Rohamosan fejlődik a leghíresebb rootkit

A TDL rootkit, illetve annak legújabb verziója, a TDL4 továbbra is komoly nehézségeket okoz a vírusvédelem szempontjából. A kártékony program ugyanis folyamatosan egyre kifinomultabb funkciókkal és összetevőkkel bővül, amelyek jelentősen komplexebbé teszik a károkozó elleni védekezést. "Az ESET kutatói régóta figyelemmel kísérik a TDL4 botnetet, és megállapították, hogy a rootkit most egy jelentős fejlődésen esett át" - nyilatkozta David Harley, a biztonsági cég kutatási igazgatója.

Az eddig elemzések szerint a TDL4 számos komponensét újraírták a készítői. Így jelentősen megújultak a rootkithez tartozó kernelmódú driverek és a felhasználói módban futó összetevői is. Harley úgy véli, hogy a mostani fejlesztés két tényezőre vezethető vissza. Egyrészt elképzelhető, hogy a TDL fejlesztőcsapata jelentősen átalakult, de az is könnyen lehet, hogy a TDL-lel kapcsolatos üzleti modellen változtatott a kiberbűnözés.

A TDL4 sok szempontból fejlettebbnek tekinthető, mint más, széles körben jelen lévő rootkitek. Kompatibilis a Windows 64 bites verzióival, és kihasználja a Kad P2P hálózatban rejlő lehetőségeket. Emellett pedig képes az MBR (Master Boot Record) megfertőzésére, és ezáltal már az operációs rendszer betöltődése előtt aktivizálódik. Más MBR-alapú rootkitektől eltérően azonban egy saját partíciót is létrehoz a fertőzött merevlemezen, amelynek esetében egy saját fájlrendszert használ. Ennek segítségével pontosan képes követni az állományaiban bekövetkező változásokat. Az integritásvizsgálatokhoz CRC32 ellenőrző összegeket használni. Amennyiben egy fájl sérülését észleli, akkor azt vagy helyreállítja, vagy eltávolítja a rendszerből.

Nehéz tartani a lépést

A TDL4 nagyon gyakran változik, és ezáltal az antivírus cégektől gyors reagálást követel meg. Áprilisban például a Microsoft kiadott egy olyan frissítést a Windows Update szolgáltatásán keresztül, amely képes volt a TDL4 akkori variánsainak felismerésére, eltávolítására. Két héttel később viszont már megjelent a rootkit azon verziója, amely megkerülte a Microsoft védelmét. Az ESET szerint a TDL olyan jó minőségű kódra és kifinomult technikákra épül, amelyek professzionális szoftverfejlesztők közreműködését is feltételezik.

Arra vonatkozó pontos kimutatások nincsenek, hogy a TDL rootkit különféle verziói hány számítógépen lapulhatnak. A Kaspersky júliusban közzétett becslése szerint legalább 4,5 millió rendszert fertőzhetett meg a TDL 4-es verziója, és járult hozzá jelentős botnetek kialakulásához.

A biztonsági szakértők a TDL és a hasonló kártékony kódok elleni védekezéshez a naprakészen tartott víruskeresők használatát javasolják. Emellett kiemelik, hogy a biztonsági cégek általában olyan különálló segédeszközöket is letölthetővé tettek a TDL eltávolításának megkönnyítése érdekében, amelyeket szükség esetén szintén célszerű munkára fogni.