jueves, 27 de octubre de 2011

TDL-4 la nueva amenaza Botnet de las redes

Los archivos raíces más sofisticados del mundo bajo revisión,
las nuevas amenazas no alteran los MBR, por Lucian Constantin, IDG News Service
21 de octubre 2011 10:05 AM ET
Los expertos de seguridad de ESET advierten que el TDL4[1], es una de las piezas más sofisticadas de malware[2] en el mundo, está siendo reescrito y mejorado para una presentar una mayor resistencia a la detección de programas antivirus.  "Los investigadores de ESET han estado siguiendo la botnet[3] TDL4 durante mucho tiempo, y ahora se han dado cuenta de una nueva fase en su evolución", anunció David Harley, director de la compañía de inteligencia en malware.
"A partir del análisis de sus componentes, podemos decir que algunos de esos componentes se han reescrito desde cero (en modo de núcleo, de modo usuario carga útil), mientras que algunos (en concreto, algunos de los componentes de los archivos bootkit) siguen siendo los mismos que en las versiones anteriores, ".
Harley y sus colegas creen que esto muestra un cambio importante en el equipo de desarrollo de TDL, la transición de un modelo de negocios hacia set de herramientas de software para actividades ilegales que pueden llegar a las manos de otros criminales cibernéticos.
TDL, también conocido como TDSS[4], es una familia de rootkits[5] caracterizada por innovadas técnicas de evasión a la detección. El último mes de julio, los analistas de los laboratorios de la firma Kaspersky, titularon a la versión de malware “TDL 4” como la amenaza más sofisticada del mundo y se estima que el número de ordenadores infectados con éste supera los 4,5 millones.
Hay varias características que hacen que el TDL4 destaque de entre la multitud de rootkits que hoy plagan las redes de Internet. Su habilidad para infectar los sistemas de Windows de 64 bits , el uso de la Kad público punto a punto[6](peer-to-peer ) de la red con fines de tomar el control y su registro maestro de inicio (Master Boot Record[7] - MBR) para auto protegerse son sólo algunas de ellas.
Sin embargo, según los investigadores de ESET, los cambios ahora se están haciendo a la manera como TDL4 infecta los sistemas y asegura su control sobre ellos. En lugar de almacenar los componentes dentro de la MBR, la nueva variante crear una partición oculta al final de los discos duros y la activa.  Con esto asegura que los códigos maliciosos almacenados en la partición, incluyendo un gestor especial de arranque, que se ejecuta antes que el sistema operativo del equipo, y que su código MBR permanezca intacto y protegido del control de programas antivirus, evitando se modifiquen sus códigos no autorizados .
Los creadores del TDL4 también han desarrollado un avanzado sistema  de archivos para la partición de pícaro (rogue), que permite que su kit raiz para compruebe la integridad de sus propios componentes almacenados.
"El malware es capaz de detectar si hay almacenados archivos corruptos en su propio sistema de  archivos almacenados, a través del cálculo de comprobación CRC32 y comparándolo con los valores almacenados en los encabezados del archivo. En el caso de que se detecte un archivo dañado, los investigadores de ESET explican que este es eliminado del sistema de archivos. "
En abril, Microsoft lanzó una actualización de Windows que modifico los sistemas con la finalidad de interrumpir el ciclo de infección del TDL4. Los autores del rootkit respondieron un mes y medio después, con una actualización propia que sobrepasaba por alto el parche de Windows.
La determinación de mantener un malware nos muestra que hay interés y una inversión significativa detrás. La calidad del código y las técnicas sofisticadas son sin duda indicativo de profesionales en el desarrollo de software .
Varios proveedores de antivirus como las firmas Kaspersky, BitDefender y AVAST, ofrecen  herramientas independientes gratuitas que remueven los TDSS y eliminan los rootkits  y similares. Sin embargo, con el fin de evitar la infección en primer lugar los usuarios deben instalar una solución antivirus que proporcione más avanzada  protección, como los que proporcionan el análisis del comportamiento del software.
_____________________________________________________________
World's most sophisticated rootkit is being overhauled
New variants don't make obvious modifications to the MBR
By Lucian Constantin, IDG News Service
October 21, 2011 10:05 AM ET

Experts from security vendor ESET warn that TDL4, one of the most sophisticated pieces of malware in the world, is being rewritten and improved for increased resilience to antivirus detection.

