Alfonso Maruccia

TDSS, la botnet di ferro

Un ricercatore di Kaspersky analizza l'ultima variante del rootkit più "scafato" attualmente in circolazione, mettendo in evidenza i punti forti di quella che definisce una botnet indistruttibile

Roma - Il fenomeno botnet assume connotati e caratteristiche sempre più sofisticati, e attualmente all'apice di questa "sofisticazione" c'è la nuova variante del malware TDSS. Lo sostiene l'esperto di sicurezza Sergey Golovanov, che per Kaspersky analizza la minaccia informatica evidenziandone il livello tecnologico raggiunto e la corrispondente pericolosità senza precedenti.

L'analisi di Golovanov descrive una botnet enorme - 4,5 milioni di PC infetti e "zombificati" - tenuta sotto il più stretto controllo da "TDL-4", la quarta versione di un malware (TDSS appunto) in evoluzione continua e in circolazione sin dal lontano 2008.

TDL-4 contiene una sorta di funzionalità "antivirus" per tenere a bada il codice malevolo di eventuali botnet concorrenti, dice Golovanov, un approccio che aiuta il malware a inibire l'infezione del bot da parte di altri agenti patogeni e che aumenta in maniera sensibile la resistenza del network malevolo.
TDL-4 contiene un bootkit, un componente rootkit a 64-bit, cifra le comunicazioni con i server di comando&controllo remoti, usa persino la rete P2P Kademlia per trasmettere e recepire i comandi nel caso in cui i suddetti server venissero buttati tutti giù, impiega una serie di misure che la rendono praticamente "indistruttibile".

La botnet più pericolosa oggi in circolazione è anche una proficua operazione commerciale, scrive l'esperto Kaspersky: gli affiliati del "programma TDL" possono guadagnare 200 dollari per ogni 1.000 installazioni del malware andate a segno.

Alfonso Maruccia
Notizie collegate
  • SicurezzaRootkit a 64bit e sicurezza MacUn nuovo agente malevolo per Windows installa un (sin qui) inusuale driver a 64bit privo di firma digitale per una campagna di phishing contro istituti bancari brasiliani. La sicurezza è un argomento sempre caldo: anche su Mac
  • AttualitàL'FBI sventra la botnet. Dal di dentroI federali concludono l'operazione all'assalto della botnet Coreflood, ordinando ai PC "zombificati" di disconnettersi dalla rete malevola dopo aver preso il controllo dei server di comando e controllo
12 Commenti alla Notizia TDSS, la botnet di ferro
Ordina
  • - Scritto da: ruppolo
    > Ma come, nemmeno un Mac? Rotola dal ridere
    Non li avete neppure venduti 4.5 milioni di macOcchiolino
    non+autenticato
  • - Scritto da: luppolo
    > - Scritto da: ruppolo
    > > Ma come, nemmeno un Mac? Rotola dal ridere
    > Non li avete neppure venduti 4.5 milioni di macOcchiolino

    Si vendono ogni mese, quella quantità.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Si vendono ogni mese, quella quantità.
    Si finchè non ti svegli e capisci che è solo nei tuoi sogni.
    Darwin
    5126
  • Di più, ogni giorno!!!!!!
    non+autenticato
  • Comunque, Zero Mac infetti.
    non+autenticato
  • - Scritto da: ruppolo
    > Ma come, nemmeno un Mac? Rotola dal ridere

    Forse perché dei Mac non frega niente a nessuno. Mica crederai davvero che siano impermeabili ai rootkit ?
    non+autenticato
  • 4,5 milioni di utonti, voi macachi non ci raggiungerete mai Fan Windows
    non+autenticato
  • - Scritto da: luppolo
    > 4,5 milioni di utonti, voi macachi non ci
    > raggiungerete mai
    > Fan Windows

