Por Lucian Constantin
Publicada em 21 de outubro de 2011 às 16h52
De acordo com analistas de empresa de segurança, o TDL4 está sendo reescrito para ficar praticamente invisível aos programas antivírus.
Especialistas de segurança da empresa ESET disseram que o TDL4, um dos malwares mais sofisticados do mundo, está sendo reescrito e melhorado para ter mais resistência contra programas antivírus.
"Os pesquisadores têm seguido a botnet (rede de micros zumbis) TDL4 há tempos e, agora, temos notado uma nova fase na sua evolução", disse David Harley, diretor da empresa de inteligência de malware.
Leia também:Pesquisadores descobrem maior rede de micros zumbis no mundo
"Com base na análise de seus componentes, podemos dizer que alguns foram reescritos do zero", observou.
Harley e seus colegas acreditam que isso sugere uma mudança importante dentro da equipe de desenvolvimento do TDL4, ou a transição de seu modelo de negócios para um kit de software malicioso que pode ser licenciado para outros cibercriminosos.
O TDL, também conhecido como TDSS, é uma família de rootkits caracterizada por técnicas de evasão complexas e inovadoras. Em julho, analistas de malware da Kaspersky Lab disseram que a TDL versão 4 é a ameaça mais sofisticada do mundo, e estima-se que o número de computadores infectados com ela ultrapasse 4,5 milhões.
Desenvolvimento profissional
Há muitas coisas que fazem TDL4 se destacar da multidão de rootkits que atualmente assola a Internet. Sua capacidade de infectar sistemas Windows 64-bit, o uso da rede P2P pública Kad para receber comandos e seu componente Master Boot Record (MBR), que dificulta muito sua remoção, são apenas alguns deles.
No entanto, de acordo com pesquisadores da ESET, as mudanças estão sendo na maneira como o TDL4 infecta sistemas e assegura o domínio sobre eles. Em vez de armazenar os componentes dentro da MBR (setor de inicialização), as novas variantes criam uma partição oculta no final do disco rígido e a definem como ativa.
Isso garante que o código malicioso ali armazenado, incluindo um gerenciador de inicialização especial, é executado antes do sistema operacional real, e que o código MBR verificados por programas antivírus permanece intocado.
Os autores do TDL4 também desenvolveram um sistema de arquivos avançado para a partição fantasma, que permite que o rootkit verifique a integridade dos componentes.
Em abril, a Microsoft lançou uma atualização do Windows para barra o TDL4. Os autores do rootkit responderam um mês mais tarde, com um update que burlou essa medida da MS.
Este tipo de determinação para manter o malware sugere que o retorno sobre o investimento é significativo. A qualidade do código e as técnicas sofisticadas são certamente indicativas de desenvolvimento de software profissional.
Para o usuário comum, o jeito é se precaver. Os experts indicam a instalação de um bom programa antivírus e ter muito cuidado com páginas suspeitas e anexos de e-mail, além de manter o sistema operacional sempre atualizado.
Nenhum comentário:
Postar um comentário