Botnet TDL-4 prinaša lepe denarje

Matej Huš

7. sep 2011 ob 16:45:49

Pisali smo že o trdovratnem in pretkanem botnetu TDL-4 (TDSS, Alureon), ki se pritaji na okuženem računalniku in prek omrežja Kad v šifrirani obliki komunicira s piscem, hkrati pa briše tudi ostalo nesnago z računalnika, s čimer si zagotovi monopol. Zanimivo je, da je mogoče TDL-4 enostavno najeti, pri čemer so šli njegovi pisci še dlje in izdelali celo enostaven vtičnik za Firefox za uporabo botneta. Najem je eden izmed načinov, kako TDL-4 prinaša denar svojim avtorjem.

TDL-4 lahko najamemo za anonimno brskanje po spletu, saj prek vtičnika za Firefox promet preusmeri prek okuženih računalnikov, tako da ni mogoče odkriti pravega vira in ponora. Vsak okužen računalnik ima nameščeno knjižico socks.dll, ki omrežje takoj obvesti, da je na voljo nov računalnik za najem. Najem stane okrog 100 dolarjev mesečno. Stran, kjer se prekupčevanje izvaja, sploh ni skrita - awmproxy.net. Postavimo to številko v perspektivo. Običajni posredniški strežniki (proxy server) stanejo od treh dolarjev dnevno do 25 dolarjev mesečno za uporabo, medtem ko posebni anonimizirajoči stanejo od 65 do 500 dolarjev mesečno. TDL-4 je tu več kot konkurenčen, še zlasti če upoštevamo, da lahko za 160 dolarjev na teden najamemo 100 okuženih računalnikov v celoti. Na strani awmproxy.net trenutno oglašujejo 24.000 paketov, ki so nared za najem, a številka se vseskozi spreminja, saj niso vsi okuženi računalniki ves čas vključeni.

Drugi način, kako pisci TDL-4 služijo, je izraba okuženih računalnikov za rudarjenje bitcoinov, zlorabo sistemov za prikazovanje oglasov in klikanje nanje. Statistike kažejo, da je TDL-4 trenutno z naskokom največji botnet.