返回新闻列表

网络罪犯在美国推广TDSS僵尸网络 三个月花费25万美元

        像TDSS(又名TDL)这样的恶意程序,在当今的网络犯罪领域,属于最为先进和完美的犯罪工具。以TDSS为例,这类恶意软件都采用了非常复杂的手段对用户系统进行感染,并且能够隐藏自身踪迹,远程控制受感染计算机并为安装其他恶意程序做准备。TDL恶意程序功能非常强大和多样,使得其作者可以利用该程序创建包含数百万台被感染计算机组成的僵尸网络。

        卡巴斯基实验室的安全专家对最新版的TDL-4恶意程序进行了分析,评估了其最新功能,包括利用点对点网络(p2p)控制受感染计算机以及开启代理服务器的功能。针对TDL-4的分析由卡巴斯基实验室的Sergey Golovanov和Igor Sumenkov进行。通过分析,可以了解该恶意程序的最新功能,估算其所感染的计算机数量。TDL-4最新的功能变化目的主要是创建能够躲避其他竞争者和反病毒厂商监测的僵尸网络。理论上,即使所有的僵尸网络控制中心被关闭,网络罪犯仍然能够访问被新版TDL-4所感染的计算机。

        尤其值得注意的是,新版的TDL-4能够删除计算机上大约20种常见的同其本身具有竞争关系的恶意程序,包括Gbot、ZeuS、Optima等。此外,TDSS除了安装自身到系统外,还会在计算机上安装大约30种程序,其中包括假冒的反病毒程序以及用户提升广告流量和传播垃圾邮件的系统。此外,TDL-4最显著的新增功能是增加了对64位系统进行感染的可能性。为了控制僵尸网络,除了采用命令控制中心服务器外,还首次采用了Kad公共文件交换网络。TDL-4的另一个新功能是有可能开启代理服务器。网络罪犯可以利用已感染计算机提供匿名访问服务,此类服务通常收费标准为100美元/月。

        同之前版本不同,最新版TDL-4主要通过所谓的合作伙伴项目进行推广和传播。该恶意软件的编写者并不会自己推广僵尸网络,而是通过第三方合作伙伴进行推广。根据特定的条款,合作伙伴每安装1000例恶意程序,可以得到20—200美元的报酬不等。

        尽管TDL-4的控制服务器采取了保护措施,卡巴斯基实验室的安全专家仍然获取到关于被感染计算机数量的一些数据。通过对数据进行分析,发现仅在2011年前三个月,TDL-4就感染了全球超过450万台计算机,其中很大一部分计算机都位于美国。参照上述的恶意软件传播费用,可以估计网络罪犯创建这一僵尸网络的花费为大概250 000美元左右。“毫无疑问,TDSS开发者仍然会利用该恶意软件继续感染计算机,”对其进行研究的专家表示,“恶意软件和僵尸网络不仅给终端用户带来损失和不快,同时也给IT安全人员带来难题。TDL-4的代码进行了重新编写,具有64位系统rootkit功能,能够启动新的操作系统,能够利用Stuxnet的漏洞以及P2P技术,还能够冒充反病毒程序以及更多其他功能,所有的这一切,都使得这款最新的TDSS成为目前采用技术最先进,同时也是最难分析的恶意程序之一。”

        欲浏览关于TDL-4分析的的全文,请访问:securelist.com.