uzpūšanas un surogātpasta izsūtīšanas sistēmas. Viens no galvenajiem TDL-4 jauninājumiem ir iespēja inficēt 64 bitu operētājsistēmas. Bez komandserveriem robottīkla vadībai pirmo reizi tiek izmantots publiskais datņu apmaiņas tīkls Kad. Par vēl vienu jaunu TDL-4 funkciju ir kļuvusi starpniekserveru atvēršana. Hakeri piedāvā iespēju anonīmi piekļūt internetam ar inficēto datoru starpniecību, prasot par šo pakalpojumu aptuveni 100 ASV dolārus mēnesī.

Tāpat kā iepriekšējās versijas, arī TDL-4 galvenokārt tiek izplatīta ar tā dēvētajām «saistītajām programmām». Kaitīgās programmatūras autori paši nenodarbojas ar inficēto datoru tīkla paplašināšanu, bet gan maksā par šo «pakalpojumu» citiem. Atkarībā no vairākiem nosacījumiem partneri saņem no 20 līdz 200 ASV dolāriem par 1000 kaitīgās programmatūras instalācijām.

Neraugoties uz komandserveru aizsardzības pasākumiem, Kaspersky Lab ekspertiem izdevās iegūt vispārējo statistiku par inficēto datoru skaitu. Iegūto datu analīze liecina, ka 2011. gada pirmajos trīs mēnešos vien ar TDL-4 ir inficēti vairāk nekā 4,5 miljoni datoru visā pasaulē. No tiem lielākā daļa (28%) atrodas ASV. Ņemot vērā iepriekš minētos kaitīgās programmatūras izplatīšanas «izcenojumus», ir iespējams noteikt kibernoziedznieku aptuveno ieguldījumu apjomu robottīkla izveidošanā no lietotāju datoriem Amerikā – tie ir apmēram 250 tūkstoši dolāru.

«Mēs nešaubāmies, ka TDSS pilnveidošana turpināsies,» apgalvo pētījuma autori. «Šī kaitīgā programmatūra un robottīkls, kas apvieno inficētos datorus, vēl sagādās daudz nepatikšanu gan lietotājiem, gan IT drošības speciālistiem. Aktīvā TDL-4 koda uzlabošana, sistēmlauznis 64 bitu operētājsistēmām, palaide pirms operētājsistēmas palaišanas, Stuxnet arsenāla mūķu izmantotāju iekļaušana, p2p tehnoloģiju izmantošana, savs «antivīruss» un vēl daudzas citas īpašības ierindo TDSS tehnoloģiski visattīstītāko un visgrūtāk analizējamo kaitīgo programmatūru vidū.»

Visu pētījumu par TDL-4 var izlasīt mājaslapā Securelist.com: http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot.