TDL-botnet is praktisch onuitroeibaar

Door analyse van het protocol dat TDL-4 gebruikt om met servers te communiceren wist Kaspersky Labs drie databases te lokaliseren met statistieken over het botnet. Daaruit viel te concluderen dat TDL-4 de eerste drie maanden van dit jaar ruim 4,5 milljoen computers wist te infecteren. Die infecties treden in alle landen op, met een duidelijk accent op de VS: daar staat 28 procent van de met TDL-4 geïnfecteerde computers.

Combinatie van technieken en functionaliteit
TDL-4 is waarschijnlijk het meest geavanceerde botnet dat tot nog toe gevonden is. Dankzij de combinatie van technieken en eigenschappen die de ontwerpers hebben gekozen, zal het naar het zich laat aanzien niet uit te roeien zijn.

TDL-4 is een stuk malware dat zich probeert te nestelen in het ‘master boot record’ van een pc; als het daarin slaagt start het op voordat andere programmatuur gestart wordt. Dat maakt de software onzichtbaar voor besturingssysteem en de meeste antivirussoftware, en maakt het ook bijzonder lastig te verwijderen. Alleen met een herinstallatie van het besturingssysteem kom je ervan af.

Concurrerende malware wordt verwijderd
Om te voorkomen dat andere malware de aandacht op de besmetting vestigt, verwijdert TDL-4 een twintigtal bekende malwareprogramma’s en probeert het te voorkomen dat de pc ingeschakeld wordt in concurrerende botnets.

Maar de lastigste eigenschap uit het oogpunt van bestrijding is, dat het botnet gebruik maakt van een zelf ontworpen, geavanceerde encryptiemethode en dat het het Kad-netwerk, een openbaar peer-to-peernetwerk, inschakelt voor de communicatie tussen de bots en de servers die het bot beheren. Door de manier waarop ze dat geconstrueerd hebben en het grote aantal pc’s dat al geïnfecteerd is, verliezen de botnetbeheerders niet snel de controle over geïnfecteerde pc’s, ook niet als de ‘command and control-servers’ van het botnet uitgeschakeld worden.