2011年7月3日 星期日

超級殭屍網路:TDSS三個月感染450萬部PC

TDL透過強大的Rootkit藏匿在系統之中,加上其加密通信的特性,讓其難以防禦,尤其作者已經領先其他惡意軟體,開發出64位元的Rootkit。卡巴斯基估計該惡意軟體在三個月內已經感染了450部電腦,其中28%是在美國,印尼及印度各佔7%。
卡巴斯基公布一份研究報告表示,TDSS殭屍網路可能是當今最先進的殭屍網路,其軟體使用多種方式閃避簽署、主動偵測、被動偵測,殭屍網路間的聯繫也採加密式通訊,TDSS含有強大的Rootkit模組,比其他惡意軟體更難以被發現。該惡意軟體才被發現三個月,卻以驚人的速度進駐約450萬部電腦。

該公司指出,TDSS殭屍網路的創造者在2008年首度提出TDL計畫,但直到去年十二月才透過SHIZ的作者開始在網路上銷售TDL-3。卡巴斯基的研究人員懷疑當時TDL的作者已經開發出更先進的TDL-4,根本不怕購買前一版本的競爭對手會對其造成影響。

該份報告指出,目前依照不同地區,每安裝一千份TDL-4的黑市價格為20至200美元,買家可以選擇各種方式取得宿主,但TDL主要透過植入成人網站、檔案分享網站與網路硬碟等途徑散佈。卡巴斯基估計該惡意軟體在三個月內已經感染了450部電腦,其中28%是在美國,印尼及印度各佔7%。

TDL已經對其他惡意軟體產生一定程度的影響,TDL-4在入侵宿主之後,會移除20種惡意軟體,並防止宿主接觸到其他殭屍網路,這個作法一方面可以避免其軟體與其他惡意軟體產生衝突,另一方面則可以排除競爭者的勢力範圍。

以往殭屍網路偏好使用私有的p2p網路進行檔案傳輸與發佈,TDL作者則透過公開的p2p網路協定KAD傳輸加密過的檔案。當TDL感染一部電腦之後,首先指示該部電腦下載並安裝kad.dll模組,然後透過KAD網路取得一個加密檔案ktzerules,裡面包含TDSS的指令列表,指示殭屍網路該進行哪些工作。

TDL透過強大的Rootkit藏匿在系統之中,加上其加密通信的特性,讓其難以防禦,尤其作者已經領先其他惡意軟體,開發出64位元的Rootkit。卡巴斯基研究人員認為該作者參考Stuxnet所使用的漏洞、p2p網路、具有「防毒」功能等各種表現來看,這個殭屍網路可能是目前最精密、先進的一個。該殭屍網路目前透過操縱網路廣告及搜尋排名獲利。(編譯/沈經)