Вредоносная программа, детектируемая продуктами «Лаборатории Касперского» как TDSS (авторское название TDL), является наиболее совершенным на сегодняшний день инструментом киберкриминала. Мощная руткит-составляющая и другие возможности TDL позволили его авторам создать сеть зомби-компьютеров (ботнет), состоящую из миллионов персональных компьютеров.
"Лаборатория Касперского" предупреждает о новом оружии киберпреступников
Анализ новой версии вредоносной программы TDL-4 позволил выявить новые возможности вредоносного ПО и оценить количество зараженных пользовательских ПК. Изменения в TDL-4 направлены на построение ботнета, максимально защищенного от посягательств конкурентов и антивирусных компаний и теоретически обеспечивают доступ к зараженным машинам даже при закрытии всех командных центров при помощи которых злоумышленники управляют зомби-компьютерами.
В частности, в TDL-4 появилась возможность удаления около 20 наиболее популярных конкурирующих вирусов с машины пользователя. Среди них — такие распространенные вредоносные программы, как Gbot, ZeuS, Optima и другие. При этом сам TDSS устанавливает на ПК около 30 дополнительных утилит, включая фальшивые антивирусы, системы накрутки рекламного трафика и рассылки спама. Одним из значительных нововведений в TDL-4 стала возможность заражения 64-битных операционных систем. Для управления ботнетом кроме командных серверов впервые используется публичная файлообменная сеть Kad.
Еще одной новой функцией TDL-4 стала возможность открытия прокси-сервера. Злоумышленники предлагают сервис анонимного доступа к сети через зараженные компьютеры, запрашивая за такую услугу около 100 долларов в месяц. Для простого пользователя это означает, что через его компьютер некое удалённое лицо может совершать неправомерные действия, подозрения в которых падут на ничего не подозревающего пользователя.
Как и предыдущие версии, TDL-4 распространяется в основном с помощью так называемых “партнерских программ” или “партнёрок”. Авторы вредоносного ПО не занимаются расширением сети зараженных компьютеров самостоятельно, вместо этого оплачивая данную «услугу» третьим лицам. В зависимости от ряда условий партнерам выплачивается от 20 до 200 долларов США за 1000 установок вредоносного ПО.
Несмотря на наличие мер защиты управляющих серверов, экспертам «Лаборатории Касперского» удалось получить общую статистику по количеству зараженных компьютеров. Анализ полученных данных показал, что только за первые три месяца 2011 года с помощью TDSS было заражено более 4,5 миллионов компьютеров по всему миру, большая их часть (28%) расположена в США. Учитывая упомянутые ранее «расценки» на распространение вредоносного ПО, можно оценить примерный уровень затрат киберпреступников на создание ботнета из компьютеров американских пользователей: он составляет около 250 тысяч долларов.
«Мы не сомневаемся, что развитие TDSS будет продолжено, — утверждают авторы исследования эксперты «Лаборатории Касперского» Сергей Голованов и Игорь Суменков. — Вредоносная программа и ботнет, объединяющий зараженные компьютеры, доставят еще много неприятностей и пользователям, и специалистам по IT-безопасности. Активная доработка кода TDL-4, руткит для 64-битных систем, старт ещё до запуска операционной системы, использование известных проблем безопасности программ (эксплойтов) из арсенала Stuxnet, использование технологий p2p, собственный «антивирус» и многое-многое другое ставят вредоносную программу TDSS в разряд самых технологически развитых и наиболее сложных для анализа».