TDL-4 Botnet: 4,5 miljoen PC's geïnfecteert, onvernietigbaar

[anoniem]

TDL-4 Botnet: 4,5 miljoen PC's geïnfecteert, onvernietigbaar. Het door Kaspersky als "TDSS" aangeduide virus heeft dit jaar binnen drie maanden wereldwijd meer dan 4,5 miljoen PC's geïnfecteerd. Dit virus heeft daarmee een enorm botnet geschapen, dat op commando voor alle mogelijke criminele aktiviteiten ingezet kan worden. De Kaspersky expert Sergey Golovanov betiteld TDL-4 in zijn analyse als "de meest geraffineerde malware" die er momenteel is. De makers van dit virus noemen hun malware TDL, waarvan momenteel de vierde versie in omloop is. Wat TDL-4 nu zo gevaarlijk maakt is de kombinatie van alle mogelijke aanvals- en camouflage-mechanismen. Het virus nestelt zich namelijk door middel van een rootkit in de Master Boot Record (MBR) van een PC en is daardoor door het besturingssysteem zelf niet waarneembaar. Ook lukt het de malware door verschillende technieken zich te verstoppen voor zowel signatuurgebaseerde- als ook heuristische- en pro-aktieve antivirussoftware. Waarom dit virus zo bijzonder resistent is tegen ontdekking, zelfs wanneer het aktief is, is het gebruik van versleuteling van de communicatie met de opdrachtgever (Command & Control Server). Daarbij: voor dit doel wordt gebruik gemaakt van het Kad netwerk, een peer-to-peer netwerk via welk roofkopiënnetwerken zoals eDonkey er van gebruik maken. Daarom ook dat de Kaspersky expert Golovanov opmerkt, dat dit botnet praktisch onvernietigbaar is.

[anoniem]

Maar JIJ weet er toch zeker wel wat op? :D

[anoniem]

Ik kan je dit zeggen dat er al heel wat Windows computers hier en elders bevrijd zijn van TDL-4! Het probleem is nu eenmaal dat veel internetters zich niet bewust zijn wat peer-to-peer voor gevaren met zich meebrengt. Dus ga er maar van uit dat ook in ons land al honderden tot duizenden computers in dat botnet zitten.

[anoniem]

Update: Kaspersky denkt zelf dat Russen of anders Russisch sprekenden achter TDL-4 zitten. Distributie van TDL4 gaat via internetsites, waar je een speciale player moet installeren om video's te bekijken. Ook in codecs, die via niet bekende sites gedownload worden, kunnen TDL4 bevatten. Dan zijn er de keygens, die het virus installeren. Verder moet je zeer voorzichtig zijn met P2P, het uitwisselen van bestanden. Zogeheten helpers, dus cybercriminelen die het virus helpen distribueren, krijgen ergens tussen de 20 en 200 euro betaald per 1000 besmettingen!

[anoniem]

Hoe kan je als "leek" erachter komen dat met TDL4 besmet bent? Zelf gebruik ik geen keygens of dat soort dingen. Verder installeer ik geen players om om sites video's te kijken. Maar ik help wel soms mensen als die problemen hebben met pc of laptop Als je ziet hoeveel toolbars sommige hebben of dat er zomaar vanalles geïnstalleers wordt en het dan raar vinden dat de pc of laptop zo enorm traag wordt.

[anoniem]

Als leek kom je daar echt niet makkelijk achter. Tenzij je kijkt bijv. naar download- en upload verkeer! Want zit een computer in een botnet aangesloten, dan is er veel meer uploadverkeer dan standaard aanwezig, vanwege de constante verbinding met criminele servers! Het totale netverkeer is eenvoudig in te zien via [b:5188a0b5b6]NetSpeedMonitor[/b:5188a0b5b6] http://www.floriangilles.com/software/netspeedmonitor Zit zo'n PC een lokaal netwerk aangesloten, zal dat echter ook meer uploadverkeer kunnen veroorzaken! Heb je echter de indruk dat het uploadverkeer zodanig is dat je een botnet vermoed, post dan maar de logs! Want dan is er een fix noodzakelijk. Vergeet niet dat velen de verleiding niet weerstaan om gratis gebruik te maken van dure software. De keygens enz. die dit mogelijk maken installeren meteen trojan downloaders, die passen het Windows register aan en openen poorten in de firewall om zo de nodige bestanden binnen te halen, zodat ultimo de betreffende PC tot Zombie PC is gdegradeerd.

