» »

Odkrit nov trdovraten botnet TDL-4

Odkrit nov trdovraten botnet TDL-4

Dodatek za Firefox, ki omogoča anonimno brskanje z uporabo TDL-4. Cena: 100 dolarjev na mesec.

Ars Technica - Raziskovalci iz Kaspersky Lab poročajo o novem botnetu, ki ima vrsto naprednih značilnosti, s katerimi se poizkuša čim dlje časa izmuzniti detekciji in otežiti odstranitev ali uničenje, zaradi česar so ga poimenovali "praktično neuničljiv". Pojavlja se pod imeni TDL-4 (tako ga imenuje pisec), TDSS (tako ga imenujejo protivirusni programi) in Alureon.

Ker so botneti vredno veliko denarja, poizkušajo pisci in upravitelji zakriti prisotnost zlobne programske opreme na okuženih računalnikih in omejiti konkurenco. TDL-4 se zato skrije v zagonski sektor diska (MBR). To je prvi sektor diska, ki se prebere ob zagonu računalnika, in v zdravih računalnikih vsebuje le kazalce za začetek zaganjanja operacijskega sistema. Zato se TDL-4 zažene še pred operacijskim sistemom in protivirusnih programom, kar otežuje njegovo detekcijo.

TDL-4 širijo promotorji (affiliates), ki za vsakih 1000 namestitev na osebne računalnike prejmejo od 20 do 200 dolarjev. Namestitev izvedejo s podtikanjem TDL-4 na pornografske spletne strani, spletne strani z ilegalnimi vsebinami in strani z video vsebinami. Ko enkrat računalnike stakne TDL-4, se ta pritaji v zagonski sektor in pazi, da se nanj ne ugnezdi še kakšna druga zla programska oprema. S tem ubije dve muhi na en mah, sej prepreči, da bi se računalnik obnašal čudno, kar bi vzbudilo sume, in hkrati onemogoča konkurenco.

Za komunikacijo TDL-4 uporablja javno P2P-omrežje Kad, prek katerega vrši komunikacijo v šifrirani obliki. Šifrirni ključi so imena domen, do katerih so vzpostavljene povezave, in parametri bsh iz datoteke cfg.ini. Hkrati TDL-4 na okuženih računalnikih vzpostavi posredniško funkcionalnost (proxy server), tako da jih lahko skrbniki ali kupci storitev botneta uporabljajo za anonimno brskanje po internetu.

Samo letos je TDL-4 okužil več kot štiri milijone računalnikov. Največ okuženih je v ZDA, sledijo pa Indija, Indonezija, Velika Britanija, Kanada in Francija, na katere skupno odpade več kot polovica vseh instanc TDL-4.

38 komentarjev

denial ::

Obliž, ki preprečuje nekatere oblike infekcije: KLIK

Quick check:
run => diskpart => lis dis
if
   msg "There are no fixed disks to show"
then
   you're infected

Quick remedy:
RC => fixmbr
SELECT finger FROM hand WHERE id=3;

filip007 ::

Najprej so rekli nov install, potem ne, potem prepisat MBR, kar bo samo delno pomagalo, ta zadeva okuži še disk driver. Pomaga samo čistilno orodje od Kaspersky. http://support.kaspersky.com/viruses/so...
Trevor Philips Industries

WhiteAngel ::

Če poradiraš MBR in formatiraš disk, ti nima biti kaj.

technolog ::

Je linux imun?

filip007 ::

Ja že, gor pa vse epizode Top Gear. Sem videl stvar v akciji, nov install pa je bil nazaj v 10 minutah, zelo zoprna zadeva, pa še MBR na USB ključih isto okuži! Priden Kaspersky Tdss killer ;)

Linux je varen, ker ima odprtokodni sistem ne verjamem, da bi kdo prevzel strežnike in uporabnikom poslal slabe popravke, to bi bil potem Skynet.
Trevor Philips Industries

Zgodovina sprememb…

  • spremenil: filip007 ()

mihec87 ::

kaspersky tdss killer mi označi sptd.sys za sumljivega?
Suspicious file (NoAccess): C:\Windows\system32\Drivers\sptd.sys.

blblb ::

v Win7 Home ta datoteka ne obstaja, oz. je ni na tistem mestu kjer tebi Kaspersy najde nekaj sumljivega.

lp, blblb

antonija ::

sptd ti laufa ce imas instalirane Daemon tools (in verjetno tudi kaksen drug SPTD driver). Ce nimas na svojem compu nobenega SWja ki ima tako funkcionalnost, potem zalaufaj se kaksen scan.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

mihec87 ::

antonija thnx to bo ja..

