Al zeker 4,5 miljoen pc's zijn besmet met de enorm geavanceerde rootkit TDSS. Dat ontdekten onderzoekers van beveiligingsbedrijf Kaspersky. De makers van de rootkit bouwen met de besmette computers een nieuw, groot botnet. Omdat het om een rootkit gaat, is de malware bijna onzichtbaar voor de eindgebruiker. Bovendien is er moeilijk van af te komen.

Rivalen elimineren

Onderzoekers van Kaspersky Labs wisten onlangs in te breken op drie servers (command & control servers) waarmee de zombiecomputers door de cybercriminelen worden bestuurd. Daar ontdekten zij het enorm grote aantal besmette computers. Door de inbraak ontdekten de onderzoekers ook nieuwe functies van de rootkit-botnet combinatie. Die functies komen bovenop de al geavanceerde features van de malware an sich.

Als rootkit besmet de kwaadaardige software de master boot record van een computer, zodat het al actief is vóór alle andere programma's. Als de malware een computer op zo'n manier besmet heeft, verwijdert het eerst alle rivaliserende malware. TDSS herkent zo'n twintig verschillende rivalen. Door die te verwijderen, kan de concurrentie TDSS niet verstoren en doen zij de cybercriminelen erachter geen pijn meer in de portemonnee.

Controle via P2P

De onderzoekers van Kaspersky ontdekten ook een component in de malware voor het Kad peer to peer protocol. Op die manier krijgen de beheerders een uitgebreide command & control-mogelijkheid via peer-to-peer (P2P). Die beheeroptie werkt zelfs als hun primaire beheerkanaal (via reguliere command & control-servers) is afgesloten door concurrenten, beveiligingsbedrijven of de autoriteiten.

De computers die besmet zijn met het botnet worden door de criminelen achter TDSS overigens niet direct voor eigen gewin ingezet. Zoals tegenwoordig wel vaker verhuren zij de geronselde zombies als 'botnet as a service'. Daarbij betalen andere criminelen dus alleen voor de rekenkracht die zij gebruiken. Eén van de aangeboden diensten is volgens Kaspersky een anonieme proxydienst. Dat kost gebruikers zo'n 69 euro per maand.

Toekomstbestendige malware

Het toevoegen van nieuwe technieken in de rootkit zal volgens onderzoeker Sergey Golovanov van Kaspersky niet snel stoppen. “Met actief bijwerken van de code, rootkits voor 64-bit systemen, het gebruik van peer to peer technlogie, eigen antivirus en nog veel meer maakt het een van de technisch best ontwikkelde stukken malware. Daarmee is het ook het moeilijkst om te analyseren."

De makers van TDSS steken heel veel tijd in de geavanceerdheid en complexiteit van hun malware, terwijl concurrenten ook goed zonder die opties werken. Volgens Kaspersky-onderzoeker Ram Herkanaidu komt dat vooral omdat de ontwikkelaars van TDSS voor willen lopen. Zo blijft hun software ook in de toekomst gevaarlijk.

Ook 64-bit Windows 7

TDSS, dat ook bekend is als TDL4 of Alureon, oogstte vooral bekendheid toen het eind vorig jaar de Kernel Mode Code Signing in de 64-bit uitvoering van Windows 7 wist te omzeilen en die systemen nu ook besmet. Microsoft zou de malware overigens al van duizenden systemen verwijderd hebben. Daarnaast verspreidt de software zich lokaal via een ingebouwde DHCP-server. Die wordt op een besmette computer geïnstalleerd.