كشف يک botnet بسيار قدرتمند

شماره: IRCNE2011071163
تاريخ: 11/4/90

محققان شركت امنيتي Kaspersky Lab فاش كرده اند كه به نظر مي­رسد كه ميليون­ها كامپيوتر در سراسر جهان توسط يك ابربدافزار خطرناك به نام TDSS كه بخشي از يك كمپين براي ساخت يك botnet جديد است آلوده شده اند.
بدافزارها و botnet ها مي­آيند و مي­روند، ولي TDSS متفاوت با ديگران است. اين بدافزار كه TDL نيز ناميده شده و گاهي نيز با نام جزء rootkit خود يعني Alureon شناخته مي­شود، نخستين بار بيش از سه سال پيش كشف شد. اين بدافزار رشد كرده و به يك سلسله بدافزار با اشكال گوناگون تبديل شده است كه هر روز پيچيده تر و خطرناكتر مي­شود.
در هفته هاي اخير محققان Kaspersky Lab قادر بوده اند به سه سرور دستور و كنترل مبتني بر SQL كه براي كنترل فعاليت­هاي نسخه اخير اين بدافزار يعني TDL-4 مورد استفاده قرار مي­گرفتند نفوذ نمايند. در اين سرورها 4.5 ميليون آدرس IP متعلق به كامپيوترهايي كشف شده اند كه فقط در سال 2011 توسط اين بدافزار آلوده شده اند. تقريبا حدود 1.5 ميليون از اين آدرس­هاي IP متعلق به ايالات متحده هستند. اگر اين سيستم­هاي آلوده فعال گردند، مي­توانند يكي از بزرگترين botnet هاي دنيا را بسازند.
به گفته محققان، بدافزار TDL-4 همچنين قابليت­هاي فني و اقتصادي را به فهرست ويژگي­هاي خود اضافه كرده است كه برخي از آنها خارج از ويژگي­هاي معمول botnet ها است.
اين بدافزار طوري طراحي شده است كه ركورد بوت يك كامپيوتر را آلوده مي­سازد تا TDL پيش از ساير برنامه ها بارگذاري گردد. سپس سعي مي­كند بدافزارهاي رقيب را از روي سيستم آلوده حذف كند و به همين منظور به دنبال 20 نوع بدافزار مختلف از جمله Gbot، زئوس و Optima مي­گردد. اين كار باعث مي­شود كه از تداخل ساير برنامه ها با كار اين بدافزار جلوگيري گردد و به فعاليت­هاي اقتصادي آنان نيز ضربه وارد شود.
شايد هوشمندانه ترين نوآوري در TDSS، نوآوري­هاي اقتصادي آن باشد كه به سازندگان آن كمك مي­كند آن را به شكل يك botnet به عنوان يك سرويس (botnet-as-a-service) به فروش برسانند.
يك محقق Kaspersky كه آخرين تحليل­هاي TDSS را انجام داده است اظهار داشت كه محققان اين شركت اطمينان دارند كه توسعه TDSS ادامه خواهد يافت. به گفته وي، كار مداوم بر روي كد TDL-4، rootkit هاي سيستم­هاي 64 بيتي و استفاده از فن آوري­هاي P2P، اين برنامه خرابكار را به يكي پيشرفته ترين و پيچيده ترين بدافزارها براي تحليل تبديل كرده است.
سوال مهم اين است كه چرا نويسندگان TDSS/TDL-4 هزينه زيادي را صرف پيچيده سازي اين بدافزار كرده اند، در حاليكه ساير بدفزارها كار خود را بدون داشتن اين پيچيدگي انجام مي­دهند. نكته جالب نيز نسخه 64 بيتي Alureon است كه با اينكه نسخه 64 بيتي سيستم عامل بايد در مقابل حملات مقاومتر باشد، اما مايكروسافت در ماه مي ادعا كرد كه آن را از روي صدها هزار سيستم پاك كرده است.
پاسخ اينجاست كه سازندگان TDSS مي­خواهند در كار خود پيشگام باشند. اگرچه ويندوز كاربران 64 بيتي كمتري دارد و حمله به اين سيستم عامل ممكن است سخت تر باشد، اما اين كار نتيجه بيشتري نيز خواهد داشت، چرا كه باعث مي­شود اين خرابكاران نه تنها جلوتر از رقيبان خود، بلكه جلوتر از توليد كنندگان نرم افزارهاي امنيتي نيز قرار بگيرند.