Bananovec ::

Torej če se ti na komp nasadi ta umazanija je po eni strani tudi dobro, saj veš kaj imaš gori in veš, da gor ne more priti nič drugega.
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple

blblb ::

Imam nalozene Daemon Tools Lite in z njimi mount-an nek image vendar tiste datoteke ni v System32/drivers.

edit: hmm zanimivo. Windows search ga najde tam ampak v Total Commanderju ga pa ne vidim. Cudno tole...
Se opravicijem za paniko :>

lp, blblb

Zgodovina sprememb…

  • spremenil: blblb ()

radiculus ::

Daemon Tools uporablja tehnologijo rootkitov, zato ga ne vidiš.

antonija ::

Mene bolj matra firbec zakaj lahko taka nesnaga ucinkovito prepreci drugi nesnagi namestitev na comp, vsi silni AVji pa ne? A je kaksen dogovor da se del AVja ne sme usedet na MBR in ga preverit pred vsemi drugimi kosi SWja?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

radiculus ::

Avast 6 bije bitko z novimi različicami TDL-4. Imajo tudi namensko orodje za odkrivanje in odstranitev tega rootkita aswMBR.

Zgodovina sprememb…

denial ::

@filip007
V bistvu ne okuži nobenega gonilnika, temveč naloži driver, ki hooka specifično funkcijo gonilnika diska. Tukaj.

Dalje, ni mi jasno kako je lahko mašina čez 10 min ponovno okužena? IIRC, ta bootkit ne uporablja nobenega 0-day exploita. Za elevacijo privilegijev je uporabljen arhaični MS10-092 (Task Scheduler bug).

USB ključek lahko infecira le če je bootable (torej ima MBR). Večina ključkov ni bootable by default.

Aja, bootkit zazana celo MRT, ki se naloži vsak Patch Tuesday.

@technolog
Jap, Linux je imun. Sam kakšen dolgčas od sistema, da ne premore niti ene spodobne ZlobneKodeTM. :D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

filip007 ::

No ok potem pa to, v vlavnem je da se da stvar elegantno sanirati z mini orodji pod Safe mode kot je Kaspersky Tdss killer. Kako uporabnik ve da ima ravno ta virus in free verzije ga bodo verjetno spustile v drugo fazo je pa druga zgodba.
Trevor Philips Industries

ank ::

aswMBR povzroči BSOD in reboot na mojih windows 7 64bit. Kaspersky Tdss killer pa pregleda brez problemov.

radiculus ::

O čem ti to? Kakšne free verzije? To ni virus ampak rootkit. Namesti ga uporabnik.
Pa TDK je precej neučinkovit pri odstranjevanju novih različic TDL-4. Velikokrat se zgodi da ostaneš z nebootabilno mašino.

Kako uporabnik ve da ima ravno ta virus

Najprej je treba zadevo diagnosticirat. Uporabnik pa lahko zazna, da je gor ta rootkit predvsem po preusmeritvah v iskalnikih, zaznati je tudi izklope AV-ja, počasno browsanje etc.

@ank: To je eksperimentalno orodje, ki se posodablja včasih tudi po večkrat dnevno. Ni za širšo javnost. Trenutna različica tudi na mojem sistemu povzroči BSOD. Vendar samo, če vklopim tudi AV scan. Z (none) opcijo sacn uspešno presta. GMER se pač igra. Danes je sobota in toliko bolj.

filip007 ::

Bla, bla, bla, free verzije AV. Bodo spedenali TDSS se ni za bati, Rusi obvladajo sceno.
Če se komu skenira, Kasperky in Symantec imata lep zalogaj mini orodij, če ste vsi na Avast, pa še kakšen F-Secure web scanner nebi škodval (Java). http://f-secure.com/en_EMEA-Labs/securi...

Pa Stinger od McAffe http://mcafee.com/us/downloads/free-too...
Trevor Philips Industries

Zgodovina sprememb…

  • spremenil: filip007 ()

radiculus ::

In zakaj je tu pomembno če je free ali pay AV? Pa Rusi prepočasi pedenajo svoj TDK. Niso v taktu z avtorji TDL-ja.

filip007 ::

Free AV so bolj za hobi.
Trevor Philips Industries

radiculus ::

Če ti tko rečeš pa naj bo.