"ESET researchers have been tracking the TDL4 botnet for a long time, and now we have noticed a new phase in its evolution," announced David Harley, the company's director of malware intelligence.

"Based on the analysis of its components we can say that some of those components have been rewritten from scratch (kernel-mode driver, user-mode payload) while some (specifically, some bootkit components) remain the same as in the previous versions," he noted.

Harley and his colleagues believe this suggests a major change within the TDL development team or the transition of its business model toward a crimeware toolkit that can be licensed to other cybercriminals.

TDL, also known as TDSS, is a family of rootkits characterized by complex and innovative detection evasion techniques. Back in July, malware analysts from Kaspersky Lab called TDL version 4 the most sophisticated threat in the world and estimated that the number of computers infected with it exceeds 4.5 million.

There are many things that make TDL4 stand out from the crowd of rootkits currently plaguing the Internet. Its ability to infect 64-bit Windows systems, its use of the public Kad peer-to-peer network for command purposes and its Master Boot Record (MBR) safeguard component are just some of them.

However, according to ESET's researchers, changes are now being made to the way TDL4 infects systems and ensures its hold on them. Instead of storing components within the MBR, the new variants create a hidden partition at the end of the hard disk and set it as active.

This ensures that malicious code stored on it, including a special boot loader, gets executed before the actual operating system, and that the MBR code checked by antivirus programs for unauthorized modifications remains untouched.

The TDL4 authors have also developed an advanced file system for the rogue partition, which allows the rootkit to check the integrity of components stored within.

"The malware is able to detect corruption of the files stored in the hidden file system by calculating its CRC32 checksum and comparing it with the value stored in the file header. In the event that a file is corrupted it is removed from the file system," the ESET researchers explain.

In April, Microsoft released a Windows update that modified systems to disrupt the TDL4 infection cycle. The rootkit's authors responded half a month later with an update of their own that bypassed the patch.

This kind of determination to keep the malware going suggests that its return on investment is significant. The code quality and the sophisticated techniques are certainly indicative of professional software development.

Several antivirus vendors like Kaspersky, BitDefender or AVAST, offer free stand-alone tools that can remove TDSS and similar rootkits. However, in order to avoid getting infected in the first place users should install an antivirus solution that provides advanced layers of protection, like those analyzing software behavior.


[1] El TDL-4 es un sofisticado programa malicioso que facilita la creación y mantenimiento de la llamada (bootnet) una red de computadoras zombies, que sus usuarios no notan y a la que se le puede extraer el provecho que busque el programa malicioso, información, datos, integrantes, contactos, etc,etc. 
[2] Programa malicioso
[3] El botnet es una red de computadoras zombies, que sus usuarios no notan y a la que se le puede extraer el provecho que busque el programa malicioso, información, datos, integrantes, contactos, etc,etc. 
[4] EL TDSS o Aluron es el nombre inicial de este programa malicioso que hoy mejorado es el TDL-4.
[5] EL rootkit o los archivos raíces son programas que permiten privilegios de acceso en una computadora y se ocultan de la administración. Root: raiz y Kit:componentes.
[6] El Kad público punto a punto, o P2P, o Peer to Peer (en ingles) es un a red implementada por un protocolo de comunicaciones que hace posible la comunicación entre computadoras y servidores. Un ejemplo de ello es la red edonkey en la que sus clientes obtienen información y sus computadoras proveen información a otros o sirven de intermediarios en el paso de información (data).
[7] Sectores maestros de inicio en las computadoras.

No hay comentarios:

Publicar un comentario