Uma nova e melhorada botnet (rede de micros zumbis) gigante que infectou mais de 4,5 milhões de computadores é “praticamente indestrutível”, de acordo com pesquisadores de segurança.
O “TDL-4”, nome do bot Trojan que infecta as máquinas e do conjunto resultante de computadores comprometidos, é “a ameaça mais sofisticada da atualidade”, diz o pesquisador da empresa de segurança Kaspersky Labs, Sergey Golovanov, em uma análise detalhada publicada no início da semana.
##RECOMENDA##
E ele não é o único a pensar dessa forma.
“Eu não diria que ela é perfeitamente indestrutível, mas é praticamente indestrutível”, afirma o especialista e diretor de pesquisas da Dell SecureWorks, Joe Stewart. “Ela faz um ótimo trabalho em manter-se de pé.”
Golovanov e Stewart basearam seus julgamentos em uma variedade de características do TDL-4, as quais o tornam um caractere extremamente difícil de ser detectado, apagado, suprimido ou erradicado.
Por uma coisa, disse Golovanov, o TDL-4 infecta o MBR (Master Boot Record) do computador com um rootkit – malware que se esconde ao subverter o sistema operacional. O MBR é o primeiro setor – setor 0 – do disco rígido, onde o código é armazenado para o sistema após a BIOS da máquina realizar suas verificações iniciais.
Como o TDL-4 instala seu rootkit no MBR, ele é invisível para o sistema operacional e, mais importante, para programas de segurança desenvolvidos para encontrar códigos maliciosos.
Mas essa não é a arma secreta do TDL-4.
O que torna a botnet indestrutível é a combinação de criptografia avançada e o uso de uma rede pública peer-to-peer (P2P) para as instruções emitidas para o malware pelos servidores command-and-control (C&C).
“A maneira como o peer-to-peer é usado para o TDL-4 vai fazer com que seja extremamente difícil derrotar essa botnet”, afirma o pesquisador sênior de malware da Kaspersky, Roel Schowenberg. “Os caras do TDL estão fazendo o seu máximo para não serem a próxima gangue a perdeu sua botnet.”
Schowenberg também citou vários casos de captura de botnets grandes – que variam de esforço coordenado que acabou com a Conficker em 2010 até o take-down da Coreflood liderado pelo FBI neste ano – como a motivação para hackers desenvolverem novas maneiras de manter em campo seus exércitos de computadores sequestrados.
“Toda vez que uma botnet é derrubada aumenta o nível de exigência para a próxima vez”, diz Schowenberg. “Os cibercriminosos realmente profissionais estão assistindo e trabalhando em suas botnets para torná-las mais resistentes contra essas tentativas de derrubá-las.”
Os responsáveis pelo TDL-4 criaram seu próprio algoritmo de criptografia, explica Golovanov, e a botnet usa os nomes de domínio dos servidores C&C como as chaves da criptografia.
A botnet também usa a rede pública PSP Kad para um de seus dois canais para se comunicação entre os PCs infectados e os servidores C&C, afirma a Kaspersky. Anteriormente, as botnets que se comunicavam via PSP usavam uma rede fechada que haviam criado. Ao usar uma rede pública, os criminosos asseguram que sua botnet vai sobreviver a qualquer esforço para derrubá-la.
Stewart apontou que os contra-ataques do TDL-4 contra outros malware como outra razão para seu sucesso. “Isso é tão esperto”, diz, completando que desabilitar malwares concorrentes – que provavelmente são muito mais fáceis de detectar – significa que ele tem uma chance maior de continuar no computador.
Os criadores do TDL-4 usam a botnet para plantar malware adicional nas máquinas, alugá-lo para outros para esse propósito e distribuição de ataques denial-of-service (DDoS), e para conduzir campanahs de phishing e spam. Segundo a Kaspersky, o TDL-4 instalou cerca de 30 tipos diferentes de programas maliciosos nos PCs que controla.
Mas ele consegue remover todos a qualquer momento. “O TDL-4 não deleta a si próprio após a instalação de outro malware”, diz Golovanov. “A qualquer momento ele pode apagar malware que tiver baixado.”
Esse é um consumidor perigoso, conclui Stewart.
“Para todos os propósitos, o TDL-4 é muito difícil de ser removido”, diz. “É definitivamente uma das botnets mais sofisticadas existentes.”