MrStein ::

Hvala za linke.

(hmm, stinger mi po zagonu pravi, da je outdated in naj downloadam novo verzijo)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

brodul ::

@technolog

Na Alureon je imun. Ni pa imun na rootkite.
Pretending to be a mature adult is so exhausting.

Furbo ::

WhiteAngel je izjavil:

Če poradiraš MBR in formatiraš disk, ti nima biti kaj.


Ja, pa če poliješ računalnik z bencinom in ga zakuriš tudi ne?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

ninja4it ::

Linux in MAC OS X, sta imuna na to infekcijo: http://rixstep.com/1/20110629,00.shtml

Lp

5er--> ::

Seveda sta imuna, če pa je stvar namenjena Windows sistemom...
sudo dd if=/dev/zero of=/dev/sda bs=466 count=1

denial ::

Artikel, ki je linkal @ninja4t (KLIK) je bullshit beyond any recognition. Tole je boot/rootkit! Mašina mora biti predhodno ownana. Pwnana je lahko preko a)exploitov ali b)povratnega inžiniringa. V primeru TDL* gre za varijanto b --> Users are tricked into executing malware! Ni ga sistema, in tudi ne varnostnega mehanizma, ki bi lahko to preprečil. Remember CVE-0.
SELECT finger FROM hand WHERE id=3;

Loocas ::

čez pet let bo tega sranja na kupe

MrStein ::

Saj ga je že danes.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Furbo ::

Saj se tudi na tem forumu stalno pojavljajo sumljive povezave. Res pa nikoli nobene ne kliknem, da bi videl, kam vodijo, to prepuščam junakom z linuxi. :D
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

Loocas ::

MrStein je izjavil:

Saj ga je že danes.


bolj v smislu državnega terorizma...

Spock83 ::

Furbo je izjavil:

Saj se tudi na tem forumu stalno pojavljajo sumljive povezave. Res pa nikoli nobene ne kliknem, da bi videl, kam vodijo, to prepuščam junakom z linuxi. :D


Kaj pa virtualizacija? Ali pa naložiš Sandboxie. Tudi novi Avast ima podobno funkcijo itd.

poweroff ::

WhiteAngel je izjavil:

Če poradiraš MBR in formatiraš disk, ti nima biti kaj.

Jaz ne bi bil tako prepričan. ;)
sudo poweroff

Furbo ::

Spock83 je izjavil:

Furbo je izjavil:

Saj se tudi na tem forumu stalno pojavljajo sumljive povezave. Res pa nikoli nobene ne kliknem, da bi videl, kam vodijo, to prepuščam junakom z linuxi. :D


Kaj pa virtualizacija? Ali pa naložiš Sandboxie. Tudi novi Avast ima podobno funkcijo itd.


Da bi se spustil v vse to, da bi kliknil na link, na katerega v bistvu nočem klikniti. Nah.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

Isotropic ::

zanimiva zadeva tale rootkit, sem si malo prebral zadnje case o tem. pa napredna, vsaj v verziji 4 so se kar orenk potrudili, moram reci. kaksno je pa trenutno stanje, so ga ze onemogocili ali je se vedno in the wild?
pa koliko pomnilnika za firmware imajo mrezne kartice recimo? sem bral, da bi se tja dal fajn skrit rootkit, ki bi bil se bolj nevaren in prikrit od teh, ki obstajajo dandanes.

ender ::

Mrežne kartice, ki jih imaš v desktop računalnikih večinoma nimajo uporabnega firmwara (imajo sicer boot rom, samo le-tega ne moreš uporabit). Tisti napad je bil izveden s strežniško mrežno.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Isotropic ::

kaj so pa te persistent hooks, s katerimi naj bi se poskodoval sam OS, ce se rootkit odstrani? lahko to kdo razlozi in laymans' terms?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkrit nov trdovraten botnet TDL-4

Oddelek: Novice / Omrežja / internet
389141 (6098) Isotropic
»

AVG vs Avira vs F-secure

Oddelek: Programska oprema
151437 (1214) Isotropic
»

Botnet TDL-4 prinaša lepe denarje

Oddelek: Novice / Kriptovalute
136917 (5133) RejZoR
»

Najbolj okuženi Windows XP, najmanj Windows 7

Oddelek: Novice / Varnost
348726 (7101) vir

Več podobnih tem