miércoles, 30 de noviembre de 2011

TDL-4: nuevo bot

Según leo en http://www.computerworld.com y en http://www.securelist.com se me ponen los pelos como escarpias… y paso a contaroslo un tanto reducido y algo más comprensible dentro de mis limitaciones.
“Una nueva y mejorada botnet que ha infectado más de cuatro millones de ordenadores personales y que es practicamente indestructible”, dicen los investigadores.
“TDL-4” es el nombre que reciben tanto el troyano como las red de máquinas infectadas (zombies) y que se ha convertido en la amenaza más sofisticada actual según fuentes de Kaspersky Labs.
TDL-4 es prácticamente indestructible, o casi; es extremadamente difícil de detectar, borrar o suprimir, ya que incluso él mismo se encarga de eliminar e impedir que se instalen otras amenazas que pudieran afectarle a él. Sí, has leido bien, se podría interpretar como que ayuda al antivirus, cuando lo único que hace es eliminar competencia.
El TDL-4 infecta el MBR (el sector de arranque del disco duro) con un rootkit, con lo que resulta invisible tanto para el sistema operativo como para el software de seguridad diseñado para buscar código malicioso.
Pero eso no es lo peor.
Lo que hace después es comunicarse a través de la red pública Kad P2P con servidores “command-and-control (C&C servers)” con un algoritmo de encriptado propio en una red cerrada que crean para recibir las “instrucciones” oportunas. Que luego ejecutan sin conocimiento del usuario y sin que haya una clara merma de prestaciones en el equipo o en la navegación por internet.

Así, entre que no notamos nada fuera de lo normal y que el propio TDL-4 “ayuda” al antivirus, no sospechamos ni investigamos ni ejecutamos escaneos adicionales de seguridad en el ordenador zombie. Brillante.
Y la red se alquila a “los malos” y se instala y ejecuta otro malware bien para provocar ataques de DDoS, campañas de spam o phising, o …, habiéndose comprobado, según Kaspersky, la instalación de cerca de 30 programas maliciosos en los PCs controlados. Pero después no se desinstala (TDL-4 a sí mismo) para borrar su rastro, pudiendo desinstalar en cualquier momento el malware que él mismo ha instalado.
Muy difícil de eliminar, es una de las botnets más sofisticadas.
¿A que asusta? A mí, también.
Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)