Güvenlik 30 HAZİRAN 2011 / 16:03

Araştırmacılar yok edilemez botnet buldu!

4 milyondan fazla PC bir botnet saldırısına maruz kaldı ve güvenlik uzmanlarına göre, bu virüs hemen hemen yok edilemez



TDL olarak bilinen botnet, Windows PC’leri hedefliyor ve kendini gizlemenin yanında yok edilmesini zor hale getiriyor. Bir PC’yi bu şekilde kaçıran kod, güvenlik yazılımının nadiren baktığı yerlerde saklanıyor ve botnet de kişiye özel yapılmış şifreleme kullanarak kontrol ediliyor.

Güvenlik uzmanları son botnet kapamalarının TDL’in kontrol mekanizmalarını soruşturmaya karşı daha zorlu bir hale getirdi. TDL virüsünün dördüncü sürümünün ortaya çıkmasının ardından, geçen üç ay içinde 4,5 milyon PC kurban oldu. TDL-4’te yapılan değişiklikler, virüsü bugünün en karmaşık tehdidi haline getirdi.

Kaspersky Labs uzmanlarına göre, TDL sahipleri yok edilemez bir botnet yaratmaya çalışıyor ve bu botnet saldırılara, rakiplere ve anti-virüs şirketlerine karşı korumalı oluyor.

Botnet’lere karşı güvenlik şirketlerinin son başarıları, Symantec verilerine göre tüm gönderilen e-postalarda spam seviyesinin yaklaşık yüzde 75 azalmasını sağladı. Botnet, bir çeşit ev bilgisayarları ağı. Bu ağa bir virüs giriyor ve teknoloji suçluları da böylece bilgisayarları uzaktan kullanabiliyor. Botnet kontrol yapıları genelde kurbanın PC’sinden veri çalıyor veya makineleri kullanarak istenmeyen mesaj gönderiyor ya da başka saldırılarda bu PC’leri kullanıyor.

Uzmanlar botnet için çözüm arıyor

TDL virüsü ise bubi tuzaklı web siteleri ile yayılıyor ve makineyi de kırılgan noktalarını kullanarak bozuyor. Virüs genelde porno içerik veya korsan filmler sunan sitelerde bulunuyor, ama kişilerin video ve görsel dosyalarını depoladıkları alanlarda da görülebiliyor. Virüs kendini bir Windows sistem dosyasına yüklüyor. Bu dosya bir bilgisayarı başlatmak için talimat listesini de içinde barındırıyor ve iyi bir noktada saklanıyor. Çünkü standart anti-virüs programları tarafından nadiren fark ediliyor.

Bu saldırı dalgasının en büyük kurbanı yüzde 28 ile ABD’de. Bunun yanında diğer dikkat çekici rakamlar yüzde 7 ile Hindistan ve yüzde 5 ile İngiltere’de görülüyor. Fransa, Almanya ve Kanada’da da yüzde 3 ile bu ülkeleri takip ediyor.

TDL-4’ü yapanlar, botnet kontrolleri arasında iletişimi korumak için kendi şifre sistemlerini hazırladı. Bu da virüslü PC’ler arasındaki trafiği ve botnet’in kontrol yapılarını gerçek anlamda analiz etmeyi zorlaştırıyor. Ayrıca TDL-4, virüs bulaşan makinelere, merkezi bir komuta sistemi yerine, herkese açık kişiler arası iletişim ağlarından talimatlar gönderiyor. Bu da analiz yapmayı zorlaştıran bir faktör oluyor. Çünkü bu işleyiş; düzenli olarak virüslü makinelerle iletişim kurma ihtiyacını ortadan kaldırıyor.

Uzmanlara göre hangi amaç için olursa olsun, TDL-4’ü kaldırmak çok zor ve bu, kesinlikle en karmaşık botnet’lerden biri. Ama bir taraftan da bu karmaşık yapı, TDL-4’ün sonunu hazırlayabilir. Bu düşünceyi ortaya koyan Kaspersky araştırmacıları, karmaşık kod yapısı içinde hatalar buldu. Bu da onlara TDL-4’ün kaç makineye bulaştığını görebilme imkanı veriyor.
ETİKETLER : botnet virüs