TDL-4: La botnet perfetta

I ricercatori di sicurezza di Kaspersky hanno individuato una nuova botnet, questa volta l’insieme di computer infetti e controllati dai cybercriminali è stata identificata come TDL-4, potrebbe essere proprio
TDL-4 e prende il nome della quarta generazione della botnet. Nel 2008, il primo TDL originale è apparso. E’ stata modificata nel corso degli ultimi anni. I creatori di malware hanno drasticamente migliorato la botnet rispetto ai suoi predecessori, rendendo questo strumento una vera arma di lotta cybercriminale.

“I creatori di malware hanno esteso le funzionalità del programma, hanno cambiato l’algoritmo utilizzato per crittografare il protocollo di comunicazione tra i bot e il comando botnet e anche ai server di controllo, garantendo l’ accesso ai computer infetti . Anche la società di sicurezza informatica sul suo blog ha fatto sapere che “I proprietari di TDL vogliono creare una botnet ‘indistruttibile’ che è protetta contro gli attacchi, i e le società antivirus.”

Al centro di TDL-4, gli aggiornamenti secondo Kaspersky, TDL-4 crea un identificatore conosciuto come “parametro bsh” che “agisce come una delle chiavi di crittografia per le connessioni successive al server di comando e controllo”. Una volta che una richiesta tra comando e il computer è attivato, è trasmesso su una connessione HTTPS. Secondo Kaspersky, questo sistema aiuta il sistema botnet di comunicare “senza intoppi” e, allo stesso tempo, non permette a chiunque altro nel tentare di prendere il controllo su di esso.

Per contribuire a salvaguardare se stessa dalla rimozione, TDL-4 infetta un computer nel master boot record, proprio come fanno alcuni rootkit,permettendo così l’esecuzione prima che il sistema operativo si avvia, e tenerlo lontano dagli occhi indiscreti dei programmi anti-malware. La botnet cancella altri file dannosi che potrebbero rimanere impigliati da strumenti di sicurezza in esecuzione sul proprio computer. Al loro posto, TDL-4 ha scaricato circa 30 programmi maligni sui computer infetti, tra cui “falsi programmi anti-virus, adware e il spambot . Secondo Kaspersky, la botnet usa anche tool peer-to-peer della rete Kad per impartire comandi, tra cui la ricerca di nuovi file, pubblicazione di file su Kad, e altro ancora.

Sebbene Kaspersky crede TDL-4 è praticamente impenetrabile, non tutti la pensano così. La fiducia resta in queste parole di esperti in ricerca malware,”Posso tranquillamente dirvi che nessuna minaccia è apparsa non identificabile”. Un’esempio chiaro come l’anno scorso, Conficker ha scatenato il caos sui computer di tutto il mondo dal 2008. All’inizio di questo mese, l’FBI ha annunciato di aver tolto le botnet Coreflood.