Super malware pode ter contaminado milhões de PCs
Malware e botnets vão e vêm, mas a TDSS é diferente. Detectada pela primeira vez há mais de três anos, a TDSS (também conhecido como "TDL" e às vezes por seu componente rootkit, Alureon), ele cresceu como um malware cada vez mais complexo e perigoso.
Nas últimas semanas, os pesquisadores da Kaspersky conseguiram invadir três servidores de Comando&Controle (C&C) baseados em SQL usados para controlar as atividades da mais recente versão do malware, a TDL-4, onde descobriram os endereços IP de 4,5 milhões de PCs infectados pelo malware somente em 2011.
Se ativos, esta legião de computadores infectados seria uma das maiores botnets do mundo. Somente a porção dos EUA (1,5 milhão de PCs) vale cerca de US$ 250 mil no submundo do crime.
O malware TDL-4 também acrescentou capacidades técnicas e econômicas em sua lista de recursos, incluindo alguns que são fora do comum para botnets, segundo os pesquisadores.
Fazendo uso do bootkit do malware – que infecta o registro mestre de inicialização (MBR) de um PC para permitir a carga antes de outros programas – ele tenta limpar malware rival no PC infectado. Isso interrompe outros programas interferindo com suas atividades, bem como prejudicando suas atividades comerciais.
Os pesquisadores notaram que o componente kad.dll da infecção, que parece permitir ao TDSS/TDL-4 um elaborado canal para controlar os micros zumbis utilizando a rede P2P Kad, mesmo se o principal canal criptografado tenha sido desligado por botnets rivais ou empresas de segurança .
Talvez o mais intrigante seja as inovações econômicas dos criadores do TDSS, o que ajuda a vender o malware como uma " botnet as a service" (botnet sob demanda).
Uma delas é transformar PCs contaminados em proxies anônimos, que a Kaspersky descobriu estarem sendo vendidos por US$ 100 por mês cada, para quem deseja esconder seus passos na Internet. Eles ainda descobriram um add-on do Firefox que facilita alternar entre proxies diferentes dentro do navegador.
"Não tenho dúvida de que o desenvolvimento de TDSS vai continuar", disse o pesquisador da Kaspersky Sergey Golovanov, que realizou uma análise do TDSS. "Regravações ativas do código, rootkits para sistemas de 64 bits, o uso de tecnologias P2P, antivírus proprietário e muito mais fazem do TDSS um programa malicioso do tecnologicamente mais desenvolvidos e mais difíceis de analisar."
A grande questão é por isso que TDSS/TDL-4 investiu tanto esforço em complexidade quando outros tipos de malware funcionam bem sem isso. Talvez sua inovação mais interessante tenha sido sua versão Alureon para Windows 64-bit, que a Microsoft alegou em maio ter removido de centenas de milhares de sistemas.
A resposta é que os criadores do TDSS são pioneiros. O Windows 64-bit pode ter menos usuários e esse sistema operacional pode ser um desafio maior, mas enfrentá-lo oferece recompensas maiores, porque eles ficam à frente não só dos rivais, mas das defesas.
"Os cibercriminosos estão tentando dar um passo à frente", disse outro pesquisador da Kaspersky, Ram Herkanaidu. "Eles sabem que uma grande quantidade de sistemas migrarão para 64-bit", disse.
Comentários