TDL-4 ¿Indestructible o no?

Nuestro análisis, “TDL4 – El bot más sofisticado“, de Sergey Golovanov e Igor Sumenkov, ha estado recibiendo mucha atención. Es un excelente artículo de análisis que explora el sofisticado y complejo programa malicioso TDL-4, la última versión de TDSS.

Pero algunos comentaristas y analistas de seguridad se enfocaron en nuestro uso de la palabra “indestructible”, y piensan que creemos que el malware es, literalmente, indestructible. Pero no es así – por eso pusimos la palabra entre comillas. De hecho, nuestra propia herramienta TDSS Killer puede eliminar el malware.

El punto del artículo es que “los dueños de TDL están tratando de crear una botnet “indestructible”, protegida de las amenazas tanto de la competencia, como de las compañías antivirus”.

Lo que significa que los dueños de la botnet están tratando de reforzar su red zombi. Para lograrlo, TDL-4 utiliza su propio algoritmo de codificación para establecer la comunicación entre los ordenadores infectados dentro de la red zombi:

“El algoritmo propio de cifrado de la comunicación entre los centros de administración de la botnet y la red evita que se pueda analizar el tráfico de red y bloquea los intentos de otros delincuentes de interceptar la administración de la botnet”.

También utiliza una red de intercambio de archivos muy accesible, la red KAD, para establecer comunicaciones p2p entre los ordenadores infectados. Esto permite que los dueños de la red zombi todavía puedan controlarla si se cierran los servidores de administración y control.

Espero que esto haya aclarado cualquier malentendido sobre este artículo.