安全研究人员称,一种新改进的能感染400多万台PC的僵尸网络实际上是坚不可摧的。卡巴斯基实验室研究人员Sergey Golovanov在一篇详细的分析报告中称,这个名为“TDL-4”的僵尸网络是目前最高级的威胁。他说,“TDL-4”实际上是坚不可摧的。
其他人同意他的观点。戴尔SecureWorks恶意软件研究经理和国际知名的僵尸网络专家Joe Stewart称,我不会说这个僵尸网络完美得坚不可摧。但是,它确实是坚不可摧的。它非常善于维护自己。
Golovanov和Stewart根据“TDL-4”的各种特征做出了自己的判断。所有这些特征使“TDL-4”具有极为坚固的特点,很难检测、删除、阻止或者完全根除。
Golovanov称,例如,“TDL-4”使用一个rootkit感染一台PC的主启动记录(MBR)。主启动记录是硬盘的第一个扇区(0扇区),在计算机的BIOS进行启动检查之后,代码存储到这个扇区以引导操作系统。
因为“TDL-4”把它的rootkit安装在主启动扇区,操作系统看不到它,更重要的是旨在寻找恶意代码的安全软件也看不到它。
但是,这还不是“TDL-4”的秘密武器。使这个僵尸网络坚不可摧的是结合了两种高级技术:它的高级的加密技术和指挥与控制服务器使用公共的P2P网络向这个恶意软件发布指令。
卡巴斯基实验室高级恶意软件研究人员Roel Schouwenberg在回答后来提出的一些问题的电子邮件中称,为“TDL-4”僵尸网络使用的P2P网络的方法使这个僵尸网络很难从网络上消除。这些TDL人员正在尽最大努力使自己不成为失去自己的僵尸网络的下一个团伙。
Schouwenberg例举了一些引人瞩目的从网络上消灭的僵尸网络的例子,从去年协调一致消灭的僵尸网络Conficker到2100年在美国联邦调查局领导下消灭的僵尸网络Coreflood。这些例子促使黑客开发新的方法保持其劫持的大量的PC。
Schouwenberg称,每一次从网络上消灭一个僵尸网络,僵尸网络下一次就会提高标准。真正专业的网络犯罪分子正在观察和研制自己的僵尸网络,使这些僵尸网络更有弹性以应对接管和拆卸。
卡巴斯基的Golovanov在分析报告中称,“TDL-4”僵尸网络的制作者创建了自己的加密算法。这个僵尸网络使用指挥与控制服务器作为加密密钥。 卡巴斯基称,这个僵尸网络还使用公共的Kad P2P网络作为感染的PC和指挥与控制服务器之间的两个通讯渠道之一。以前,通过P2P沟通的僵尸网络使用他们自己创建的一个封闭的网络。
通过使用一个公共的网络,犯罪分子可保证他们的僵尸网络避开任何消灭行动。Schouwenberg称,这个TDL组织通过P2P网络更新指挥与控制列表能够有效地避开任何要消灭这个指挥与控制服务器的努力。事实是,这个TDL有两个分开的沟通渠道,使任何消灭这个僵尸网络的努力都非常困难。
卡巴斯基预测这个“TDL-4”僵尸网络有大约450万台被感染的计算机。
“TDL-4”的rootkit、加密和沟通做法以及关闭包括知名的Zeus在内的其它恶意软件的能力使这个僵尸网络具有极强的生存能力。Stewart称,TDL是一个生意,其目标是尽可能长时间地存在于PC之上。他指出,这些技术几乎使这个僵尸网络不可能从网络上断开。
Stewart对“TDL-4”僵尸网络拥有数百万台机器并不感到震惊。他说,它的生存能力要归功于它的庞大规模。450万台并不让人感到意外。它也许没有其它僵尸网络的感染率那样高。但是,它的持久存在能力意味着只要它能不断地感染计算机并且发现率很小,他们就将不断地扩大这个僵尸网络。
Stewart指出“TDL-4”对其它恶意软件的反击是它成功的另一个理由。
Stewart称,那是很聪明的。关闭很容易被发现的恶意软件意味着它有更好的机会呆在PC上。如果其它威胁引起可疑的行为,这个机器的拥有者就会进行检查,也许会运行额外的安全扫描或者安装杀毒软件。
“TDL-4”的制作者利用这个僵尸网络在PC上安装额外的恶意软件,把这个恶意软件租赁给其他人用于同样的目的和用于拒绝服务攻击以及用于垃圾邮件和钓鱼活动。卡巴斯基称,“TDL-4”已经向它控制的计算机安装了将近30个不同的恶意软件。
Golovanov称,但是,这个僵尸网络能够随意删除任何恶意软件。“TDL-4”在安装其它恶意软件之后不删除自己。它在任何时候都能够删除它已经下载的恶意软件。
Stewart做结论称,这是一个危险的客户。总之,“TDL-4”是很难删除的。它肯定是最高级的僵尸网络之一。
文/网界网