[anoniem]

A54, we zijn al een paar dagen verder en ik vraag me af of er zich bij jou - hetzij bij C!T of op een ander forum - al meldingen zijn? Ik haalde die up- en download melder op en die staat nu keurig in de werkbalk (meestal met nulletjes).

[anoniem]

Ik schat er al een stuk of 15 gevonden te hebben!

[anoniem]

maar dus niet op C!T forum? lijkt me interessant te horen wat de slachtoffers te melden hadden.

[anoniem]

Ze kwamen gewoon met andere klachten binnen! En doordat ik ik nu standaard normaal als tweede gedeelte laat scannen op de MBR en op TDSS, komt het vanzelf bovendrijven! En naar ik meen heb ik hier ook al één of twee gevallen gehad.

[anoniem]

[quote:23d7d1a04c="Abraham54"] Het totale netverkeer is eenvoudig in te zien via [b:23d7d1a04c]NetSpeedMonitor[/b:23d7d1a04c] http://www.floriangilles.com/software/netspeedmonitor [/quote:23d7d1a04c] Het gedownloade msi-bestand werkt niet. zowel de 32 bit als de 64 bit versie, geven beide deze melding: [img:23d7d1a04c]http://i.min.us/ibZWUg.jpg[/img:23d7d1a04c] Ik heb windows 7 Home Premium SP1 64bit.

[anoniem]

Dan heb jij een probleem in jouw Windows!

[anoniem]

??? Voor de rest werkt alles wel zoals het hoort, en heb ik geen problemen. Zou je iets duidelijker kunnen zijn? Een probleem in windows is nogal vaag.

[anoniem]

Is jouw windows 7 origineel of een torrent download. En is het een 32- dan wel 64-bit versie? Want je schrijft dat beide downloads niet willen installeren. Probeer eens ander klein stukje software te installeren, krijg je dan dezelfde fout?

[anoniem]

Hallo, Ik kreeg netspeedmonitor alleen geinstalleerd nadat ik mijn Panda internetsecurity geheel uitgeschakeld had. Wellicht is dit ook het probleem bij PepijnG, dat de beveiliging de installatie tegen houd. vr.gr

[anoniem]

Even mezelf quoten: [quote:116cd208f8="PepijnG"] Ik heb windows 7 Home Premium SP1 64bit.[/quote:116cd208f8] En dat is een originele, geen torrent, nieuwsgroep, of andere illegale zooi. En het maakt ook niet uit of AVG Free aan staat of niet. Ik heb net HiJackThis verwijderd en opnieuw geïnstalleerd met de msi-installer van de website, en die werkt wel zonder problemen.

[anoniem]

Hallo, Je kunt eens proberen om het bestand te installeren door gebruik te maken van de optie 'compatabiliteitsprobleem oplossen'. Het is het proberen waard. vr.gr.

[anoniem]

Ik vond nog wat info: http://www.computeridee.nl/nieuws/onverwoestbare-tdss-rootkit-toch-te-verwijderen

[anoniem]

De rootkit zelf is ook niet onverwoestbaar! Maar het botnet is moeilijk te bestrijden! Overigens goed dat Bitdefender nu ook een tool heeft! Malwarebytes MBAM verwijdert de voorgangers van TDL-4 en Kaspersky heeft al veel langer een tool dat speciaal voor de verwijdering van TDSS-rootkit varianten geschikt is en ook algemen wordt ingezet.

[anoniem]

[quote:7f0c13f2c0="Abraham54"]De rootkit zelf is ook niet onverwoestbaar! Maar het botnet is moeilijk te bestrijden![/quote:7f0c13f2c0] Aha,nou ik hoop er geen last van te krijgen.

[anoniem]

Als jij geen rare dingen doet, is de kans om die rootkit in je Windows te krijgen op dit moment nog klein!