    Sigh! Sob! In lacrimeIn lacrimeIn lacrime
    ruppolo
    33147
  • - Scritto da: luppolo
    > 4,5 milioni di utonti, voi macachi non ci
    > raggiungerete mai
    > Fan Windows


    su circa quasi 2 miliardi di computer nel mondo con Windows 4 milioni sono uno 0,2%

    saranno i tonti piu' tonti home user che si sono installati il Rootkit che fa da dropper sul computer dopo aver lanciato il solito setup.exe corrotto/modificato di qualche programma crakkato scaricato dal p2pRotola dal ridere

    classico social engineering da sfruttare grazie alla fonte inaffidabile al 100% quale e' il File sharing per chi scarica solo programmi piratati
    -----------------------------------------------------------
    Modificato dall' autore il 01 luglio 2011 15.12
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: luppolo
    > > 4,5 milioni di utonti, voi macachi non ci
    > > raggiungerete mai
    > > Fan Windows
    >
    >
    > su circa quasi 2 miliardi di computer nel mondo
    > con Windows 4 milioni sono uno 0,2%
    >
    >
    > saranno i tonti piu' tonti home user che si sono
    > installati il Rootkit che fa da dropper

    "Il rootkit che fa da dropper"... ROTFL... ma se non conosci neanche i vocaboli cosa parli a fare? Il dropper e' il programma che installa i malware, non viceversa... Rotola dal ridere

    > sul
    > computer dopo aver lanciato il solito setup.exe
    > corrotto/modificato

    "Corrotto"... Rotola dal ridere

    > di qualche programma
    > crakkato scaricato dal
    > p2pRotola dal ridere

    Peccato che TDSS sia installato anche tramite exploit. Riprova, sarai piu' fortunato.
  • - Scritto da: Lucio, addome cianciugliante
    > - Scritto da: Fiber
    > > - Scritto da: luppolo
    > > > 4,5 milioni di utonti, voi macachi non ci
    > > > raggiungerete mai
    > > > Fan Windows
    > >
    > >
    > > su circa quasi 2 miliardi di computer nel mondo
    > > con Windows 4 milioni sono uno 0,2%
    > >
    > >
    > > saranno i tonti piu' tonti home user che si sono
    > > installati il Rootkit che fa da dropper
    >
    > "Il rootkit che fa da dropper"... ROTFL... ma se
    > non conosci neanche i vocaboli cosa parli a fare?
    > Il dropper e' il programma che installa i
    > malware, non viceversa...
    > Rotola dal ridere
    >
    > > sul
    > > computer dopo aver lanciato il solito
    > setup.exe
    > > corrotto/modificato
    >
    > "Corrotto"... Rotola dal ridere
    >
    > > di qualche programma
    > > crakkato scaricato dal
    > > p2pRotola dal ridere
    >
    > Peccato che TDSS sia installato anche tramite
    > exploit. Riprova, sarai piu'
    > fortunato.


    Il rootkit malevolo difatti scarica ed installa il malware.. uno pulisce il computer dal malware ed il programma rootkit lo riscarica ed installa..si camuffa proprio per questo facendo da dropper che non si riesce a togliere dal sistema essendo proprio per questo un software che sfrutta la tecnologia RootKit

    studia

    si si ..installer corrotto dall'originale crack = modificato con malware nel setup.exe messo appositamente dal cyber-criminale sfruttando il social engineering = far credere

    ristudia


    aspetto la tua fonte che evinca che il rootkit si installa sfruttando un exploit.. quindi aspetto che tu mi dica su quale vulnerabilita' del browser o di un plug-in del browser ad oggi ancora Not Patchet = non patchata con tanto di link a Secunia

    ed anche qua so che mi faccio grandi risate con gli incompetenti totali come te

    prima di scrivere dovresti solo farti 4 basi elementari di cultura nel settore.. poi e solo poi penso che potresti aprir la bocca o meglio far andar le dita su quella tastiera che ti hanno messo davantiCon la lingua fuori
    -----------------------------------------------------------
    Modificato dall' autore il 05 luglio 2011 09.38
    -----------------------------------------------------------
    Fiber
    3605