Een bijna “onverwoestbare” rootkit heeft 4,5 miljoen Windows computers besmet, daarvoor waarschuwt de Russische virusbestrijder Kaspersky Lab. De TDL-rootkit, ook bekend als TDSS, wordt als de meest complexe dreiging van het moment omschreven en zou verschillende manieren gebruiken om virusscanners te omzeilen.

De eerste versie van de rootkit verscheen in 2008. Sindsdien is de rootkit steeds verder ontwikkeld en is nu ook in staat om 64-bit Windows systemen te besmetten. Inmiddels zijn 4,5 miljoen Windows computers met de malware besmet. Daarvoor gebruiken de criminelen achter de rootkit de hulp van partners. Die ontvangen voor elke duizend installaties van TDL tussen de twintig en tweehonderd dollar, afhankelijk van de locatie van de computer van het slachtoffer.

Pornosites
Meestal wordt de rootkit op porno-, warez-, video- en dumpsites verstopt. De beheerders versleutelen de communicatie tussen de bots en de botnet command & controls servers, om zo toegang tot besmette computers te houden, ook al worden de C&C-servers uit de lucht gehaald. “De eigenaren van TDL proberen een onverwoestbaar botnet te bouwen dat beschermt is tegen aanvallen, concurrenten en anti-virusbedrijven”, zegt Sergey Golovanov van Kaspersky Lab in deze analyse. Verder gebruikt de rootkit een publiek P2P-netwerk genaamd Kad om bestanden met opdrachten voor besmette computers uit te wisselen.

Door de Master Boot Record (MBR) te infecteren, wordt de levenscyclus van de malware verlengd en is het lastiger door virusscanners te detecteren. Daarnaast probeert de rootkit ook andere malware op het systeem te weren. Inmiddels bevat TDL code om twintig andere malware programma’s te verwijderen. Eenmaal actief op een systeem kan de rootkit aanvullende malware installeren, zoals nep-virusscanners, adware en spambots. Ook wordt het botnet gebruikt voor het manipuleren van adware en zoekmachines.