TDSS, la botnet di ferro

Un ricercatore di Kaspersky analizza l'ultima variante del rootkit più "scafato" attualmente in circolazione, mettendo in evidenza i punti forti di quella che definisce una botnet indistruttibile

Roma – Il fenomeno botnet assume connotati e caratteristiche sempre più sofisticati, e attualmente all’apice di questa “sofisticazione” c’è la nuova variante del malware TDSS . Lo sostiene l’esperto di sicurezza Sergey Golovanov, che per Kaspersky analizza la minaccia informatica evidenziandone il livello tecnologico raggiunto e la corrispondente pericolosità senza precedenti.

L’analisi di Golovanov descrive una botnet enorme – 4,5 milioni di PC infetti e “zombificati” – tenuta sotto il più stretto controllo da “TDL-4”, la quarta versione di un malware (TDSS appunto) in evoluzione continua e in circolazione sin dal lontano 2008.

TDL-4 contiene una sorta di funzionalità “antivirus” per tenere a bada il codice malevolo di eventuali botnet concorrenti , dice Golovanov, un approccio che aiuta il malware a inibire l’infezione del bot da parte di altri agenti patogeni e che aumenta in maniera sensibile la resistenza del network malevolo.

TDL-4 contiene un bootkit , un componente rootkit a 64-bit, cifra le comunicazioni con i server di comando&controllo remoti, usa persino la rete P2P Kademlia per trasmettere e recepire i comandi nel caso in cui i suddetti server venissero buttati tutti giù, impiega una serie di misure che la rendono praticamente “indistruttibile”.

La botnet più pericolosa oggi in circolazione è anche una proficua operazione commerciale, scrive l’esperto Kaspersky: gli affiliati del “programma TDL” possono guadagnare 200 dollari per ogni 1.000 installazioni del malware andate a segno.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti