Neuništiva hakerska bot mreža

Istražitelji Kaspersky Laba tvrde kako je TDL-4 u samo tri mjeseca postojanja, zarazio i uvukao u svoju bot mrežu, više od 4 milijuna računala, te je mreža postala praktički neuništiva.

TDL-4, poznat i pod nazivima Tidserv, TDSS i Alureon, četvrta je inačica Trojanca koji rootkitom inficira Master Boot Record (MBR), odnosno nulti sektor tvrdog diska računala, na kojem se nalazi kod za pokretanje operativnog sustava, nakon što BIOS izvrši početne provjere.

"TDSS skenira registry, tragajući za određenim datotekama, crnim listama s adresama komandnih i kontrolnih centara drugih bot mreža, te sprječava računala da komuniciraju s njima," kažu stručnjaci Kaspersky Laba, "a antivirus praktički pomaže TDSS-u. S jedne strane bori se protiv konkurencije, a s druge štiti TDSS i pridružene mu zlonamjerne programe od neželjenih interakcija do kojih bi moglo doći zahvaljujući drugim malicioznim programima na zaraženom računalu."

Ono što TDL-4 bot mrežu čini veoma moćnom i otežava otkrivanje, brisanje i iskorjenjivanje je kombinacija napredne enkripcije i korištenje javne peer-to-peer (P2P) mreže za instrukcije koje malwareu dolaze od komandnih i kontrolnih servera.

U interesu onih koji upravljaju ovom bot mrežom je sprječavanje da se sa njom desi ono što se desilo mrežama koje su ugašene. Koristeći javnu P2P mrežu, hakeri su TDL bot mrežu praktički učinili imunom na bilo kakve pokušaje gašenja.

"Bilo kakav pokušaj gašenja C&C servera (command and control servers) može biti izbjegnut ažuriranjem liste C&C centara pomoću P2P mreže," kažu iz Kaspersky Laba. "Činjenica da TDL ima dva odvojena kanala za komunikaciju, poprilično će otežati pokušaje gašenja."

TDL-4 se širi preko web stranica koje korisnicima nude pornografske i piratske filmove, ali i preko onih za pohranjivanje video datoteka i slika korisnika, dok za instalaciju koristi poznate rupe u softveru.

Najveći broj zaraženih računala je u SAD-u (28%), potom u Indiji (7%) i Velikoj Britaniji (5%).

Obzirom da saznanje o neuništivoj bot mreži dolazi iz kompanije koja proizvodi ponajbolji antivirusni softver na svijetu, ova vijest djeluje doista zabrinjavajuće.

Možda niste znali

Bot mreža

Bot mreža, ili kako je neki još nazivaju "zombi mreža", pojam je koji označava mrežu zaraženih računala na internetu. Bot mrežu se može daljinski kontrolirati i najčešće se koristi za slanje SPAM pošte ili organiziranje DDoS napada, odnosno zatrpavanje servera web stranica ogromnim količinama podataka koje dovedu do usporavanja rada ili njegovog potpunog (ras)pada. Jedna od svrha bot mreža je i provaljivanje zaštićenih sustava (zaporki, zaštita), korištenjem združene snage svih računala u mreži, što je puno brže i efikasnije nego kad bi hakeri koristili samo svoje računalo, a zbog istog razloga je i puno teže pronaći izvor napada. U bot mrežama se najčešće nalaze kućna PC računala, bez adekvatne firewall i antivirusne zaštite.

Bot ili zombi računalo obično nastaje nakon zaraze virusom koji otvara TCP komunikacijski port preko kojeg se u računalo neovlašteno ubacuje Trojan program, koji se kasnije prema potrebi aktivira za neki od zadataka kao što su slanje SPAM pošte, širenje drugih virusa ili DDoS napad na neku web stranicu ili DNS sustav.

Svoje računalo možete efikasno zaštititi antivirusom, firewalom i većom osobnom kontrolom pristupa svemu što vam prilazi preko interneta, a najčešća mjesta zaraze su stranice i servisi koji omogućavaju download i razmjenu ilegalnih sadržaja, poput glazbe, filmova, igara i komercijalnih programa.

Program koji vam zarazi računalo često je vezan za izvršnu komandu neke datoteke, pa ga instalirate istovremeno kad recimo pokrećete neki film ili pjesmu. Prema analizama Kaspersky laba, mnogo ljudi pokrene neku takvu datoteku (ili dozvoli izvršavanje stvaranjem iznimke), usprkos upozorenju antivirusa ili firewalla. Kako kažu Ameri, "znatiželja je ubila mačku", pa zbog nje i naša računala mogu postati zombiji.