新型TDL-4僵尸网络真的“坚不可摧”吗？

本周的重大网络新闻包含一个相当不错的标题：超过 400 万台 PC 被名为 TDL-4 的恶意程序感染，这个僵尸网络非常狡猾、非常隐蔽，很难检测和清除，因此“几乎坚不可摧”。这句话出自网络安全公司和反病毒软件制造商卡巴斯基实验室的安全研究员 Sergey Golovanov 和 Igor Soumenkov。这是一个可怕的想法：僵尸网络非常复杂，无法检测和拆除。但这是真的吗？

毫无疑问，Golovanov 和 Soumenkov 非常了解他们的东西，他们对新出现的 TDL-4 威胁的分析非常透彻。但恶意程序真的可以坚不可摧吗？

TDL-4 是什么？

TDL-4 是 TDL 恶意软件的第四代（卡巴斯基也将该系列称为 TDSS），Golovanov 和 Soumenkov 称其为“当今最复杂的威胁”。在这一点上，我们可能同意他们的观点。TDL-4 采用了各种巧妙/可怕的技巧，将自己隐藏在硬盘深处，逃避大多数病毒扫描软件以及更主动的检测方法。它以加密代码进行通信，并包含一个严重的 rootkit 组件 - rootkit 是一种程序，它允许操作员访问计算机，同时隐藏自己，不让用户、网络管理员和自动安全措施发现。

TDL-4 本身并不是一个恶意软件，但它是恶意的，因为它有助于创建僵尸网络——一个由受感染的计算机组成的网络，这些计算机可以协同执行分布式拒绝服务攻击（已被用来摧毁许多主要服务器，包括海盗湾、Twitter、Facebook 和 MasterCard.com）、安装广告软件和间谍软件或发送垃圾邮件等任务。目前，它控制的机器数量已达 450 万台，且这一数字还在不断增加。感染文件通常潜伏在成人网站、盗版媒体中心以及视频和媒体存储网站周围。

是什么让它“坚不可摧”？

Golovanov 和 Soumenkov 对此进行了很好的总结：“恶意软件编写者扩展了程序功能，更改了用于加密机器人与僵尸网络命令和控制服务器之间通信协议的算法，并试图确保即使在僵尸网络控制中心关闭的情况下，他们也可以访问受感染的计算机。TDL 的所有者本质上是在试图创建一个‘坚不可摧’的僵尸网络，以抵御攻击、竞争对手和防病毒公司的攻击。”

首先要说的是：位置、位置、位置。一旦进入，TDL-4 就会驻留在主引导记录 (MBR) 中，这意味着它可以在计算机实际启动之前运行。MBR 也很少被标准防病毒扫描程序扫描，这增加了 TDL 的隐蔽性。

然后，TDL-4 还做了一件非常聪明的事情：它运行自己的反病毒程序。该软件包含代码，可以删除大约 20 种最常见的恶意程序，清除受感染机器上可能引起用户注意或引起管理员仔细查看的日常恶意软件。然后它可以下载任何恶意软件来代替被删除的程序。此版本的 TDL-4 还添加了模块，例如一个“欺诈性操纵广告系统和搜索引擎”的模块，以及另一个在受感染机器上建立代理服务器的模块，可用于促进和隐藏其他恶意网络行为。

但 TDL-4 的不可摧毁性的关键在于它在机器人之间的通信方式。这里有一些因素在起作用。首先，也许是最核心的，是一种巧妙的算法，它加密了机器人和僵尸网络命令之间的通信协议。这使得监控命令服务器和受感染机器之间的流量几乎毫无意义。

但是，你难道不能追踪这些命令（尽管它们可能是加密的）的来源，以便抓住坏人吗？TDL-4 在这方面也有自己的绝招，这次是以名为 Kad 的公共点对点文件共享网络的形式出现的。TDL-4 的创建者可以通过这个 P2P 网络向他们的机器人机器发出多个命令。这是关键，因为这意味着如果 TDL-4 的命令服务器被关闭，该程序的创建者仍然可以访问所有受感染的机器。从本质上讲，命令服务器根本没有必要。从源头摧毁 TDL-4 几乎是不可能的，因为源头分布在整个僵尸网络中。实际上没有单一的源头。

但它真的“坚不可摧”吗？

Roger Grimes 今天在Infoworld撰文指出：“作为一名在恶意软件战争中战斗了 24 年的老兵，我可以肯定地告诉你，没有一个威胁是反恶意软件行业和操作系统供应商无法成功应对的。消灭某种威胁可能需要几个月甚至几年的时间，但最终好人会找到解决办法。”

格莱姆斯的做法是冷静的。Conficker 一度要摧毁我们所知道的整个互联网，但如今我们每天都在网络上享受无忧无虑的快乐。TDL-4 很可能还会继续困扰和挫败安全专家多年。但这也将过去。

但这并不意味着 Golovanov 和 Soumenkov 将 TDL-4 称为“坚不可摧”一定是错的。也许其名称中最值得注意的部分是“4”。它只是一个恶意多代家族中的一颗坏种子。

“我们有理由相信 TDSS 将继续发展，”他们写道。“TDL-4 代码显示出积极的发展趋势 — — 64 位系统的 rootkit、在操作系统启动前运行的恶意软件、利用 Stuxnet 武器库中的漏洞、P2P 技术、自己的‘防病毒软件’等等 — — 使 TDSS 稳居技术最先进、分析起来最复杂的恶意软件之列。”

也就是说，直到TDL-5。