Forskere fant «uovervinnelig» botnett

- Den mest sofistikerte trusselen mot Windows-maskiner.

30. juni 2011 - 14:52

Et enkelt botnett kan bestå av mange millioner infiserte pc-er, som i sammenhengen blir kalt «bots» eller zombie-maskiner.

De blir kontrollert av kriminelle, som misbruker ressursene til å spre uønsket e-post, angripe nettsteder eller tappe ofre for personopplysninger.

Trusselen er møtt med omfattende internasjonale tiltak, blant annet i EU og av amerikanske myndigheter, som kan vise til flere eksempler på vellykkede aksjoner for å knekke slike nett.

Samtidig dukker det stadig opp nye, mer avanserte varianter. Spørsmålet er om ikke utviklingen har gått så langt at mottrekk blir umulig.

Sikkerhetsforskere advarer nå mot et nytt og forbedret botnett, som angivelig skal være tilnærmet umulig å bli kvitt.

Botnettet TDL-4 og den tilhørende trojaneren med samme navn skal allerede ha infisert mer enn fire millioner Windows-baserte pc-er.

- Det er den mest sofistikerte trusselen i dag, skriver sikkerhetseksperten Sergey Golovanov fra Kaspersky Labs i en analyse som ble publisert denne uken.

Dens mange avanserte egenskaper støtter opp om utsagnet, og gjør det vanskelig både å oppdage og fjerne skadevaren.

For det første infiseres master boot record (MBR), den første sektoren på harddisken og et område som leses før selve operativsystemet laster inn. Det gjør trusselen vanskelig å avdekke eller fjerne med antivirusløsninger.

Det er også lagt inn funksjoner for å fjerne rundt 20 ulike konkurrerende botnett, inkludert den velkjente banktrojaneren Zeus. Støtte for å kommunisere med 64-bits operativsystemer er også på plass.

Første versjon av TDL ble klar i 2008. Skritt for skritt har skadevaren blitt perfeksjonert. Først i desember i fjor begynte opphavspersonene å tilby programmet for salg til andre. Det dreide seg om tredjeversjonen, ifølge Kaspersky Labs.

- Antakelig mente de at forbedringene i versjon 4 var såpass betydelige at de ikke trengte bekymre seg for konkurransen fra kundene, heter det i analysen.

- Uovervinnelig

En av nøkkelendringene skal ligge i utbedring av en algoritme som krypterer protokollen brukt for å kommunisere mot de infiserte maskinene, og de nødvendige kommando- og kontrollserverne.

Kommunikasjonen foregår dessuten via P2P-nettverk (peer-to-peer). Kombinasjonen er kraftfull, og i analysen til Kaspersky heter det seg at "dette desentraliserte, serverløse botnettet er «praktisk talt uovervinnelig».

- Måten peer-to-peer brukes på i TDL-4 vil gjøre det ekstremt vanskelig å ta ned. Disse gutta gjør hva de kan for å sikre at de ikke blir neste gjeng til å miste kontrollen over botnettet sitt, sier seniorforsker i Kaspersky, Roel Schouwenberg til amerikanske Computerworld.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.