Beveiligingsbedrijf BitDefender heeft een gratis tool geïntroduceerd die het mogelijk maakt om het beruchte botnet TDSS, ook bekend als TDL4 en Alureon, te verwijderen. Opvallend, omdat het botnet als onverwoestbaar wordt gezien. De rootkit is bovendien één van de weinige malware die zowel op 32- als 64-bits versies van Windows werkt.

Virusscanners hebben moeite

Zodra een computer geïnfecteerd is door de beruchte malware tast de rootkit ook de integriteit en de interne beveiliging van het besturingssysteem aan. Veel algemene virusscanners hebben daarom moeite met de malware. Ze kunnen de rootkit-botnet hybride niet herkennen en dus ook niet verwijderen, zo meldt SC Magazine.

Volgens Catalin Cosoi, hoofd van het online threats lab bij BitDefender heeft TDSS een extra bedreiging. Die zit hem vooral in de grote hoeveelheid andere malware die verstopt zitten in de rootkit en pas gaan werken als een computer besmet is. Op zichzelf neemt de rootkit alleen de computer van een slachtoffer over.

Innovatieve malware

Of het tooltje van BitDefender veel uit zal halen is nog maar de vraag. De makers van TDSS staan er namelijk bekend om erg innovatief te zijn. Zo was het de eerste rootkit die de Kernel Mode Code Signing in de 64-bit uitvoering van Windows 7 wist te omzeilen. Daarnaast kan de rootkit zich verspreiden over een bedrijfsnetwerk door middel van een ingebouwde DHCP-server.

Ook herkent en elimineert de malware rivaliserende 'producten' en kan het achterliggende botnet niet alleen aangestuurd worden via een reguliere control server maar ook via peer to peer. Volgens Sergey Golovanov van Kaspersky zullen de makers van de malware niet snel stoppen met het toevoegen van nieuwe functies. Mogelijk zal er dus binnenkort ook een manier komen om echt alle antimalware tools te omzeilen.

Ook als dat niet gebeurt zal de rootkit waarschijnlijk veel computers blijven besmetten. Inmiddels zijn al zo'n 4,5 miljoen pc's gepakt.