Botnet transforma milhões de computadores em zumbis, é “praticamente indestrutível”

Qual é o truque por trás do TDL-4? São duas coisas. A primeira, de acordo com a Kaspersky Labs, é que ele é instalado em um bootkit, fora do sistema operacional, e por isso fica difícil detectá-lo: [O] TDL-4 é um bootkit, o que significa que ele contamina o MBR (master boot record) para se ativar, […]

Qual é o truque por trás do TDL-4? São duas coisas. A primeira, de acordo com a Kaspersky Labs, é que ele é instalado em um bootkit, fora do sistema operacional, e por isso fica difícil detectá-lo:

[O] TDL-4 é um bootkit, o que significa que ele contamina o MBR (master boot record) para se ativar, assim garantindo que o código malicioso será carregado antes do sistema operacional começar. Este é um método clássico usado por sites de download, o que garante um ciclo de vida maior para o malware, e o torna menos visível para a maioria dos programas de segurança.

O TDL consegue rapidamente esconder de antivírus tanto os programas que ele baixa, como o vírus em si. Para evitar que outros programas maliciosos (e não-associados com o TDL) chamem a atenção do usuário com o computador infectado, o TDL-4 consegue deletar outros vírus e malware. Não todos, claro, só os mais comuns.

O segundo truque por trás do TDL-4, de acordo com a ComputerWorld, é que ele consegue usar a rede pública KAD de compartilhamento peer-to-peer (P2P), enquanto mantém os servidores criptografados e anônimos.

O que torna o botnet indestrutível é a combinação de sua criptografia avançada e o uso de uma rede pública peer-to-peer (P2P) para as instruções enviadas ao malware por servidores de comando e controle (C&C).

“A forma pela qual o peer-to-peer é utilizada pelo TDL-4 torna extremamente difícil derrubar esta botnet”, diz Roel Schouwenberg, pesquisador sênior de malware na Kaspersky, em uma resposta a e-mail nesta terça-feira com mais perguntas. “Os caras do TDL estão fazendo de tudo para não se tornarem a próxima turma a perderem sua botnet.”

O TDL-4 contaminou esses 4,5 milhões de computadores só nos primeiros três meses de 2011, o que significa que ele é extremamente eficiente. E, apesar das consequências no seu computador serem mínimas, ele pode ser usado para realizar ataques DDoS e coisas do gênero sem você saber ou permitir. Em geral, o vírus é colocado em downloads de sites adultos, e em sites de armazenamento de vídeo e arquivos. O Brasil corresponde a 3% dos computadores infectados, mas não há um método trivial para detectar o vírus – então cuidado. [SecureLabs via ComputerWorld]

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas