По сообщению «Лаборатории Касперского», программа TDL-4 является наиболее совершенным инструментом киберкриминала из существующих сегодня. С помощью TDL-4, хакеры смогли создать ботнет из 4,5 миллионов компьютеров, работающих под Windows.
В TDL-4, по сравнению с предыдущей версией, обновлен алгоритм шифрования протокола, используемого для «общения» зараженных компьютеров с серверами управления ботнета. На замену RC4 был разработан собственный алгоритм шифрования, с использованием замены и операции XOR.
TDL-4 имеет мощную руткит-составляющую, при попадании в систему, устанавливает на ПК около 30 дополнительных утилит: фальшивые антивирусы, системы накрутки рекламного трафика и рассылки спама. В основном, TDL-4 распространяется с помощью «партнёрских программ», авторам которых хакеры за это платят.
TDL-4 интересна тем, что может работать с 64хбитной системой, а также тем, что при попадании в систему, уничтожает около 20 своих наиболее популярных конкурентов, таких, как Gbot, ZeuS, Optima и другие. Еще одна новая функция TDL-4 — это возможность открытия прокси-сервера. Киберпреступники предлагают сервис анонимного доступа к сети через зараженные компьютеры, запрашивая за такую услугу около 100 долларов в месяц.
Продукты «Лаборатории Касперского» детектируют вредоносную программу как TDSS. «Мы не сомневаемся, что развитие TDSS будет продолжено, — утверждают Сергей Голованов и Игорь Суменков, исследователи TDL-4 — Вредоносная программа и ботнет, объединяющий зараженные компьютеры, доставят еще много неприятностей и пользователям, и специалистам по IT-безопасности. Активная доработка кода TDL-4, руткит для 64-битных систем, старт до запуска операционной системы, использование эксплойтов из арсенала Stuxnet, использование технологий p2p, собственный „антивирус“ и многое-многое другое ставят вредоносную программу TDSS в разряд самых технологически развитых и наиболее сложных для анализа».
По материалам: www.kaspersky.ru и www.securelist.com/ru
