4.5 millones de PC conforman TLD4, la botnet más sofisticada de la que se tenga memoria, tal es así que investigadores de Kaspersky Labs la han calificado como indestructible.
No se trata únicamente de sus dimensiones, que de por sí representan una amenaza mayúscula, sumemos (¿multipliquemos?) a la complejidad de esta inmensa máquina de malware las siguientes características:
- Usa un mecanismo de cifrado hecho de forma expresa para sus propios propósitos. Este permite la comunicación cifrada vía Internet entre un centro de control y las botnets, al tiempo que evita su indentificación mediante análisis de red e impide que otros tomen el control.
- Accede a redes P2P. En particular, a la red KAD a través de la cuál transmite órdenes a todas las máquinas de la botnet.
- Infecta máquinas Windows a través de sitios web que explotan vulnerabilidades del sistema. Vive allí oculto, irremovible con técnicas normales.
- Se encuentra en sitios que alojan porno, contenidos de descarga directa y torrents. Ellos distribuyen el programa cliente. Como tal, una vez que revisa la versión del sistema operativo descarga e instala TLD4. Los sitios afiliados reciben entre 20 y 200 dólares por cada mil instalaciones en función de la ubicación de la víctima.
- Se instala a sí mismo en una área especial del disco duro llamada MBR (Master Boot Record).
- Es capaz de modificar resultados de búsqueda, publicidad en internet y DNS.
- Los centros de control de la botnet cambian constantemente.
Pfff, no acabaría de listar las capacidades de TLD4. Les remito al artículo original de Kaspersky Labs, les aseguro que se quedarán con la boca abierta con las sofisticación de esta botnet. Los detalles de ingeniería son exquisitos para los estudiosos del tema.
Kasperky Labs dice que 28% de las víctimas (o participantes de la botnet) radican en los EE. UU., 7% en India, y 5% en Reino Unido. Ellos le han dado un seguimiento profundo al temas desde su aparición en 2008. El nombre TLD4 indica que es la cuarta generación de TLD. Por decir algo, en el estudio que realizaron en diciembre de 2010 sobre TLD4, mencionan:
No hay duda de que TLD4 está “armado hasta los dientes” y representa una amenaza muy seria para los usuarios. Aún peor, continúa en evolución. Las empresas fabricantes de antivirus deben actualizar urgentemente sus componentes anti rootkit, porque una vez infectada la máquina poco se podrá hacer al respecto.
Los virus evolucionan, los informáticos también. La organicidad que muestran en impresionante, es como si la Internet fuese un ente viviente y que TLD4 una red de agentes malignos tomando el control de sus células en silencio. Es convertir, poco a poco, toda la Internet en un zombie. Pero vamos, quizá estoy exagerando. El hecho es esto no va a detenerse.
Imagenes: Alex Dragulescu