Hakerzy wbrew woli użytkowników przejęli kontrolę nad ponad czterema milionami komputerów w różnych krajach. Zdaniem ekspertów stworzony w ten sposób tzw. botnet o nazwie TDL jest niemal niezniszczalny. Atak dotyczy komputerów z systemem operacyjnym Windows.
Botnet to grupa zainfekowanych komputerów, nad którymi dzięki potajemnie zainstalowanemu oprogramowaniu kontrolę przejęli cyberprzestępcy. Właściciele z reguły nie zdają sobie sprawy, że ich komputery wykonują zadania zlecane im przez kogoś z zewnątrz.
Nowo wykryty botnet o nazwie TDL liczy ok. 4,5 miliona komputerów, głównie w USA (tam znajduje się 28 proc. spośród zarażonych TLD maszyn), ale także w Indiach (7 proc.) czy Wielkiej Brytanii (5 proc.) Mniejszy odsetek maszyn zarażonych tym wirusem znajduje się we Francji, Kanadzie i Niemczech.
Botnet powstał w ciągu ostatnich trzech miesięcy, według specjalistów użyto do jego budowy czwartej już wersji znanego wcześniej wirusa TLD. Modyfikacje dokonane przez cyberprzestępców po likwidacji poprzednio stworzonej sieci TLD spowodowały, że nowa wersja jest znacznie trudniejsza do wykrycia i likwidacji.
Wyrafinowany wirus
Kod wirusa w komputerze ofiary jest ukrywany w głównym rekordzie startowym systemu Windows, który jest rzadko czyszczony przez programy antywirusowe. Ponadto wirus w wyrafinowany sposób szyfruje swoje kontakty z zarządzającymi nim przestępcami, od których otrzymuje polecenia do wykonania i którym wysyła efekty swych działań (np. wykradzione dane).
Komunikacja ta odbywa się na zasadzie peer-to-peer, co oznacza, że zarażona maszyna nie komunikuje się bezpośrednio z centralnym węzłem hakerskiej sieci, a innymi zarażonymi komputerami. To utrudnia ustalenie maszyn, za pośrednictwem których sieć jest zarządzana, oraz jej unicestwienie.
Zmiany wprowadzone w TDL-4 uczyniły go "najbardziej wyszukanym ze znanych dziś zagrożeń" - stwierdzili specjaliści zajmującej się bezpieczeństwem sieciowym firmy Kaspersky Labs Sergey Golowanow i Igor Soumenkow po analizie wirusa.
"Właściciele TDL zasadniczo starają się stworzyć niezniszczalny botnet, która byłby odporny na ataki konkurentów i działania firm antywirusowych" - piszą badacze.
Gdzie się zarazisz? Tam gdzie zwykle...
Groźnym wirusem można zarazić swój komputer wchodząc na stronę www, stanowiącą swoistą pułapkę: zamieszczony tam kod infekuje maszynę bez wiedzy użytkownika, wykorzystując niezałatane luki w systemie operacyjnym i/lub przeglądarce internetowej. Jak pisze BBC, wirus czai się na stronach z pornografią i pirackimi wersjami filmów, jak również na stronach umożliwiających dzielenie się plikami wideo i zdjęciami.
Firma Kaspersky Lab uważa, że wyrafinowanie kodu wirusa może przyczynić się do upadku botnetu, bowiem jej specjalistom udało się już ustalić kilka błędów w kodzie. Dzięki nim stworzyli bazę zainfekowanych maszyn, co powinno ułatwić dalsze dochodzenie i ustalenie kto jest twórcą botnetu.
Źródło: BBC
Źródło zdjęcia głównego: sxc.hu