El BOTNET TDL-4 , casi indestructible

“TDL-4” es el nombre del bot troyano que ha infectado más de 4,5 millones de ordenadores. “Hoy en día es la amenaza más sofisticada”, mencionó el investigador de Kaspersky Labs, Sergey Golovanov. “Yo no diría que es indestructible, pero es casi indestructible”, opina Joe Stewart, director de investigación de malware en SecureWorks Dell y un experto botnet de renombre internacional.

Ver mas información al respecto, en inglés original, en : http://www.computerworld.com/s/article/9218034/Massive_botnet_indestructible_say_researchers

Traducción automática con el traductor de Google:

“Indestructible”, dicen los investigadores de este botnet masivo.4,5 millones de “botnet dura”, la más sofisticada de las amenazas de hoy para las PC de WindowsUna nueva botnet “mejorada” que ha infectado a más de cuatro millones de ordenadores es “prácticamente indestructible”, segun los investigadores en seguridad.”TDL-4″, es el nombre que se ha dado para ambos, el troyano bot que infecta las máquinas y el subsiguiente acopio de ordenadores comprometidos, es “la amenaza más sofisticada de hoy”, dijo el investigador de los Laboratorios Kaspersky Sergey Golovanov en un análisis detallado del lunes.” es prácticamente indestructible”, dijo Golovanov.

Otros están de acuerdo.

“Yo no diría que es perfectamente indestructible, pero casi lo es”, dijo Joe Stewart, director de investigación de malware en SecureWorks Dell y un experto de renombre internacional, en botnets, en una entrevista. “Logra hacer muy buen trabajo para mantenimiento de sí mismo.”

Golovanov y Stewart basan sus juicios en una variedad de rasgos del TDL-4, los cuales lo hacen un engendro extremadamente difícil de detectar, eliminar, suprimir o erradicar.

Por un lado, dijo Golovanov, TDL-4 infecta el MBR o Master Boot Record, de la PC con un rootkit – malware que se esconde a la vista del sistema operativo. El registro de inicio maestro es el primer sector – el sector 1, cara 0, cilindro 0 – de la unidad de disco duro, donde se almacena el código para arrancar el sistema operativo después de que la BIOS del ordenador lanza los controles de puesta en marcha.

Dado que el TDL-4 se instala en su rootkit MBR, con técnicas Stealth quedando invisible para el sistema operativo y sobre todo, para el software de seguridad diseñado para rastrear los códigos maliciosos.

Pero eso no es el arma secreta del TDL-4

Lo que hace que la botnet sea indestructible es la combinación de la encriptación avanzada y el uso de un peer-to-peer (P2P) público para las instrucciones dadas a los malwares de comando y control (C & C) de los servidores.

“La forma en que se utiliza peer-to-peer para TDL-4 hace muy difícil acabar con esta botnet”, dijo Roel Schouwenberg, investigador senior de malwares de Kaspersky, en una respuesta por correo electrónico del martes a las preguntas de seguimiento. “Los investigadores del TDL-4 hacen todo lo posible para no convertirse en zombies ni perder su botnet”.

Schouwenberg citó varios botnets de perfil alto que han sido dados de baja – gracias a un esfuerzo coordinado que paralizó el Conficker el año pasado para este 2011, encabezado por el FBI, así como la motivación de los hackers para desarrollar nuevas formas para mantener a sus ejércitos de PCs secuestrados en una red de Botnets.

“Cada vez que cae una red de bots, sube el listón para la próxima vez”, señaló Schouwenberg. “Los criminales cibernéticos están trabajando profesionalmente en sus botnets para hacerlos más resistentes contra detecciones y eliminaciones”.

Los creadores del TDL-4 crearon su propio algoritmo de cifrado, Golovanov Kaspersky dijo que en su análisis, la botnet utiliza los nombres de dominio de los servidores de C & C, como las claves de cifrado.

El botnet también utiliza la red pública de Kad P2P para uno de sus dos canales para la comunicación entre ordenadores infectados y los servidores de C & C, dijo Kaspersky. Anteriormente, los botnets que se comunicaban a través de P2P, utilizaban una red cerrada que habían creado para ello.

ms.