In de nieuwste versie van de beruchte rootkit TDSS, die ook bekend is onder de namen TDL4 en Alureon, kan zichzelf verspreiden via het lokale netwerk. Om dat mogelijk te maken zit er een kwaadaardige DHCP-servers in het virus gebouwd, zo waarschuwt beveiligingsexpert Sergey Golovanov van Kaspersky.

DNS kapen

De DHCP-server draait op een computer die al overgenomen is door de rootkit. De server wacht tot een machine op het netwerk om een nieuw IP-adres vraagt en probeert die vervolgens sneller toe te kennen dan de bonafide DHCP-server. Het toegekende adres ligt in de range van het lokale netwerk, maar de DNS-serveradressen zijn aangepast.

Die verwijzen nu naar een DNS-server die ieder verzoek doorverwijst naar een kwaadaardige server. Daardoor krijgen slachtoffers van de DHCP-spoofing bij iedere website die zij bezoeken te zien dat hun browser een update nodig heeft. Pas als de gebruiker deze ‘update’ installeert kan hij of zij weer surfen, zo verduidelijkt Golovanov. Dan is de computer vanzelfsprekend al wel volledig onder controle van de cybercrimelen.

Meest geavanceerde rootkit

Daarnaast houdt de rootkit de mogelijkheid om zich te verspreiden met behulp van verwisselbare media zoals USB-sticks. Als een besmette drive dan in de computer gestoken wordt, start het virus een bestand waardoor hij zichzelf installeert. Deze bestanden hebben namen als myporno.avi.lnk en pornmovs.lnk. Die verspreidingstechniek is overigens al jaren bekend.

Ook de TDSS-rootkit bestaat al langer. Vorig jaar werd dat virus extra berucht omdat het de Kernel Mode Code Signing in de 64-bits versie van Windows wist te omzeilen. Volgens onderzoekers van Prevx is het virus de meest geavanceerde rootkit. Het virus wordt gebruikt om keyloggers en andere malware op een besmet systeem te installeren.