La botnet TDL-4 è probabilmente la prima al mondo ad essere considerata "praticamente indistruttibile". Il grido di allarme proviene dagli esperti in sicurezza. "I non vorrei dire che non sia assolutamente indistruttibile, ma lo è in pratica", ha dichiarato Joe Stewart, responsabile malware per Dell SecureWorks e guru del settore botnet. "Fa davvero un buon lavoro per mantenersi in vita".
Una botnet che spaventa
TDL-4 deve il suo nome al trojan che ha già infettato più di 4 milioni di PC Windows nel mondo. Il suo (malefico) successo si deve a più elementi. Il primo è che l'infezione si diffonde nel "master boot record" (settore 0) tramite rootkit, rendendosi di fatto invisibile al sistema operativo e agli anti-virus. Il secondo è che la botnet si basa su una combinazione di avanzati sistemi di codifica e le istruzioni di controllo provenienti dai server pirata sono veicolate via P2P pubblici (Kad in questo caso, NdR).
"Ogni volta che una botnet viene tirata giù si alza il livello di difficoltà della volta dopo", ha sottolineato Roel Schouwenberg, specialista malware per Kaspersky, ricordando il caso Conficker. "I veri cyber criminali professionisti analizzano lavorano alle loro botnet per renderle sempre più resistenti al rilevamento e allo spegnimento".
In pratica ogni tentativo di isolamento del sistema di controllo centrale può essere aggirato aggiornando la lista dei server via rete P2P.
La botnet poi viene utilizzata per compiere ogni genere di azione illegale, dall'istallazione di ulteriori malware, come ponte per attacchi denial-of-service (DDoS), per spedire spam e infine per campagne phishing. Per di più il codice TDL-4 è talmente evoluto da essere in grado di eliminare eventuali applicazioni maligne concorrenti.