Um universo de milhões de PC foi infectado discretamente pelo rootkit TDSS, o qual tem gerado novo malware desde que foi detectado há três anos. Só em 2011 terão sido infectados 1,5 milhões nos Estados Unidos.
Milhões de PC pelo mundo fora terão sido discretamente infectados pelo rootkit TDSS, como parte de uma iniciativa para construir uma nova “botnet“ gigante, revelaram investigadores da Kaspersky Lab. Vários exemplos de malware e botnets emergem e desaparecem, mas o TDSS é diferente, segundo os mesmos. Detectado pela primeira vez há mais de três anos, o TDSS (também conhecido como “TDL” e às vezes pelo nome do seu componente de rootkit, Alureon), tornou-se um malware multi-facetado gerando elementos nocivos cada vez mais complexos e perigosos, conforme evoluiu.
Nas últimas semanas, os investigadores da Kaspersky Lab foram capazes de penetrar em três servidores de comando e controlo baseados em SQL usados para controlar as actividades da mais recente versão do malware, o TDL-4. Descobriram os endereços IP de 4,5 milhões de PC infectados pelo malware em 2011. Quase 1,5 milhões deles eram dos Estados Unidos.
Se activado o conjunto de computadores infectados poderia torná-lo uma das maiores “botnets” do mundo. Só a parte referente aos Estados Unidos valerá perto de 250 mil euros, no mercado negro. O malware TDL-4 também adquiriu capacidades técnicas e económicas, incluindo algumas, fora do comum para as “botnets”, segundo os investigadores.
Fazendo uso do design do seu kit de arranque – capaz de infectar o registo principal da inicialização de um PC para permitir que se inicie antes de outros programas – o TDL-4 tenta limpar malware rival a partir de um PC infectado, procurando detectar até 20 tipos de malwares (incluindo o Gbot, o Zeus e o Óptima). Isso impede os outros programas de interferirem nas suas actividades, inclusive as comerciais.
Os investigadores descobriram no rootkit um componente – kad.dll –, capaz de permitir aos TDSS/TDL-4 um canal de comando e controlo elaborado para dirigir as acções de PC infectados. O dispositivo utiliza a rede P2P Kad mesmo que o canal encriptado principal tenha sido desligado por elementos rivais ou empresas de segurança.
Talvez o mais intrigante de tudo sejam as inovações económicas mostradas pelos criadores do TDSS, as quais ajudam a vender a utilização da botnet, num modelo de serviço, ou seja como se tratasse de uma botnet as a service.
Uma delas é a capacidade de transformar os PC infectados em “proxies” anónimos, os quais estariam a ser vendidos por cem dólares ao mês, de acordo com a Kaspersky. Descobriram ainda uma adição de software para usar com o Firefox, concebida para facilitar a alternância entre proxies diferentes, usando o browser.
TDSS deverá manter evolução
“Não tenho dúvidas de que o TDSS vai continuar a evoluir”, disse o investigador da Kaspersky, Sergey Golovanov, o qual fez a última análise do TDSS. “Reformulações activas do código do TDL-4, rootkits para sistemas de 64 bits, a utilização de tecnologias P2P, de anti-vírus com tecnologias proprietárias e muito mais fazem do TDSS um programa malicioso dos mais evoluídos tecnologicamente e mais difíceis de analisar.”
A grande questão é saber a razão pela qual o TDSS/TDL-4 tem investido tanto esforço em complexidade, quando outros tipos de malware funcionam de forma adequada sem ela. Talvez a sua inovação mais infame seja a versão de 64 bits do Alureon, a qual a Microsoft alega ter eliminado no mês de Maio em centenas de milhares de sistemas, apesar das versões dos sistemas operativos do Windows serem mais difíceis de atacar.
A resposta terá a ver com o facto de os criadores do TDSS serem pioneiros nas suas perspectivas. Os Windows de 64 bits podem ter menos utilizadores e mesmo o sistema operativo constituirá um desafio. Mas conseguir suplantar o desafio oferece recompensas maiores, porque batem não só os rivais, como também as defesas de software.
“Os cibercriminosos estão a tentar preparar-se para o futuro”, disse outro investigador da Kaspersky, Ram Herkanaidu. “Eles percebem que uma grande quantidade de sistemas está migrar para arquitecturas de 64 bits”, diz.
O especialista em TDSS, pensa que o TDL-4 está nas mãos de uma única entidade criminosa baseada no Leste Europeu, a qual já terá vendido a iniciativa TDL-3, mais velha e menos avançada a outra empresa criminosa, com sede na mesma geografia.