Специалисты исследовательского центра Damballa Labs сообщили о распространении нового варианта вредоносной программы TDSS/TDL4, использующего алгоритм генерации доменных имен. TDSS/TDL4 отличается сложностью и многофункциональностью, объединяя в себе возможности буткита, руткита и программы-бота. По данным исследователей Damballa Labs, новый вариант TDSS/TDL4 появился в мае текущего года; к настоящему времени им заражены уже более 280 тысяч компьютеров по всему миру. Последние 30 тысяч заражений произошли на прошлой неделе, то есть данная инфекция сейчас находится в стадии активного распространения.
Киберпреступники используют новый вариант TDSS/TDL4 для накрутки посещений сайтов. Пользователи щелкают по легитимным рекламным объявлениям на таких популярных сайтах, как Facebook, YouTube, Yahoo или MSN, и после этого зловред перенаправляет их на другие интернет-ресурсы.
Новый вариант TDSS/TDL4 использует алгоритм генерации доменных имён – то есть технику сокрытия командного центра ботнета, знакомую вирусным аналитикам еще со времени появления червя Conficker в 2008 году.
«Использование вредоносными программами алгоритмов генерации доменных имен продолжается, – комментируют эксперты eScan в России и странах СНГ. – Несмотря на все усилия антивирусных компаний, такие алгоритмы позволяют скрывать серверы командных центров ботнетов. Посмотрим, как это происходит: программа-бот динамически генерирует несколько сот или даже тысяч доменных имен, с каждым из которых пытается установить связь для получения инструкций и обновлений. Огромное количество доменов, которые необходимо проверить, затрудняет своевременное обнаружение и блокирование центров, управляющих ботнетом. Кроме того, часть генерируемых доменных имен обычно принадлежит легальным серверам, которые могут пострадать от отключения в ходе кампании по борьбе с ботнетом или из-за перегрузки вследствие запросов, поступающих одновременно от тысяч зараженных машин, входящих в ботнет».
«Сегодня эта хакерская техника продолжает совершенствоваться, – добавляют эксперты eScan. – Домены регистрируются хакерами буквально за минуты до соединения, а затем так же быстро становятся неактивными. Всё это говорит о том, что главное направление борьбы с ботнетами – не закрытие их командных центров, а антивирусная защита и предупреждение заражений компьютеров программами-ботами».