TDL-4 – новая версия вредоносного ПО

Лаборатория Касперского опубликовала исследование новой версии вредоносной программы TDL (детектируется как TDSS), направленной на создание обширного защищенного ботнета. Анализ новой версии вредоносной программы TDL-4, проведенный Сергеем Головановым и Игорем Суменковым, позволил выявить новые возможности вредоносного ПО и оценить количество зараженных пользовательских ПК.

Изменения в TDL-4 обеспечивают построение ботнета, максимально защищенного от посягательств конкурентов и антивирусных компаний, и теоретически обеспечивают доступ к зараженным машинам даже при закрытии всех командных центров. В частности, в TDL-4 появилась возможность удаления с зараженного компьютера около 20 наиболее популярных конкурирующих вредоносных программ — в том числе Gbot, ZeuS и Optima. При этом сам TDSS устанавливает на компьютер около 30 дополнительных утилит, включая фальшивые антивирусы, системы накрутки рекламного трафика и рассылки спама.

Одним из значительных нововведений в TDL-4 стала возможность заражения 64-битных операционных систем. Для управления ботнетом кроме командных серверов впервые используется публичная файлообменная сеть Kad.

Другая новая функция TDL-4 — возможность открытия прокси-сервера. Злоумышленники предлагают сервис анонимного доступа к сети через зараженные компьютеры, запрашивая за такую услугу около $100 в месяц.

Как и предыдущие версии, TDL-4 распространяется в основном с помощью так называемых "партнерских программ". Авторы вредоносного ПО не занимаются расширением сети зараженных компьютеров самостоятельно, а платят за это третьим лицам. В зависимости от ряда условий партнерам выплачивается от $20 до $200 за 1000 установок программы.

Только за первые три месяца 2011 года с помощью TDL-4 было заражено более 4,5 млн. компьютеров по всему миру, причем большая их часть (28%) расположена в США. Учитывая упомянутые расценки на распространение вредоносного ПО, примерные затраты киберпреступников на создание ботнета из компьютеров американских пользователей составили около $250 тысяч.

"Мы не сомневаемся, что развитие TDSS будет продолжено, — утверждают авторы исследования "Лаборатории Касперского". — Вредоносная программа и ботнет, объединяющий зараженные компьютеры, доставят еще много неприятностей и пользователям, и специалистам по IT-безопасности. Активная доработка кода TDL-4, руткит для 64-битных систем, старт до запуска операционной системы, использование эксплойтов из арсенала Stuxnet, использование технологий p2p, собственный "антивирус" и многое-многое другое ставят вредоносную программу TDSS в разряд самых технологически развитых и наиболее сложных для анализа".