Los investigadores de Kaspersky han sonado la alarma sobre un nuevo botnet que según ellos es prácticamente “indestructible.” Conocido como TDL-4, cuarta generación del botnet/malware TDL del 2008, esta última versión supuestamente ha infectado más de 4,5 millones de máquinas Windows en los primeros tres meses del 2011 – y no hay señales de que vaya a disminuir su crecimiento.

Como la versión anterior de TDL, los operadores del TDL-4 pagan a sus afiliados entre $20 y $200 por cada 1000 sistemas que infectan, dependiendo de la ubicación de las víctimas. Los afiliados pueden hacer esto a través de cualquier medio, pero generalmente prefieren infiltrar computadoras a través de pornografía, paginas secuestradas, como también servicios de almacenamiento en línea para videos y archivos.

Habiendo desarrollado varias versiones del malware durante los últimos años, los operadores de TDL han refinado su arte. El TDL-4 utiliza un nuevo algoritmo de codificación para comunicarse con su base e incluso viene con su propio antivirus que busca y elimina aproximadamente 20 aplicaciones malware rivales para que no interfieran con los asuntos de TDL-4.

El TDL-4 también ha recibido un módulo que le permite tener acceso a la red Kad (una red peer-to-peer). Kaspersky creen que este es uno de los cambios más importantes porque permite a los operadores del botnet distribuir comandos a través de todas las maquinas infectadas con relativa facilidad, incluso si su comando primario y controles de servidor son deshabilitados.

Aparte de esto, el TDL-4 es muy difícil de detectar porque se ubica dentro del MBR, una estrategia común usada por los programadores de malware que permite a sus aplicaciones cargar antes de Windows y cualquier aplicación de seguridad instalada. Una vez instalado, TDL-4 puede subir hasta 30 aplicaciones maliciosas más y esconderlas también.

 

Distribución de computadoras infectadas con TDL-4 por país

Otra funcionalidad incluye soporte para operaciones de 64-bits y un módulo para servidores proxy que facilita ver de manera anónima los recursos de internet a través de máquinas infectadas. “Los propietarios de TDL han creado en esencia un botnet ‘indestructible’ que se protege en contra de ataques, competidores y compañías anti-virus,” expresó Kaspersky.

Aunque muchos investigadores están convencidos que TDL-4 es a prueba de balas, por lo menos un experto sostiene lo opuesto. “Como un veterano con 24 años luchando en las guerras de malware, yo puedo decir con seguridad que no hay una amenaza que la industria antimalware y los vendedores de sistemas operativos no hayan podido responder”, escribió Roger Grimes a InforWorld.

“Puede tomar meses o años matar algo, pero eventualmente los buenos siempre ganan,” continuó Grimes. “Con cada nueva versión de este malware, tienes a analistas prediciendo esto y lo otro sobre cómo un programa de malware es difícil o imposible de eliminar… El virus indestructible de ayer es la referencia histórica de mañana.”

Fuente: TechSpot