Более
4 млн компьютеров с помощью новой версии опасного трояна оказались
втянутыми в ботнет - сеть зараженных компьютеров, позволяющих
использовать их на расстоянии.Как говорят эксперты по безопасности,
этот ботнет почти невозможно уничтожить. Троян, известный как TDL-4
(самая свежая разновидность трояна TDSS) - вредоносная программа,
которая внедряется в компьютеры, работающие на операционной системе
Windows.Как правило, сам по себе троян не причиняет компьютеру вреда, и
его очень трудно обнаружить и обезвредить.
Российская
пресса, в частности, «Известия», утверждает, что автором «самого
совершенного трояна» является некая группировка российских хакеров,
которая, по сведениям издания, зарабатывает на этом по 1 млн долларов в
месяц.
Как говорят эксперты по безопасности, недавние успехи по
борьбе с ботнетами заставили разработчиков TDL максимально усложнить
его обнаружение.
За последние три месяца, то есть с тех пор, как появилась четвертая версия трояна, TDL успел проникнуть в 4,5 млн компьютеров.
«Самый сложный»
Изменения,
внесенные в TDL-4, сделали его самым сложным трояном на сегодня, пишут
специалисты по компьютерной безопасности из Лаборатории Касперского
Сергей Голованов и Игорь Суменков в своей аналитической статье.
«Создатели
TDL, по существу, попытались создать ботнет, который невозможно
уничтожить. Он защищен от атак конкурентов и антивирусных компаний», -
пишут исследователи. «Для чего бы он не предназначался, его очень
трудно удалить. Определенно, это один из самых сложных ботнетов». Как
показывает анализ, проведенный фирмой Symantec, благодаря успешной
работе антивирусных фирм и правоохранительных органов уровень спама,
рассылаемого через ботнеты, снизился до 75% от всей электронной
переписки.
TDL распространяется через сайты-»ловушки» и заражает компьютеры, используя уязвимые места в операционной системе Windows.
Известно,
что он распространяется через сайты, откуда можно скачать пиратские
фильмы. Он также скрывается на страницах, где можно хранить фотографии
и видео, а также на порносайтах.
Троян инсталлирует себя в
системный файл Windows, известный как master boot record. В этом файле
хранится список команд по запуску компьютера, и его редко когда
сканирует стандартная антивирусная программа.
28% жертв TDL-4
находится в США. Немалое их число в Индии (7%) и Великобритании (5%).
Примерно по 3% -во Франции, Германии и Канаде.
Сложность вируса может помочь в его уничтожении
Однако, пишут исследователи, из-за особенностей его работы этот ботнет трудно найти и обезвредить.
Создатели
TDL-4 придумали свою собственную систему кодировки для защиты способов
связи между теми, кто управляет ботнетом, и зараженными компьютерами,
что затрудняет анализ обмена данными между ними.
Кроме того,
TDL-4 посылает команды зараженным машинам, используя открытые сети, а
не централизованную командную систему. Это еще больше усложняет анализ,
так как при такой системе связи нет центральных серверов, которые
регулярно «общаются» с инфицированными машинами.
«Для чего бы он
не предназначался, его очень трудно удалить. Определенно, это один из
самых сложных ботнетов, - говорит Джо Стюарт из компании SecureWorks.
Тем
не менее, именно сложность TDL-4 может помочь в его уничтожении,
считают исследователи из Лаборатории Касперского, которым удалось
обнаружить ошибки в коде трояна.
Это позволило им получить
доступ к базам данных, где хранится информация об инфицированных
компьютерах, что, в свою очередь, поможет исследователям понять, кто и
зачем создал TDL-4.
[к содержанию номера]