Ciber-criminosos gastam mais de 250 mil dólares em três meses para fomentar a expansão da Botnet TDSS nos EUA

Ciber-criminosos gastam mais de 250 mil dólares em três meses para fomentar a expansão da Botnet TDSS nos EUA

Programas de software malicioso como o TDSS (um acrónimo usado como referencia à TDL), já detectados pelas soluções de segurança da Kaspersky Lab, são as ferramentas mais avançadas e sofisticadas de que os ciber-criminosos dispõem hoje em dia. Graças à sua potente componente rootkit e a outras capacidades TDL, permitem ao seu autor criar uma rede botnet de milhões de computadores pessoais. Os especialistas da Kaspersky Lab investigaram o comportamento de uma versão do programa malicioso TDL-4, avaliando as suas novas capacidades, que incluem o uso de redes peer-to-peer para controlar computadores infectados e funções para abrir um servidor proxy. A análise ao TDL-4 realizada pelos peritos da Kaspersky Lab Sergey Golovanov e Igor Sumenkov permitiu-lhes determinar as novas capacidades do programa e estimar o número de PCs infectados. As mudanças realizadas no TDL-4 resultaram numa botnet mais difícil de detectar pelas empresas de antivírus, e que, pelo menos em teoria, oferece acesso às máquinas infectadas mesmo quando são encerrados os seus centros de comando.

Em particular, esta versão do TDL-4 conta no seu código com a capacidade de remover aproximadamente 20 dos malwares mais populares, nomeadamente o Gbot, ZeuS e Optima, entre outros. Além disso, o código do TDSS consegue instalar nas máquinas infectadas cerca de 30 novos programas maliciosos, incluindo programas antivírus falsos e sistemas que aumentam o tráfego publicitário ou distribuem spam. Uma das novas características mais importantes do TDL-4 é a sua capacidade de infectar sistemas operativos de 64-bits. Pela primeira vez, para controlar a botnet – além dos servidores de comando – recorre-se á rede pública de intercâmbio de ficheiros Kad. Outra função nova do TDL-4 é a possibilidade de abrir um servidor proxy. Os ciber-criminosos oferecem serviços de acesso anónimo através de computadores, cobrando cerca de 100 dólares por mês pelo serviço.

Tal como nas versões anteriores, o TDL-4 distribui-se principalmente através dos chamados programas de parceria. Os criadores do malware não expandem a rede de computadores infectados pessoalmente, mas pagam a terceiros para que o façam por eles. Dependendo dos termos e condições particulares, os parceiros recebem entre 20 e 200 dólares pela instalação de 1000 programas maliciosos.

Apesar das medidas de protecção existentes nos servidores de controlo desta botnet, os especialistas da Kaspersky Lab conseguiram obter dados gerais sobre o número de computadores infectados. A análise dos dados obtidos mostra que só nos primeiros três meses de 2011, o TDL-4 ajudou a infectar mais de 4,5 milhões de computadores em todo o mundo, a maioria dos quais se encontra nos EUA. Tendo em conta os preços mencionados anteriormente para a distribuição de malware, é possível calcular que o investimento aproximado dos ciber-criminosos na criação da botnet de utilizadores dos Estados Unidos foi de cerca de 250 mil dólares.

“Não temos qualquer dúvida de que o desenvolvimento do TDSS vai continuar,” afirmaram os responsáveis pela investigação. “O malware e as botnets de computadores infectados continuarão a ser uma fonte de problemas desagradáveis para os utilizadores finais e também para os profissionais da segurança informática. O facto de o código TDL-4 apresentar um desenvolvimento activo - um rootkit para sistemas de 64-bit, o malware a antecipar o lançamento de novos sistemas operativos, o uso de exploits do arsenal Stuxnet, o uso de tecnologias p2p e “antivírus” proprietários, entre muitos outros recursos, tornam o programa malicioso TDSS num dos tecnologicamente mais avançados de sempre e mais difíceis de analisar.”

A versão completa deste relatório sobre o TDL-4 (em inglês) está disponível em securelist.com.

Acerca da Kaspersky Lab:

Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para ou ambiente informático móvel. A tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt. Para conhecer as últimas novidades em antivírus, antispyware e outros aspectos e tendências em segurança informática, visite www.securelist.com.

13.07.2011