TDL-4: il botnet definito indistruttibile dalla veloce diffusione

zombie

La minaccia del botnet indistruttibile è concreta ed è stata verificata su più di quattro milioni di PC contagiati. I ricercatori in ambito di sicurezza sono allarmati: TDL-4, nome che indica sia il Trojan che infetta le macchine che la somma dei computer compromessi dallo stesso, è una delle minacce più sofisticate presenti al giorno d'oggi, parola di Sergey Golovanov, ricercatore dei Kaspersky Labs. Golovanov ha dichiarato che:

[TDL-4] è praticamente indistruttibile.

Ma Golovanov non è solo:

Non che sia perfettamente imbattibile, ma in generale è praticamente indistruttibile. Fa un ottimo lavoro nel conservarsi.

Questo il parere di Joe Stewart, direttore della ricerca sui malware alla Dell SecureWorks ed esperto a livello internazionale di botnet. Per definire questa minaccia, gli esperti hanno giudicato la varietà di tratti che caratterizzano il botnet, rendendolo difficile da identificare, cancellare, sradicare dai computer infetti. Il TDL-4 infatti infetta il MBR (master boot record) del PC con un rootkit, ovvero un malware che si nasconde nel sistema operativo per sovvertirlo. Il master boot record è il primo settore, ovvero sectore 0, dell'hard drive, dove viene memorizzato il codice per attaccare il sistema operativo dopo che i BIOS del computer hanno avviato i controlli.

TDL-4 installa il rootkit sul MBR, quindi risulta invisibile sia al sistema operativo, sia agli anti-malware. Questa però non è ancora l'arma più potente del botnet: la combinazione di crittografia avanzata e l'utilizzo di un network P2P pubblico per le istruzioni richieste dal malware tramite server command-and-control (C&C) lo rendono indistruttibile. Chi ha generato TDL-4 ha creato un proprio algoritmo di crittografia e il botnet utilizza i nomi a dominio dei server C&C come chiavi di crittografia, oltre ad utilizzare le reti Kad P2P come uno dei due canali per la comunicazione tra PC infetti e server C&C.

Il network pubblico serve per essere sicuri che il botnet non venga abbattuto.

[Via ComputerWorld | Foto Flickr]

  • shares
  • Mail
5 commenti Aggiorna
Ordina: