Зловреды по-прежнему используют генераторы доменных имен
По информации компании eScan, в блоге исследовательского центра Damballa Labs появилось сообщение о распространении нового варианта вредоносной программы TDSS/TDL4, использующего алгоритм генерации доменных имен.
TDSS/TDL4 отличается сложностью и многофункциональностью, объединяя в себе возможности буткита, руткита и программы-бота. По данным исследователей Damballa Labs, новый вариант TDSS/TDL4 появился в мае текущего года. И к настоящему времени им заражены уже более 280 тыс. компьютеров по всему миру. Последние 30 тыс. заражений произошли на прошлой неделе, таким образом, данное вредоносное ПО сейчас находится в стадии активного распространения, подчеркнули в eScan.
Как удалось выяснить исследователям Damballa Labs, киберпреступники используют новый вариант TDSS/TDL4 для накрутки посещений сайтов. Пользователи «кликают» по легитимным рекламным объявлениям на таких популярных сайтах, как Facebook, YouTube, Yahoo или MSN, и после этого зловред перенаправляет их на другие интернет-ресурсы.
Как упоминалось выше, новый вариант TDSS/TDL4 использует алгоритм генерации доменных имён — то есть технику сокрытия командного центра ботнета, знакомую вирусным аналитикам еще со времени появления червя Conficker в 2008 г.
«Использование вредоносными программами алгоритмов генерации доменных имен продолжается, — отметили эксперты eScan в России и странах СНГ. — Несмотря на все усилия антивирусных компаний, такие алгоритмы позволяют скрывать серверы командных центров ботнетов».
По их словам, происходит это следующим образом: программа-бот динамически генерирует несколько сот или даже тысяч доменных имен, с каждым из которых пытается установить связь для получения инструкций и обновлений; огромное количество доменов, которые необходимо проверить, затрудняет своевременное обнаружение и блокирование центров, управляющих ботнетом. Кроме того, следует учитывать, что часть генерируемых доменных имен обычно принадлежит легальным серверам, которые могут пострадать от отключения в ходе кампании по борьбе с ботнетом или из-за перегрузки вследствие запросов, поступающих одновременно от тысяч зараженных машин, входящих в ботнет.
«Сегодня эта хакерская техника продолжает совершенствоваться, — добавили эксперты eScan. — Домены регистрируются хакерами буквально за минуты до соединения, а затем так же быстро становятся неактивными. Всё это говорит о том, что главное направление борьбы с ботнетами — не закрытие их командных центров, а антивирусная защита и предупреждение заражений компьютеров программами-ботами».
© CNews