De Russische maker van de beruchte rootkit TDL biedt de broncode van zijn malware op schimmige fora te koop aan. Dat lijkt zich nu tegen hem te keren. Eén van de groepen die de code aankocht heeft op basis daarvan namelijk de nieuwe rootkit ZeroAccess ontwikkeld. De belangrijkste functionaliteit die toegevoegd is: TLD verwijderen.

Klikfraude

Dat ontdekte beveiligingsbedrijf WebRoot. “De oorspronkelijke maker van TDL3 maakte twee versies van de rootkit. Hij hield de tweede versie voor zichzelf en verkocht de eerste aan de mannen achter ZeroAccess", vertelt Jacques Erasmus aan de Britse techsite The Register.

De groep die de TDL3 code kocht voegde een jaar geleden een module met de naam 'z00clicker' toe aan de rootkit. Zo konden besmette machines gebruikt worden in klikfraude, het veelvuldig klikken op eigen advertenties zodat er geld verdiend wordt. ZeroAcces gebruikt eenzelfde module met de naam 'z00clicker2'. Dat toont aan dat die nieuwe rootkit gerelateerd is aan de verkochte code. Het bestandssysteem van ZeroAccess is gelijk aan dat van TDL.

Geen andere rootkits

Volgens WebRoot is het normaal dat gekochte code wordt aangepast. Of dat nu bij legitieme software of malware gebeurt. Volgens het beveiligingsbedrijf is het toevoegen van een functie die de malware van de tegenstrever verwijdert een teken dat de relatie bekoeld is. ZeroAccess verwijdert getuige de naam van de module die de functie uitvoert ook geen andere rootkits. Het ding heet namelijk 'Anti-TDL'.

Het gedrag van de malware lijkt op gedrag dat de trojan SpyEye, die vooral werd ingezet om bankrekeningen te kapen. Die trojan kreeg namelijk een functie om tegenstrever ZeuS onklaar te maken zodat het de volledige controle over besmette computers krijgt. 'Überrootkit' TDL-4, de opvolger van TDL-3, verwijdert ook rivaliserende rootkits van een besmette computer.

ZeroAccess verspreidt snel

Webwerelds zustersite IT World beredeneert dat het overnemen van een al besmette computer voordelig is voor een cybercrimineel. Zo'n computer is al geconfigureerd voor het uitvoeren van de taken die een aanvaller voorziet. Bovendien is de kans dat de eigenaar de malware zal ontdekken kleiner. Dat deed men met de uitgeschakelde rootkit ook niet.

ZeroAccess verspreidt zichzelf volgens WebRoot inmiddels snel. De malware wordt vooral verspreid via cracks en keygeneratoren voor illegaal gedownloade software. Hoewel de malware niet zo innovatief is als 'grote neef' TDL-4 is ook deze rootkit moeilijk uit te roeien. De malware zorgt er zoals alle rootkits voor dat hij ongezien langs virusscanners glipt.